Critical Security Advisory for Apache CloudStack: CVE-2024-38346 and CVE-2024-39864
2024/07/08 SecurityOnline — Apache が緊急セキュリティ・アドバイザリで公表したのは、人気の OSS クラウド・コンピューティング・プラットフォーム CloudStack に影響を及ぼす、2つの深刻な脆弱性 CVE-2024-38346/CVE-2024-39864 の情報である。仮想化インフラの管理に CloudStack を利用しているユーザーに対して、これらの脆弱性は深刻なリスクをもたらすという。
未認証のクラスタ・サービス・ポート (CVE-2024-38346)
1つ目の脆弱性 CVE-2024-38346 は、認証されていないポート (デフォルトは 9090) で動作する、CloudStack クラスタ・サービスに存在する。この脆弱性の悪用に成功した攻撃者は、標的とするハイパーバイザーや CloudStack 管理サーバ・ホスト上で、任意のコマンドを実行できる。最悪の場合には、侵害された CloudStack 環境の乗っ取りへといたり、データ漏洩/サービス運用妨害/金銭的損失などにつながる可能性が生じる。
無効化された統合 API サービスにおける動的なポート割り当て (CVE-2024-39864)
2つ目の脆弱性 CVE-2024-39864 は、CloudStack 統合 API サービスに影響を及ぼすものだ。このサービスの無効化によりアクセスを阻止できるが、不適切な初期化ロジックにより、ランダムなポートでのリクエストの待ち受け状態が生じる。CloudStack の管理ネットワークにアクセスできる攻撃者は、このランダムなポートを特定し、それを悪用することで、不正な管理アクションの実行が可能となり、さらには、CloudStack の管理ホスト上でのリモート・コード実行にいたる恐れもある。この脆弱性により、インフラが完全に侵害されるリスクが増幅される。
影響を受けるバージョンと対策方法
Apache CloudStack のバージョン 4.0.0~4.18.2.0/4.19.0.0~4.19.0.1 が、これらの深刻な脆弱性の影響を受ける。Apache が強く推奨するのは、特定された脆弱性を緩和するパッチを含む、バージョン 4.18.2.1/4.19.0.2 への迅速なアップグレードである。
すぐにアップグレードできないユーザーに対しては、以下の一時的な対策が推奨されている:
- ネットワーク・アクセスの制限:CloudStack 管理サーバ・ホスト上の、クラスター・サービス・ポート (デフォルトは 9090) へのアクセスを、ピア管理サーバのみに制限する。
- 露出ポートの最小化:CloudStack 管理サーバ・ホスト上のネットワーク・アクセスを、必須のポートのみに制限する。
CloudStack と聞くと、懐かしい気分になります。そう言えば、2024/07/03 には「OpenStack の脆弱性 CVE-2024-32498 が FIX:機密データへの不正アクセスに繋がる恐れ」という記事がありました。どちらも元気そうで嬉しいです。CloudStack を、ご利用中のチームも多いかと思います。十分に お気をつけください。よろしければ、カテゴリ Cloud も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.