Vulnerability in lighttpd Web Server Exposes Sensitive Data: Urgent Patch Required
2024/07/10 SecurityOnline — カーネギーメロン大学 CERT/CC (Coordination Center) が公開したのは、lighttpd 1.4.50 以下における use-after-free の脆弱性に関する情報である。この脆弱性の悪用に成功したリモートの未認証の攻撃者は、細工した HTTP リクエストを悪用することを可能となり、Web サーバのクラッシュや機密データ漏洩を引き起こす可能性を手にする。2018年の時点において lighttpd プロジェクトは、この脆弱性を修正している。しかし、最近まで CVE が採番していなかったことで、数多くの実装にパッチが適用されておらず、未だセキュリティ・リスクが残存している。
lighttpd は、低リソース環境向けに設計された、軽量な Web サーバである。CPU/メモリ・フットプリントが必要最低限に抑えられる効率性により、IoT デバイスやファームウェアで広く使用されている。2018年11月に、lighttpd 1.4.50 以下のバージョンの HTTP ヘッダー解析コードに脆弱性が存在することが、VDOO の研究者たちにより発見された。この脆弱性は、2018年8月にリリースされたバージョン 1.4.51 で修正されたが、CVE ID が割り当てられていなかったことで、数多くのシステムにおいて、必要なアップデートがされない状況となっている。
2024年4月に Binarly は、この脆弱性が多数の製品に残っていることを発見し、重大なサプライチェーン・リスクがあると指摘している。CVE ID が採番されていなかったことで、多数の組織がセキュリティ修正の必要性を認識できなかった。先日に、lighttpd プロジェクトは、この脆弱性を CVE-2018-25103 として正式に特定し、サプライチェーンのパートナーに対して、必要なアップデートを実装するよう警告している。
特別に細工した HTTP リクエストを、標的の Web サーバに送信することで、攻撃者は脆弱性 CVE-2018-25103 を悪用できる。悪用が成功すると、以下のような事態が発生する可能性がある:
- サービス拒否 (DoS):攻撃者は Web サーバをクラッシュさせ、正当なユーザーが利用できないようできる。
- 情報漏洩:プロセス・アドレスや潜在的な機密データを含む、サーバのメモリからの機密情報の漏洩が発生する。
脆弱性 CVE-2018-25103 の影響は、個々の Web サイトだけに留まらない。IoT デバイスや組み込みシステムで、lighttpd は広く使用されているため、大手ベンダーの製品を含む広範な製品が危険にさらされる可能性がある。
CERT/CC がユーザー組織に対して強く推奨するのは、下記の対策を早急に講じることで、この脅威を軽減することである:
- パッチの適用:lighttpd を最新バージョンへとアップデートし、ベンダーからの全てのパッチが適用されていることを確認する。
- EoL デバイスの交換: ベンダーのサポートが終了しているデバイスは、脆弱性の排除が困難なため、交換を検討する。
- ネットワーク・アクセスの制限:lighttpd 実装に対するネットワーク・アクセスを制限し、潜在的な攻撃にさらされる機会を最小限に抑える。
lighttpd という軽量級の Web サーバに発生した脆弱性ですが、パッチが適用されても CVE が採番されないという状況が続いていたとのことで、新たな脆弱性 CVE-2018-25103 というかたちで公表されました。きっと、煩わしかったのでしょう。よろしければ、2022/04/19 の「あなたが脆弱性を発見したとき:CVE 発行までの 4-Steps とは?」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.