Metabase においてセットアップ用アクセストークンの漏えいにより認証が回避可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.05.21(火)

Metabase においてセットアップ用アクセストークンの漏えいにより認証が回避可能となる脆弱性(Scan Tech Report)

2023 年 7 月に、データ可視化ソフトウェアである Metabase に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

脆弱性と脅威
(イメージ画像)
◆概要
 2023 年 7 月に、データ可視化ソフトウェアである Metabase に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、Metabase の実行権限で Metabase が稼働しているサーバに侵入されてしまいます。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 脆弱性は容易に悪用可能なものであり、すでに複数種類の攻撃コードが公開されています。Metabase の公式アドバイザリによれば、具体的な悪用事例は確認されていないとのことですが、攻撃の難易度が低いため早急な対策が必要であると考えられます。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-38646&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
 以下のバージョンの Metabase が当該脆弱性の影響を受けます。

* OSS 版
  * 0.43.7.2 未満
  * 0.44.7.1 未満の 0.44 系
  * 0.45.4.1 未満の 0.45 系
  * 0.46.6.1 未満の 0.46 系

* Enterprise 版
  * 1.43.7.2 未満
  * 1.44.7.1 未満の 1.44 系
  * 1.45.4.1 未満の 1.45 系
  * 1.46.6.1 未満の 1.46 系

◆解説
 データ可視化ソフトウェアとして世界的に利用されている Metabase に、遠隔からの任意のコード実行につながる、認証回避の脆弱性が報告されています。

 脆弱性は、/api/session/properties という URI からソフトウェアのセットアップに用いるアクセストークンが入手可能であり、そのアクセストークンがセットアップ完了後でも使用可能な点にあります。アクセストークンの流用により、攻撃者は脆弱な Metabase の認証後操作が可能となりますが、当該脆弱性が存在するバージョンの Metabase では、組み込みライブラリとして SQL インジェクションの脆弱性が存在するバージョンのデータベースソフトウェア H2 Database が用いられています。よって攻撃者は、認証回避の脆弱性を悪用後に、H2 Database 経由での SQL インジェクションにより、対象ホストに対する遠隔からの任意のコード実行が可能となります。

◆対策
 Metabase のバージョンを脆弱性の影響を受けないバージョンにアップデートしてください。

◆関連情報
[1] Metabase 公式 GitHub
  https://github.com/metabase/metabase/releases/tag/v0.46.6.1
[2] Metabase 公式
  https://www.metabase.com/blog/security-advisory
[3] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2023-38646
[4] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38646

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性の悪用による遠隔コード実行を試みるエクスプロイトコードが公開されています。

  GitHub - securezeron/CVE-2023-38646
  https://github.com/securezeron/CVE-2023-38646/blob/main/CVE-2023-38646-Reverse-Shell.py

#--- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. 北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

    北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度]

  2. Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

    Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ

  3. マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

    マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件

  4. runc におけるコンテナ内部からホスト OS への侵害が可能となるファイルディスクリプタ情報漏えいの脆弱性(Scan Tech Report)

  5. 太陽光発電施設向け遠隔監視機器「SolarView Compact」にサイバー攻撃、対策の実施を強く推奨

  6. サイボウズGaroon に複数の脆弱性

  7. DHCP のオプション 121 を利用した VPN のカプセル化回避の問題、VPN を使用していない状態に

  8. Unbound の脆弱性情報が公開

  9. 2013年にサポートが終了している「Apache Struts1」に複数の脆弱性(JVN)

  10. AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×