CVE-2024-55949 (CVSS 9.3): Critical MinIO Flaw Allows Any User to Gain Full Admin Privileges
2024/12/17 SecurityOnline — 人気の OSS ストレージ・プラットフォーム MinIO に発見された脆弱性により、すべてのユーザーが権限を管理者レベルに昇格できる可能性が生じ、データ・セキュリティに深刻なリスクへと至っている。この脆弱性 CVE-2024-55949 (CVSSv4:9.3:Critical) は、IAM import API に存在する。
この、権限チェックの欠落の脆弱性を悪用する攻撃者は、悪意の “iam-info.zip” ファイルを作成し、”mc admin cluster iam import” コマンドでアップロードすることで、自身のユーザー権限を変更できる。それにより、完全な管理権限を自身に付与する攻撃者は、MinIO デプロイメント全体の乗っ取りが可能となる。
この脆弱性は、2022年6月23日以降にリリースされた、MinIO の全バージョンに影響を及ぼす。また、前述のとおり、初期の権限に関係なく、すべてのユーザーに影響する。
MinIO ユーザーに対して強く推奨されるのは、パッチ適用バージョン RELEASE.2024-12-13T22-19-12Z へと、自身のデプロイメントを直ちに更新することだ。なお、この脆弱性に対する、既知の回避策は存在しない。
MinIO における、セキュリティ上の課題は、今回が初めてのことではない。2023 年には、深刻な脆弱性 CVE-2023-28432/CVE-2023-28434 が攻撃者により悪用され、機密データへの不正アクセスと任意のコード実行が生じている。
今回の脆弱性 CVE-2024-55949 は、深刻な権限昇格のリスクをもたらすが、回避策は存在しない。最新のデータ・ワークロードにとって重要な MinIO システムであるため、速やかなパッチ適用が不可欠である。対応が遅れると、深刻なデータ侵害に、ユーザー組織がさらされるだろう。
MinIO について、Wikipedia で調べたところ「GNU v3.0 ベースでリリースされる、オブジェクト・ストレージ・システムであり、Amazon S3 クラウド・ストレージ・サービスと API 互換性がある。各種の非構造化データに対応しており、最大サイズ 50TB の範囲内で、写真/ビデオ/ログファイル/バックアップ/コンテナ・イメージなどをサポートする」と説明されていました。なんとなく、人気の理由が分かりますね。
IoT OT Security News 
You must be logged in to post a comment.