CVE-2024-12828 (CVSS 9.9): Webmin Vulnerability Leaves a Million Servers Exposed to RCE
2024/12/23 SecurityOnline — 人気の Web ベースのシステム管理ツールである Webmin に、サーバ制御の乗っ取りにいたる、脆弱性 CVE-2024-12828 (CVSS 9.9) が存在することが判明した。世界中で推定 100 万のインストールがあるため、この脆弱性の影響が広範囲に及ぶ可能性が生じている。
この脆弱性は、Webmin の CGI リクエスト処理におけるコマンド・インジェクションの欠陥に起因する。基本的に、このソフトウェアはユーザー入力データを適切にサニタイズできないため、攻撃者によるコマンド注入が成立し、それがルート権限で実行される恐れがある。
ZDI のアドバイザリが指摘するのは、「この脆弱性の悪用に成功したリモートの攻撃者は、影響を受ける Webmin のインストール上で、任意のコードを実行できる。ただし、この脆弱性を悪用するには認証が必要である」というものだ。
この脆弱性が特に危険である理由は、権限の低い Webmin ユーザーであっても、その悪用が可能になり得るところにある。つまり、攻撃者が完全な管理アクセス権を持っていなくても、権限の昇格を達成し、サーバーを完全に制御する可能性を手にする。
CVE-2024-12828 の悪用により、以下のような壊滅的な結果がもたらされる可能性がある。
- サーバ全体の侵害
- 機密データへの不正アクセス
- 悪意のスクリプトやランサムウェアの展開
- 脆弱性のあるサーバの、さらなる攻撃のプラットフォームとして利用
この脆弱性は Trend Micro の Zero Day Initiative により発見され、Webmin バージョン 2.111 で対処されている。Webmin および Virtualmin の管理者に対して強く推奨されるのは、直ちにインストールを更新することである。
このブログでは、今年で3回目の Webmin 脆弱性です。前回は 2024/09/04 の「Webmin/Virtualmin の脆弱性 CVE-2024-2169 がFIX:直ちにアップデートを!」であり、その前は 2024/07/10 の「Webmin の 脆弱性 CVE-2024-36451 (CVSS 8.8) が FIX:セッション・ハイジャックに至る」となっています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.