Apache CloudStack の脆弱性 CVE-2024-50386 が FIX:KVM ベースの環境に影響

Apache CloudStack Releases Security Update for KVM Infrastructure Vulnerability – CVE-2024-50386

2024/11/12 SecurityOnline — Apache CloudStack が公表した、重要なセキュリティ・アドバイザリは、LTS (Long-Term Support) バージョン 4.18.2.5/4.19.1.3 のリリースに合わせたものである。このアドバイザリで対処されるのは、KVM (Kernel-based Virtual Machine) ベースの環境に影響を与える、深刻な脆弱性CVE-2024-50386 (CVSS:8.5) である。この脆弱性の悪用に成功した攻撃者は、テンプレートのダウンロードを悪用してホスト・ファイル・システムを侵害し、KVM インフラの整合性と機密性を重大なリスクにさらす可能性を得る。

CloudStack 4.0.0〜4.18.2.4/4.19.0.0〜4.19.1.2 に影響に影響を及ぼす、脆弱性 CVE-2024-50386 は、不適切な検証チェックに起因するものである。具体的に言うと、それにより、ダイレクトにダウンロードされたテンプレートが、KVM ベース・インフラの悪用に用いられる可能性が生じるという。

Apache CloudStack のデフォルトでは、インスタンス展開用のテンプレートを、プライマリ・ストレージにダイレクトに登録することが、アカウント・ユーザーに対して許可されている。それにより、ホスト・ファイル・システムにアクセスして侵害するための、悪意のインスタンス展開という潜在的な経路が、攻撃者に対して開かれることになる。

Apache CloudStack の勧告は、「テンプレートの登録が可能な攻撃者は、それらを悪用して KVM ベースの環境に対して、悪意のインスタンスを展開できる。それにより、データ損失/サービス拒否/リソースの不整合などの、リスクにつながる可能性が生じる。保護されないテンプレートを悪用する攻撃者は、特権を拡大し、ストレージ環境を操作し、機密データへのアクセスを達成する可能性を得る。

脆弱性 CVE-2024-50386 は、セキュリティ研究者の Kiran Chavala により発見/報告された。それにより Apache は、この脆弱性への対処が可能になった。

Apache CloudStack がユーザーに対して強く推奨するのは、新たにリリースされたバージョン 4.18.2.5/4.19.1.3 へとアップグレードし、この脆弱性を修正することだ。また、このプロジェクトでは、KVM 互換テンプレートの整合性を検証するためのガイダンスも提供されている。

なお、4.19.1.0 未満のバージョンを使用している、ユーザーに対して推奨されるのは、既知の問題がする 4.19.1.0 をスキップし、4.19.1.3 へとアップグレードすることだ。

最新バージョンへのアップデートに加えて、Apache CloudStack が促しているのは、ユーザー登録済みの KVM テンプレートを厳密にスキャンし、悪用の可能性のある不要な機能の存在を確認することである。もし、それらが見つかった場合には、削除すべきである。

 テンプレートの検証には、特定のコマンドを使用することが推奨されている:

  • ホスト・ファイル・システムへの侵害の可能性を確認:for file in $(find /path/to/storage/ -type f -regex [a-f0-9\-]*.*); do echo "Retrieving file [$file] info. If the output is not empty, that might indicate a compromised disk; check it carefully."; qemu-img info -U $file | grep file: ; printf "\n\n"; done
  • テンプレート/ボリュームの全機能を検証:for file in $(find /path/to/storage/ -type f -regex [a-f0-9\-]*.*); do echo "Retrieving file [$file] info."; qemu-img info -U $file; printf "\n\n"; done

上記のコマンドは、潜在的なリスクの特定に役立つものだ。その一方で、このアドバイザリは、「テンプレートの進化や統合が進むと、プライマリ・ストレージに対するコマンド実行において、false positives と false negatives の双方が発生する可能性がある」と警告している。

Apache CloudStack の脆弱性 CVE-2024-50386 により、KVM ベースの環境に影響が生じるとのことです。似たような話が、2024/10/16 の「Apache CloudStack の脆弱性 CVE-2024-45219 などが FIX:直ちにアップデートを!」にもあります。よろしければ、KVM で検索と併せて、ご参照ください。