CVE-2024-53675: PoC Exploit Released for HPE Insight RS XML Injection Flaw
2025/03/01 SecurityOnline — 先日にセキュリティ研究者の Robin が公表したのは、HPE Insight Remote Support (Insight RS) に影響を及ぼす、XML 外部エンティティ・インジェクション (XXE) の 脆弱性 CVE-2024-53675 (CVSS:7.3) に関する、詳細情報と PoC エクスプロイト・コードである。この脆弱性の悪用に成功したリモート攻撃者は、認証を必要とすることなく、機密情報を公開する可能性を手にする。
HPE Insight Remote Support (Insight RS) は、エンタープライズで広く利用される、サーバ/ストレージ/ネットワーク・ハードウェアに対するプロアクティブ/リアクティブなリモート・サポートのための、モニタリング/サポート・ソリューションである。このソフトウェアは、ハードウェア障害を診断し、サービス通知を HPE へと自動的に送信することで、エンタープライズ・システムの可用性を向上させるものだ。
この脆弱性は、XML 外部エンティティ (XXE) 参照を適切に制限できない、validateAgainstXSD メソッドに存在する。Zero Day Initiative (ZDI) のアドバイザリによると、この欠陥により、細工された XML ドキュメントに外部エンティティ参照を埋め込む攻撃者は、不正アクセスや潜在的なデータ流出を引き起こす機会を得るという。
攻撃者は悪意の XML ドキュメントを作成し、XML パーサーを騙して特定の URI にアクセスさせ、そのコンテンツをドキュメントに取り込ませる。それにより、攻撃者は SYSTEM アカウントにアクセスできるファイルを、潜在的に暴露できるようになる。
Robin の CVE-2024-53675 の PoC エクスプロイトは、悪意の DTD ファイルをホストすることでペイロードを送信し、指定されたファイルのコンテンツを取得してリスナーとの間での送受信を実証するものだ。ただし、このエクスプロイトは、改行文字の解析の問題により、ファイルの先頭行だけ送信するというライブラリの制約により、データを盗み出す能力が制限される。
ただし、複数の連続リクエストなどの手法と、この脆弱性を組み合わせて悪用する攻撃者は、ファイルの完全な抽出や、さらなる攻撃のための偵察情報の収集を達成する可能性を得る。
すでに HPE は、Insight Remote Support v7.14.0.629 をリリースすることで、この欠陥に対処している。このアップデートには、特定された全ての脆弱性に対するパッチが含まれている。HPE がユーザーに強く推奨するのは、速やかに Insight Remote Support を更新し、悪用のリスクを軽減することだ。
HPE Insight RS の脆弱性 CVE-2024-53675 に対する PoC が公開されました。PoC エクスプロイトが提供されたことで、悪用の可能性も高まります。この脆弱性が悪用されると、不正アクセスやデータ流出に至る可能性があるとのことです。ご利用のチームは、お気をつけください。よろしければ、HPE で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.