CVE-2024-32498: Critical OpenStack Flaw Exposes Cloud Data to Attackers
2024/07/03 SecurityOnline — OpenStack Foundation が公開した緊急のセキュリティ・アドバイザリは、そのクラウド・インフラ・プラットフォームの複数のコア・コンポーネントに影響を及ぼす、深刻な重脆弱性 CVE-2024-32498 (CVSS:8.8) に関するものだ。この脆弱性の悪用に成功した攻撃者は、Cinder (block storage)/Glance (image management)/Nova (compute) などのサービス内の、機密データへの不正アクセスの可能性を手にする。
この脆弱性 CVE-2024-32498 は、Cinder/Glance/Nova 内の QCOW2 画像処理メカニズムを起因するものであり、Martin Kaesberger により報告されたものである。悪用のチェーンは、特定のデータ・ファイル・パスを参照する、特別に細工された QCOW2 イメージを、認証された攻撃者が送信するところから始まる。このイメージが処理されるとシステムは欺かれ、参照されたファイルの内容を、サーバから返すように促されるためれ、機密データへの不正アクセスの可能性が生じる。
OpenStack は、「認証された攻撃者が、特定のデータ・ファイルのパスを参照する、特別に作成された QCOW2 イメージを送信すると、そのファイルの内容のコピーをサーバから返すよう、システムは騙されてしまう。その結果として、攻撃者は、機密性の高いデータへの不正アクセスを達成する」と説明している。
CVE-2024-32498 の影響を受けるのは、各ソフトウェアの以下のバージョンだ:
- Cinder:22.1.3 未満/23.0.0 以下/23.1.1 未満/24.0.0
- Glance: 26.0.1 未満/27.0.0/28.0.0 以下/28.0.2
- Nova:27.3.1 未満/28.0.0 以下/28.1.1 未満/29.0.0 以下/29.0.3 未満
RedHat は CVE-2024-32498 に関するアドバイザリで、「この脆弱性を悪用する攻撃者は、その前提として、有効なログイン認証情報を持っている必要がある。その一方で、OpenStack は、様々なセキュリティ対策を持つ、複数のデプロイ・シナリオをサポートしている。この脆弱性が、未認証の攻撃者により悪用される可能性があるため、結果として混乱が生じる可能性を考慮し、深刻度を “Critical” に分類した」と述べている。
修正の複雑さと再修正の可能性を考慮し、OpenStack のセキュリティ・チームは、詳細情報の公開時期を調整していた。しかし、ダウンストリームの利害関係者から、追加の修正要求やバイパスが報告され、時間が必要となった。そのため、当初に予定されていた公開日より若干遅れ、最大で 90日の猶予期間を4日ほど超過するリリースとなった。
すでに OpenStack Foundation は、この脆弱性に対処するセキュリティ・パッチをリリースしている。ユーザーと管理者に強く推奨されるのは、パッチが適用された最新バージョンへと、ただちに Cinder/Glance/Nova をアップデートすることだ。
久々に見る OpenStack の名前ですが、近況はということで、Wikipwdia で調べたところ「2010年に Rackspace Hosting と NASA の共同プロジェクトとして始まった。2012年の時点では、OpenStack Foundation により管理されている。OpenStack Foundation は、OpenStack ソフトウェアとコミュニティを促進するために、2012年9月に設立された非営利法人である。2018年までに、500社を超える企業がプロジェクトに参加した。2020年の発表で、この財団は 2021年に Open Infrastructure Foundationに改名するとしている」と紹介されていました。
IoT OT Security News 
You must be logged in to post a comment.