Proxmox Virtual Environment and Mail Gateway Exposed to Critical API Vulnerability
2024/09/25 SecurityOnline — Proxmox の Virtual Environment および Mail Gateway に、深刻な脆弱性 CVE-2024-21545 (CVSS:8.2) が存在することが、Snyk Security Labs により発見された。この脆弱性が悪用されると、機密ファイルへの不正アクセスが可能となり、システム全体が侵害される恐れが生じる。この脆弱性は、API レスポンス処理における不十分な保護対策に起因するものであり、特定の特権を持つ攻撃者に対して、任意のホスト・ファイルのダウンロードを許すとされる。
この脆弱性は Proxmox Virtual Environment (PVE) 6〜8 および Proxmox Mail Gateway (PMG) 6〜8 の、各バージョンに影響を及ぼすものである。この脆弱性の核心は、libpve-http-server-perl コンポーネントにあり、“Sys.Audit” または “VM.Monitor” の権限を持つ認証済みユーザーが、特定の条件下で API レスポンスを操作することで、任意のファイル・パスの取り込みが可能となり、不正なダウンロードへといたる。
悪用の可能性と影響
- 機密データの露出:攻撃者は、システム構成/ユーザー認証情報/秘密鍵などの機密情報にアクセスする可能性を得る。
- 特権の昇格:ダウンロードされたファイルには、特権の昇格につながる情報や脆弱性が含まれる可能性があり、システムに対する完全な制御権限の付与にいたる。
- リモート・コード実行:影響を受けるシステム上で、攻撃者が任意のコードを実行することで、システム全体が完全に侵害されるという、深刻なシナリオにいたる可能性がある。
緊急度と対策
すでに Proxmox は、この脆弱性に対応するセキュリティ・アップデートをリリースしている。したがって、ユーザーに対して強く推奨されるのは、以下のアップデートを直ちに適用することだ。
- Proxmox Mail Gateway 7:pmg-api 7.3-12 以降/libpve-http-server-perl 4.3.0 以降
- Proxmox VE 8:pve-manager 8.2.7 以降/libpve-storage-perl 8.2.5 以降/libpve-http-server-perl 5.1.1 以降
- Proxmox Mail Gateway 8:pmg-api 8.1.4 以降/libpve-http-server-perl 5.1.1 以降
- Proxmox VE 7:pve-manager 7.4-19 以降/libpve-storage-perl 7.4-4 以降/libpve-http-server-perl 4.3.0 以降
Proxmox でググってみると、かなりの量の日本語コンテンツが出てきます。その中は、VMware ESXi との比較を行うものから、Proxmox VE へマイグレーションを進めるものまで、さまざまな切り口の記事があり、この製品のポジショニングがはっきりと分かります。VMware ESXi に関連する、最近のインシデントなどを考えると、よく分かる反応であり、動向でもあります。よろしければ、VMware ESXi で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.