CVE-2024-39943 (CVSS 9.9): Critical Vulnerability in HTTP File Server Exposes Systems to RCE
2024/07/05 SecurityOnline — HTTP 経由でのファイル送受信に使用される、一般的なファイル共有ソフトウェアである HFS (HTTP File Server) に、重大な脆弱性 CVE-2024-39943 (CVSS:9.9) が発見された。この脆弱性は、Linux/UNIX/macOS 上で 0.52.10 未満の HFS を実行しているシステムに重大な脅威をもたらす。この脆弱性の悪用に成功した、アップロード権限を持つ、認証されたリモートの攻撃者は、OS のコマンド実行が可能になる。
この脆弱性の核心は、HFS が df コマンドの実行を処理する方法にある。Node.js の child_process で、spawnSync の代わりにexecSync が使用されることで、HFS におけるリモート・コマンド実行が可能になってしまう。つまり、この欠陥の悪用に成功した、適切な権限を持つ攻撃者は、ホスト・システム上で任意のコマンドを実行できる。
この深刻な脆弱性は、セキュリティ研究者の Charmin Doge により発見/報告された。
CVE-2024-39943 がもたらすリスクを軽減するために、HFS のユーザー対して強く推奨されるのは、ソフトウェアをバージョン 0.52.10 以降にアップデートすることである。すぐにアップデートできない場合は、以下の暫定的な対策が推奨される:
- アップロード権限を、信頼できるユーザーのみに制限する。
- ネットワーク・トラフィックを監視し、不正利用の可能性がある異常なアクティビティを確認する。
- ファイアウォールや侵入検知システムなどの追加のセキュリティ制御を導入し、不正アクセスから保護する。
このところ、Rejetto HFS の古いバージョンに存在する、特にバージョン 2.3m に存在する、深刻な脆弱性 CVE-2024-23692 が積極的に悪用しされ、マルウェアや暗号通貨マイニング・ソフトウェアが配信されている。AhnLab Security Intelligence Center (ASEC) は、この脆弱性を悪用して、認証なしで不正なコマンドを実行する、一連の継続的な攻撃を検知した。この HFS バージョンは、ファイル共有などを目的とする、個人/小規模な組織/教育機関などの間で依然として人気があるため、悪用の格好の標的となっている。
HFS (HTTP File Server) に脆弱性とのことですが、その利用範囲については、かなり広範に及ぶと推測されます。ご利用のチームは、十分に、ご注意ください。なお、文中で紹介されている Rejetto HFS に関しては、2024/06/09 の「Rejetto HTTP File Server の RCE の脆弱性 CVE-2024-23692 が FIX:PoC も提供!」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.