Wowza Streaming Engine Vulnerabilities Expose Thousands of Servers to Attack
2024/11/22 SecurityOnline — Wowza Streaming Engine に存在する複数の脆弱性を、Rapid7 の Lead Security Researcher である Ryan Emmons が発見した。この人気のメディア サーバの脆弱性を悪用するリモート攻撃者は、影響を受けるシステムを完全に制御する可能性を手にする。数多くの組織において利用される Wowza Streaming Engine は、ライブ・ストリーム・ブロードキャスト/ビデオ・オン・デマンドなどの、メディア・サービスを担っている。Rapid7 の調査によると、約 18,500 台の Wowza Streaming Engine サーバがパブリック・インターネットに公開されており、攻撃者の標的になる可能性があるという。
最も深刻な脆弱性は、認証を必要としない蓄積型クロス・サイト・スクリプティング (XSS) の脆弱性であり、Wowza Streaming Engine Manager の Web ダッシュボードに対する悪意のコード挿入を、攻撃者に許す可能性が生じる。悪意のコードにより汚染されたダッシュボードを管理者が表示するときに、追加の脆弱性を悪用する攻撃者は、サーバ上でのリモート・コード実行を達成する可能性を得る。
攻撃者が取得する権限は、 Linux システムでは root であり、Windows システムでは LocalSystem となる。そして、サーバの完全な制御を手に入れる。
これらの脆弱性には、次の CVE 識別子が割り当てられている:
- CVE-2024-52052 (CVSS 9.4):認証を必要とするリモート・コード実行の脆弱性
- CVE-2024-52053 (CVSS 8.7):認証を必要としない蓄積型 XSS の脆弱性
- CVE-2024-52054 (CVSS 5.1):認証を必要とするファイル書込の脆弱性
- CVE-2024-52055 (CVSS 8.2):認証を必要とする任意のファイル読取の脆弱性
- CVE-2024-52056 (CVSS 6.9):認証を必要とする任意のディレクトリ削除の脆弱性
すでに Wowza は、Streaming Engine のバージョン 4.9.1 をリリースし、これらの脆弱性に対処している。すべてのユーザーに対して強く推奨されるのは、可能な限り早急にシステムを更新することである。
Wowza Streaming Engine を使用する組織は直ちに行動を起こし、これらの脆弱性を軽減することで、潜在的な攻撃からシステムを保護する必要がある。
Wowza Media Systems は、「Rapid7のような信頼できる研究者と提携することで、セキュリティの強化に注力しており、その結果として、脆弱性に積極的に対応/修正し、顧客の利益を保護している」と述べている。
Wowza Streaming Engine の脆弱性が FIX しましたが、Rapid7 の調査によると、約 18,500 台のサーバがパブリック・インターネットに公開されているとのことです。ご利用のチームは、ご注意ください。Wikipedia では、「Wowza Streaming Engine (Wowza Media Server) は、Wowza が開発した統合型のストリーミング・メディア・サーバ・ソフトウェアでる。このサーバは、ネットワークに接続された多様なデバイスへのストリーミングで使用される。このサーバは、大半の OS 上に展開可能な Java アプリケーションであると紹介されていました。
IoT OT Security News 
You must be logged in to post a comment.