CVE-2024-36451 (CVSS 8.8): Webmin Vulnerability Allows Session Hijacking
2024/07/10 SecurityOnline — Webmin と Usermin は、世界中で数百万人が使用している人気の Web ベース・システム管理ツールであるが、複数のセキュリティ脆弱性が存在することが、日本の JVN により明らかにされた。これらの脆弱性の悪用に成功した攻撃者は、任意のスクリプト実行や、コンソール・セッショでsンの乗っ取り、不正な操作の実行などの可能性を手にする。
Webmin および Usermin 内の各種コンポーネントに含まれる、sysinfo.cgi/session_login.cgi/ajaxterm モジュールなどの、公開された一連の脆弱性は影響を及ぼす。
最も深刻な脆弱性 CVE-2024-36451 (CVSS 8.8) は、十分な権限や特権を持っていない攻撃者であっても、コンソール・セッションの乗っ取りを達成する可能性にいたるものだ。その他の脆弱性は、クロス・サイト・スクリプティング (XSS) 攻撃につながる可能性があり、ユーザーの Web ブラウザ内での、脅威アクターによる任意のスクリプト実行へといたる可能性が生じる。
一連の脆弱性がもたらすリスクは、以下のとおりである:
- 任意のスクリプト実行:影響を受ける Web サイトにアクセスするユーザーの、Web ブラウザ内で任意のスクリプトが実行される可能性が生じる (CVE-2024-36450/CVE-2024-36453)。
- セッション・ハイジャック: 権限を持たないユーザーにより、コンソール・セッションの乗っ取りや、権限昇格にいたる可能性がある (CVE-2024-36451)。
- 意図しない操作:ログイン中に悪意のある Web ページを閲覧すると、システム上で意図しない操作が実行される可能性が生じる (CVE-2024-36452)。
これらの脆弱性は、Webmin のバージョン 1.910/1.970/2.003 以前、および、Usermin のバージョン 1.820 以前に影響を及ぼす。その悪用に成功した攻撃者がもたらす潜在的な影響は深刻であり、不正アクセスやデータ窃取に加えて、システムの完全な侵害にいたるまでの多岐にわたる。Webmin と Usermin が、Unix ライクなサーバ管理に広く使用されていることを考えると、早急な対策が必要であることが強調される。
これらの脆弱性から保護するために、最も効果的な方法は、Webmin と Usermin を最新バージョンへとアップデートすることだ。すでに開発者から、これらの脆弱性に対処するパッチがリリースされており、悪用のリスクは大幅に減少している。システム管理者に強く推奨されるのは、これらのアップデートを優先し、セキュリティを確保することである。
影響の範囲が広がりそうな、Webmin の脆弱性です。ご利用のチームは、ご注意ください。同じく 7月10日の JPCERT/CC に続いて、今度は JVN の活躍です。Webmin について Wikipedia を調べてみたら、「Unix 系システム用の Web ベースのサーバー管理コントロール・パネルである。Webmin を使用すると、users/disk quotas/services/configuration files などの、オペレーティング・システム内部のコンフィグレーションが可能になる。また、BIND/Apache HTTP Server/PHP/MySQL などの、オープンソース・アプリケーションを変更および制御も可能ななる」と解説されていました。
IoT OT Security News 
You must be logged in to post a comment.