Sonatype Nexus Repository 2 Hit By RCE (CVE-2024-5082) and XSS (CVE-2024-5083) Flaws
2024/11/17 SecurityOnline — Sonatype が発行したセキュリティ勧告は、ソフトウェア・アーティファクトの保存/配布用リポジトリ・マネージャー Nexus Repository Manager 2.x 存在する、2件の脆弱性に関するものだ。これらの脆弱性 CVE-2024-5082/CVE-2024-5083 の悪用に成功した攻撃者は、悪意のコードを実行し、システムを侵害する可能性を得る。したがって、Sonatype はユーザーに対して、早急な対応を求めている。
CVE-2024-5082 (CVSSv4 7.1):リモート・コード実行 (RCE) 脆弱性
Sonatype は、「この脆弱性の悪用に成功した攻撃者は、ダウンロード時に実行されるペイロードを仕込んだ、特別に細工された Maven アーティファクトを公開できる」と述べている。つまり、侵害された Nexus Repository 2 サーバから、悪意のアーティファクトをダウンロードするだけで、システム全体が乗っ取られる可能性があることを意味する。
CVE-2024-5083 (CVSSv4 5.1):格納型 XSS (Cross-Site Scripting) 脆弱性
この脆弱性の悪用に成功した攻撃者は、maven アーティファクトへの悪意のスクリプトの注入を可能にする。Sonatype は、「ブラウザ・ウィンドウ上で管理者が、悪意のアーティファクト・コンテンツを表示した場合に、管理者権限のアカウントに許可されている、不要なアクションが実行される可能性がある」と警告している。この脆弱性の悪用に成功した攻撃者は、機密情報窃取や不正アクションなどの可能性を得る。
すでに Sonatype は、Nexus Repository 2 バージョン 2.15.2 をリリースし、これらの脆弱性に対処している。そして、ユーザーに対しては、直ちにアップグレードするよう促している。Sonatype は、Nexus Repository Manager 2.x について、延長メンテナンス中であるとし、長期的なセキュリティを確保するために、Sonatype Nexus Repository 3 への移行を推奨している。
すぐにアップグレードできないユーザーに対して、Sonatype が推奨する一時的な緩和策は、カスタム WAF ルールの展開や、公開を制限するためのリバース・プロキシの使用などである。
Sonatype Nexus Repository の脆弱性が FIX しました。Repository 3 への移行が推奨されるケースもあるようなので、ご利用のチームは、ご注意ください。このリポジトリについて、Wikipedia で調べてみたところ、「オープンソースとプロプライエタリのライセンスで利用できる、ソフトウェア・リポジトリ・マネージャである。各種のプログラミング言語リポジトリを組み合わせることが可能であり、単一のサーバをソフトウェア構築のソースとして使用できる。OSS バージョンでは、H2 データベースが使用される」と紹介されていました。よろしければ、2023/05/23 の「Sonatype Nexus Repository の脆弱性 CVE-2024-4956 が FIX:パス・トラバーサル発生の恐れ」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.