CVE-2024-45186: FileSender Vulnerability Poses Risk to User Credentials, Immediate Action Required
2024/09/13 SecurityOnline — 大容量ファイルを安全に送信するための機能を、認証済みのユーザーに提供する Web アプリ FileSender に、深刻なセキュリティ上の欠陥が確認された。このサーバ・サイド・テンプレート・インジェクションの脆弱性 CVE-2024-45186 の悪用に成功した未認証の攻撃者は、サーバの認証情報の取得を達成し、機密データやシステムを危険にさらす可能性を手にする。なお、この脆弱性は、セキュリティ研究者の Jonathan Bouman により発見されたものだ。
脆弱性 CVE-2024-45186 は、FileSender のバージョン 2.49/3.x beta 版以下に影響を及ぼし、このプラットフォームを使用している環境の整合性を損なう可能性を持つ。この脆弱性の悪用に成功した未認証の攻撃者は、サーバのテンプレート処理機能の欠陥を突くことで、サーバに保存されている重要な認証情報にアクセス可能となる。この脆弱性の CVSS スコア 7.9 は、すべてのインストールにおいて Critical ではないことを示しているが、認証情報が漏洩する可能性があるため、適切な対処がユーザーには求められる。
FileSender の認証では、SimpleSAMLphp が利用されており、また、SAML2/LDAP/RADIUS などのプロトコルがサポートされている。そのセキュリティ・レベルは、高等教育や研究コミュニティにおける、厳しい要件を満たすように設計されている。しかし、この脆弱性は、不正アクセスへの入口を作り出し、すべてのユーザーのリスクを高めるが、特に S3 ストレージ・バックエンドを利用しているユーザーにとって深刻なものとなる。
FileSender がユーザーに対して促しているのは、バージョン 2.49 もしくは 3.x release candidate へのアップグレードを早急に実施し、このリスクを軽減することだ。この脆弱性により、すべての環境が影響を受けるわけではないが、認証情報を保護するためのアップグレードは、システムの保護において不可欠である。
特に、S3 ストレージ・バックエンドを使用している組織は、この脆弱性によるリスクの影響を受けやすいため、このアップグレードを優先的な実施が強く求められる。更新を怠った場合には、不正アクセスやデータ漏洩につながり、ユーザー組織に深刻な結果が生じる可能性がある。
FileSender 環境を保護するユーザーに推奨されるのは、下記の対応となる:
- 可能な限り早急に、FileSender 2.49 もしくは 3.x release candidate へとアップグレードする。
- FileSender の GitHub ページにから、最新リリースをダウンロードし、手順に従ってアップグレードする。
- S3 ストレージ・バックエンドを使用している場合は、不正アクセスを回避するために優先的にアップグレードを実施する。
脆弱性 CVE-2024-45186 は、ユーザー・システムのセキュリティに重大なリスクをもたらす可能性があるものだ。迅速に対応することで、この脆弱性の潜在的な影響を緩和し、悪用から FileSender を保護すべきだ。
FileSender は、このブログでは初登場です。そこで、filesender.org の Web を参照したところ、「ファイルを共有するための安全で信頼性が高く、透明性のあるサービスを見つけるのは困難だ。ほとんどの場合、ファイルが削除されたとしても、そのファイルがどうなるかをユーザーは知らない。つまり、セキュリティとプライバシーにリスクをもたらすだけでなく、コンプライアンスと制御に障害をもたらすことになる。だからこそ、FileSender を利用してほしい。ユーザーの認証を通じて、プライバシーとセキュリティを念頭に置いて設計されているオープンソースである」と説明されていました。日本では、NII FileSender というプロダクトが、大学関連で利用されているようです。
IoT OT Security News 
You must be logged in to post a comment.