Metabase においてセットアップ用アクセストークンの漏えいにより認証が回避可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
2024.07.15(月)

Metabase においてセットアップ用アクセストークンの漏えいにより認証が回避可能となる脆弱性(Scan Tech Report)

2023 年 7 月に、データ可視化ソフトウェアである Metabase に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。

脆弱性と脅威
(イメージ画像)
◆概要
 2023 年 7 月に、データ可視化ソフトウェアである Metabase に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、Metabase の実行権限で Metabase が稼働しているサーバに侵入されてしまいます。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 脆弱性は容易に悪用可能なものであり、すでに複数種類の攻撃コードが公開されています。Metabase の公式アドバイザリによれば、具体的な悪用事例は確認されていないとのことですが、攻撃の難易度が低いため早急な対策が必要であると考えられます。

◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-38646&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST

◆影響を受けるソフトウェア
 以下のバージョンの Metabase が当該脆弱性の影響を受けます。

* OSS 版
  * 0.43.7.2 未満
  * 0.44.7.1 未満の 0.44 系
  * 0.45.4.1 未満の 0.45 系
  * 0.46.6.1 未満の 0.46 系

* Enterprise 版
  * 1.43.7.2 未満
  * 1.44.7.1 未満の 1.44 系
  * 1.45.4.1 未満の 1.45 系
  * 1.46.6.1 未満の 1.46 系

◆解説
 データ可視化ソフトウェアとして世界的に利用されている Metabase に、遠隔からの任意のコード実行につながる、認証回避の脆弱性が報告されています。

 脆弱性は、/api/session/properties という URI からソフトウェアのセットアップに用いるアクセストークンが入手可能であり、そのアクセストークンがセットアップ完了後でも使用可能な点にあります。アクセストークンの流用により、攻撃者は脆弱な Metabase の認証後操作が可能となりますが、当該脆弱性が存在するバージョンの Metabase では、組み込みライブラリとして SQL インジェクションの脆弱性が存在するバージョンのデータベースソフトウェア H2 Database が用いられています。よって攻撃者は、認証回避の脆弱性を悪用後に、H2 Database 経由での SQL インジェクションにより、対象ホストに対する遠隔からの任意のコード実行が可能となります。

◆対策
 Metabase のバージョンを脆弱性の影響を受けないバージョンにアップデートしてください。

◆関連情報
[1] Metabase 公式 GitHub
  https://github.com/metabase/metabase/releases/tag/v0.46.6.1
[2] Metabase 公式
  https://www.metabase.com/blog/security-advisory
[3] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2023-38646
[4] CVE Mitre
  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38646

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性の悪用による遠隔コード実行を試みるエクスプロイトコードが公開されています。

  GitHub - securezeron/CVE-2023-38646
  https://github.com/securezeron/CVE-2023-38646/blob/main/CVE-2023-38646-Reverse-Shell.py

#--- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

    スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  2. 富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性

    富士通製ネットワーク機器Si-RシリーズおよびSR-Mシリーズに認証回避の脆弱性

  3. 裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

    裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]

  4. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  5. コーレル製 Roxio SAIB サービスで登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性

  6. 変更不可の個人情報、SNS投稿による生体情報漏えいの危険性

  7. 台湾QNAP社、自社製NASをターゲットとしたランサムウェアに注意喚起

  8. 建設システムのIT補助金窓口を装った迷惑メールに注意を呼びかけ

  9. バッファロー製ネットワーク機器に複数の脆弱性

  10. 感染したPCのwebカメラで「盗撮」するトロイの木馬を検出(Dr.WEB)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×