CVE-2024-49369 (CVSS 9.8): Critical Flaw in Icinga 2 Allows for Impersonation and RCE
2024/11/15 SecurityOnline — Icinga 2 のバージョン 2.4.0 以降に存在する、TLS 証明書の検証バイパス脆弱性 CVE-2024-49369 (CVSS:9.8) が明らかにされた。この、広く使用されている OSS 監視システムに影響を及ぼす、深刻な脆弱性に対処するために、Icinga は緊急のセキュリティ・アップデートをリリースした。
この脆弱性の悪用に成功した攻撃者は、TLS 証明書の検証をバイパスを達成し、信頼されたクラスタ・ノードや API ユーザーになりすまし、リモート・コード実行やコンフィグ操作の可能性を手にする。
Icinga は、「Icinga 2 の 2.4.0以降の全てのバージョンにおいて、TLS 証明書の検証に関する欠陥が発見された」と警告している。
この脆弱性の悪用に成功した攻撃者は、以下の悪意のアクションを実行する可能性を得る。
- 信頼されたクラスタ・ノードへのなりすまし:マスター・ノード/サテライト・ノードになりすます攻撃者は、Icinga クラスタ内の他のノードに対して、悪意のコンフィグ更新の注入や、任意のコマンド実行を可能にする。
- API ユーザーへのなりすまし:この脆弱性の悪用に成功した攻撃者は、正規の API ユーザーの権限で不正アクセスを行い、コンフィグ変更やコマンド実行を可能にする。
Icinga は、「この脆弱性の CVSS スコアは 9.8 と評価されており、その影響は大きなものとなる。大半のインストールが、この脆弱性の影響を受ける」と述べている。
緊急対応が必要:ただちにアップグレードを!
Icinga は、複数のブランチをカバーするかたちで、修正版をリリースしている。
ユーザーに対して強く推奨されるのは、最新の修正版へと、ただちにアップグレードすることだ。更新されたパッケージは、packages.icinga.com/Icinga for Windowsリポジトリ/Docker Hub/Helm Chart リポジトリで入手できる。
緩和策
アップグレードが最優先の推奨事項だが、速やかなパッチ適用が難しい場合には、一時的な緩和策も検討すべきである。ファイアウォールを使用して、Icinga 2 API ポートへのアクセスを制限することで、攻撃対象領域を縮小できる。
詳細な脆弱性レポートが公開予定
ユーザーによる、システムへのパッチ適用の時間を確保するために、2024年11月26日に Icinga は、包括的なレポートを公開する予定である。このレポートには、脆弱性 CVE-2024-49369 に関する詳細な情報が記載されるという。
Icinga 2 の深刻な脆弱性が FIX しました。 監視システムなだけに、悪用されると甚大な被害が生じます。ご利用のチームは、ご注意ください。よろしければ、Monitoring で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.