Metabaseに「極めて深刻」なRCEの脆弱性、国内の200以上のインスタンスが脆弱(CVE-2023-38646)
人気のビジネスインテリジェンス/データ可視化ソフトウェアパッケージであるMetabaseに、「極めて深刻」と評価される脆弱性が見つかっている。この脆弱性は、認証されていない遠隔の攻撃者によるコード実行を可能にする恐れがあり、Metabase利用者には早急なアップデートが推奨されている。Shadowserverが公開したデータによれば、7月26日時点で脆弱なMetabaseインスタンスは世界に5,488件存在し、日本国内には275件存在するという。
CVE-2023-38646:認証不要のRCE脆弱性
CVE-2023-38646は、オープンソース版Metabaseの0.46.6.1より前のバージョンと、Metabase Enterpriseの1.46.6.1より前のバージョンに影響を与えるリモートコード実行の脆弱性。認証されていない攻撃者がこれを悪用すると、Metabaseサーバーと同じ権限で任意のコマンドを実行できるようになる恐れがある。Metabase社は、先週公開されたアドバイザリにおいて、この脆弱性を「極めて深刻」だと評価している。
同脆弱性の発見者を自称するAssetnoteによれば、APIエンドポイント「/api/setup/validate」におけるJDBC接続によって生じているものだという。Assetnoteは、Metabaseが極めて機微なデータソースに接続されるツールであることを踏まえ、認証不要でRCEを実現させるような脆弱性が存在する場合の影響は多大だと指摘している。ただ、現時点でCVE-2023-38646が実際の攻撃で悪用されていることを示す証拠は見つかっていない。
CVE-2023-38646に脆弱な日本国内のインスタンス数は「275」
Shadowserverが7月27日に投稿したツイートによれば、世界に6,936存在するMetabaseインスタンスのうち、26日時点で5,488のインスタンスがCVE-2023-38646に対して脆弱だったという。国別に見るとその大部分は米国、インド、ドイツ、フランス、英国、ブラジル、オーストラリアに存在する一方で、日本国内の脆弱なインスタンス数は「275」とされている。
We are scanning & reporting vulnerable Metabase instances (CVE-2023-38646, pre-auth RCE). Metabase advisory – https://t.co/TDX3Un5Sjs
We see 5488 instances vulnerable (26th July) out of 6936 total. Most cloud based.
Data shared in Vulnerable HTTP Report https://t.co/qxv0Gv5ELc pic.twitter.com/HPswBg5jgy
— Shadowserver (@Shadowserver) July 27, 2023
迅速なパッチ適用を
Metabaseは、ユーザーに対し、直ちにMetabaseをアップグレードするよう呼びかけている。すぐにはパッチを適用できないユーザーに対しては、「/api/setup」エンドポイントへのリクエストをブロックし、自組織のプロダクトネットワークからMetabaseインスタンスを隔離し、また当該エンドポイントへの疑わしいリクエストを監視することが推奨されている。
(情報源:The Hacker News “Major Security Flaw Discovered in Metabase BI Software – Urgent Update Required”、Metabase “Please upgrade your Metabase immediately”、Assetnote ”Chaining our way to Pre-Auth RCE in Metabase (CVE-2023-38646)”)