CVE-2024-38513 (CVSS 9.8): Critical Security Flaw in Popular Go Web Framework, Fiber
2024/07/04 SecurityOnline — プログラミング言語 “Go” の Web フレームワークとして広く使われている “Fiber” に、脆弱性 CVE-2024-38513 (CVSS:9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、ユーザー・セッションを乗っ取ることができ、不正アクセスやデータ漏洩へとつなげる可能性を手にする。
この脆弱性は、Fiber のセッション・ミドルウェア (ユーザー・セッションを管理し、リクエスト間の状態を維持するためのコンポーネント) に存在する。攻撃者は、それぞれのユーザーのセッション ID を操作することで、この脆弱性を悪用することが可能となり、以下のような事態を引き起こす恐れが生じる:
- 不正アクセス:攻撃者が正当なユーザーになりすまし、機密情報にアクセスするケースや、ユーザーの代わりにアクションを実行するケースが生じる。
- セッションの固定化:漏洩したセッション ID をユーザーに使用させることで、ユーザーの行動を追跡する攻撃者により、認証情報を盗まれる可能性が生じる。
- データ搾取: 侵害されたセッションにより、機密データへのアクセスが可能な場合には、それらの情報が秘密裏に流出する可能性が生じる。
デフォルトのセッション・ミドルウェアに依存している、Fiber バージョン 2 以降を用いて構築された Web サイト/アプリは、すべて危険にさらされている。その速度と効率性で人気の Fiber は広く利用されているため、この脆弱性の潜在的な影響は広範囲に及ぶと思われる。
この脆弱性は、セッション ID の不適切な検証に起因する。それにより攻撃者は、セキュリティをバイパスし、自分自身のセッション ID を差替えることができる。CVSSスコアが 9.8 であることは、この問題の深刻性と改善の緊急性を強調している。
すでに Fiber は、バージョン 2.52.5 でパッチをリリースし、この深刻な脆弱性に対処している。ユーザーに対して強く推奨されるのは、このバージョンへとアップグレードし、リスクを軽減することだ。
すぐにアップグレードできない場合は、以下の回避策が推奨されている:
- セッション ID の検証:セッション ID の安全な生成と、ユーザーによる改ざんの阻止を目的とする、サーバ・サイドの検証を実装する。
- セッション管理:セッション ID を定期的にローテーションし、セッション有効期限に関する厳格なポリシーを実施することで、攻撃者に対する隙を最小化する。
Go の Web フレームワークとして広く使われている Fiber に、セッション ID 不正操作の脆弱性が発生しました。文中にもあるように、放置して攻撃にさらされると、甚大な被害へといたる可能性があります。ご利用のチームは、十分に、ご注意ください。よろしければ、2024/02/22 の「Fiber Go の深刻な脆弱性 CVE-2024-25124 が FIX:CORS ミドルウェアの要注意ミスコンフィグ」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.