Apache ZooKeeper Security Alert: Important Flaw Impacts Admin Server (CVE-2024-51504)
2024/11/07 SecurityOnline — 先日に Apache ZooKeeper が発表したのは、深刻な脆弱性 CVE-2024-51504 (Important) に関するセキュリティ・アドバイザリである。分散アプリケーションの同期とコンフィグレーションを管理する、人気の一元化サービスで発見された脆弱性により、ZooKeeper Admin Server は、IP スプーフィングによる潜在的な認証バイパスに直面することになる。
この脆弱性は、Admin Server の IPAuthenticationProvider を利用する、ZooKeeper の IP ベースの認証メカニズムに存在する。IP アドレス検出のデフォルト・コンフィグが脆弱であるため、クライアントの IP アドレスを偽装して、認証を回避する手段を、攻撃者は手にすることになる。
Apache のアドバイザリには、「デフォルト・コンフィグでは、X-Forwarded-For HTTP ヘッダーを尊重して、クライアントの IP アドレスを読み取る想定になっている。しかし、残念なことに、このヘッダーは簡単に操作することが可能だった。つまり、X-Forwarded-For リクエスト・ヘッダーは、主にプロキシ・サーバがクライアントを識別するために使用するものであり、攻撃者により、簡単に偽装される可能性がある」と詳述されている。
この脆弱性の悪用に成功した攻撃者は、スナップショットや復元操作などの重要な機能を持つ、Admin Server コマンドへの不正アクセスが可能になる。これらのコマンドは、サーバのコンフィグやバックアップ・プロセスとの直接的なインタラクションが可能であり、情報漏えいやサービスの可用性の問題につながる恐れがある。
この脆弱性 CVE-2024-51504 が悪用されると、ZooKeeper の整合性に重大なリスクが生じる。特に、分散アプリケーション全体にわたる重要なコンフィグやグループ・サービスにおいて、ZooKeeper に依存している組織にとっては、そのリスクは大きなものになる。このアドバイザリは、「この脆弱性の悪用が成功した場合には、スナップショットや任意のリストアなどの Admin Server コマンドが、実行される可能性が生じる」と警告している。
脆弱性 CVE-2024-51504 は、セキュリティ研究者である 4ra1n と Y4tacker により特定/報告された。
すでに Apache ZooKeeper チームは、この脆弱性に対処するバージョン 3.9.3 をリリースしており、ユーザーに対してアップデートを強く推奨している。このアップデート版には、より強力な認証チェックが取り込まれており、クライアントの身元確認を強化することで、IP スプーフィング攻撃のリスクが低減される。現時点において、有効な回避策は存在しないため、脆弱なバージョンを使用している組織に推奨されるのは、迅速なアップグレードである。
Apache ZooKeeper の認証バイパスの脆弱性 CVE-2024-51504 ですが、お隣のキュレーション・チームに聞いてみたところ、CVSS 値は 9.1 とのことでした。ご利用のチームは、ご注意ください。よろしければ、Apache ZooKeeper で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.