Apache CloudStack Releases Critical Patches (CVE-2024-42062 and CVE-2024-42222)
2024/08/07 SecurityOnline — Apache CloudStack が公開した緊急セキュリティ・アドバイザリは、2つの重大な脆弱性 CVE-2024-42062/CVE-2024-42222 に対処するために、直ちにアップデートするようユーザーに呼びかけるものだ。CloudStack のバージョン 4.10.0 〜4.19.1.0 に存在する、これらの脆弱性の悪用に成功した攻撃者は、機密情報への不正アクセスおよび、CloudStack が管理するインフラの完全性を侵害する可能性を手にする。
Apache CloudStack は、仮想マシンによる広範なネットワークを展開/管理するために設計された、堅牢なオープンソース・ソフトウェア・システムである。可用性と拡張性の高い IaaS (Infrastructure as a Service) クラウド・コンピューティング・プラットフォームとして、クラウド・リソースを効率的に管理するために、数多くの組織をサポートしている。
CVE-2024-42062:ドメイン管理者への User キーの漏えい
アクセス許可検証の欠陥により、登録された全ての API キーとアカウント・ユーザーの秘密キーが、ドメイン管理者アカウントから照会されてしまう。そこには、root 管理者の秘密キーも含まれるため、ドメイン管理者アクセス権を持つ攻撃者は、権限を昇格させることが可能になり、 データ漏洩/完全性侵害/サービス拒否など悪意の操作を引き起こすことになる。
CVE-2024-42222: 不正なネットワーク・アクセス
Apache CloudStack バージョン 4.19.1.0 のネットワーク・リスト API にはリグレッションがあるため、権限のないユーザーに対してネットワークの詳細にアクセスを許す可能性が生じ、テナントの分離やデータの機密性に重大なリスクがもたらされる。
緩和策と解決策
すでに Apache CloudStack のバージョン 4.18.2.3/4.19.1.1 が提供されているため、ただちにアップグレードおこない、これらの重大な脆弱性に対処することが強く推奨される。それ以前のバージョンのユーザーは、バージョン 4.19.1.0 をスキップして、ダイレクトに 4.19.1.1 へとアップグレードすべきである。予防措置として、既存のユーザー・キーを、すべて再生成することも推奨される。
7月には2回、8月に入ってからは今回で2回目というペースで、CloudStack に脆弱性が発見されています。Apache CloudStack に紹介が記されていますが、CVSS 値に関しては、まだ確定していないようです。ドメイン管理者から、すべてのユーザー・アカウント情報が参照できてしまうという、深刻なバグも含まれています。ご利用のチームは、ご注意ください。よろしければ、CloudStack で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.