大きな懸念呼んだLinuxのRCE脆弱性、危惧されたほど深刻ではない模様:CVE-2024-47177他
SecurityWeek – September 27, 2024
先週詳細が開示された、GNU/Linuxシステムに影響を与える脆弱性CVE-2024-47076、CVE-2024-47175、CVE-2024-47176およびCVE-2024-47177。当初は多数のシステムにとって大いに深刻な脅威になるだろうと推測されていたものの、実際には危惧されたほど重大ではない模様であることが明らかになったという。
脆弱性情報開示までの大まかな経緯
9月23日、セキュリティ研究者のSimone Margaritelli氏が、今後2週間以内にすべてのGNU/Linuxシステムに影響を与える認証不要のリモートコード実行の脆弱性に関する詳細を公開する、と主張。この時点でCVE識別子は採番されておらず、詳細も不明だったが、Margaritelli氏は同脆弱性のCVSSスコアが9.9であると述べたため、サイバーセキュリティ業界では多くの人々が「影響力の大きい重大な問題なのだろう」との印象を抱いた。その後間も無く、この脆弱性についての情報がGitHubにリークされ、サイバー犯罪フォーラムに出回り始めたことを受けて、Margaritelli氏は26日、脆弱性の技術的詳細とPoCエクスプロイトを公開するに至っている。
CUPSに関連するリモートコード実行の脆弱性
26日に明かされた内容によれば、当該脆弱性は、LinuxおよびUNIX系OS向けのオープンソース印刷システムCommon UNIX Printing System(CUPS)に関連するCVE-2024-47076、CVE-2024-47175、CVE-2024-47176およびCVE-2024-47177の4件。Red Hatの説明によると、これらの脆弱性を連鎖させることにより、攻撃者はリモートコード実行を達成できる可能性があり、またこれが機微なデータの窃取や重要なプロダクションシステムへのダメージに繋がる恐れもあるとされる。
悪用の妨げとなる要因が複数存在
一見非常に深刻な問題に思えるものの、以下に挙げるように、大規模な悪用の妨げになるような要因もいくつか存在しているという。ただ、いずれにせよ警戒を怠らずに緩和策を実施することが推奨される。
- CVSSスコアが想定されたよりも低い:Margaritelli氏は当初CVSSスコアが「9.9」だと示唆していたものの、実際にはCVE-2024-47076とCVE-2024-47175が8.6、CVE-2024-47176が8.3、最も高い評価のCVE-2024-47177が9.0となっている。
- デフォルトの構成では脆弱でない:Red Hatは、Red Hat Enterprise Linux(RHEL)の全バージョンが上記4件の影響を受けるバージョンだとしながらも、「デフォルトの構成では脆弱でない」と説明している。
- 悪用に必要な条件:これらの脆弱性を悪用するためには以下のアクションを実施することが求められる。①影響を受けるCUPSサービスのいずれかを手動で有効化する、②脆弱なサーバーにアクセスして有害なプリンターを準備する、③ターゲット自身に印刷ジョブを開始させる
- 印刷を頻繁に行わないシステムにおいては悪用可能性は最小:Ontinue社は、印刷を頻繁に行なっているLinuxシステムにとっては緊急の問題となるが、その他のシステムに関してはリアルワールドでの悪用可能性は最小だと説明している。また、攻撃者にはポート631からシステムにアクセスできる必要があるほか、ホストが印刷中はホストへのLANアクセスも必要になるとされる。
- ほんの一部のシステムにしか影響しない可能性がある:WatchTowrのCEOであるBenjamin Harris氏によると、CUPSデーモンおよび関連するパッケージは、主にデスクトップ版Linuxで使われるが、CUPSを用いるデスクトップマシン/ワークステーションがサーバー版と同じような形式あるいは規模でインターネットに接続されている可能性は非常に低いという。このため、過去のMS08-067、 ExternalBlue、HeartBleedといった脆弱性ほどの甚大な影響があるとは考えにくいとされる。
脆弱性のパッチはまだリリースされていない。印刷の必須な環境において推奨される緩和策としては、2件のコマンドを用いて脆弱なサービスをストップさせる、UDPポート631への全トラフィックとDNS-SDトラフィックをブロックするなどが挙げられる。