◆概要
2023 年 8 月に公開された、FileCatalyst Workflow の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、FileCatalyst Workflow の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートにより対策しましょう。
◆分析者コメント
脆弱性は、匿名ログオンであっても、FileCatalyst Workflow へのログオンに成功しているアカウントであれば容易に悪用できるものです。脆弱性の悪用に用いる HTTP リクエストは単純であるため、技術力が低い攻撃者でも簡単に悪用可能です。ソフトウェアのアップデートにより対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-25153&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Fortra
◆影響を受けるソフトウェア
FileCatalyst のバージョン 5.1.6 Build 114 よりも古いバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
ファイル転送サーバ用のソフトウェアとして世界的に用いられている Fortna 社の FileCatalyst Workflow に、遠隔からの任意のコード実行につながる脆弱性が報告されています。
脆弱性は ftpservlet というサーブレットに存在します。当該サーブレットには、JSP ファイルを任意のディレクトリにアップロードするための sid という隠しパラメータが存在します。脆弱なバージョンの FileCatalyst Workflow では、このサーブレットにパストラバーサルの脆弱性が存在するため、攻撃者は脆弱性を悪用して任意のパスに JSP ファイルの設置が可能となります。
◆対策
FileCatalyst のバージョンを 5.1.6 Build 114 またはそれよりも新しいバージョンにアップデートしてください。アクセス制御や匿名ログオンなどの禁止により、第三者から脆弱性を悪用されてしまう可能性は低減できますが、内部犯行者による悪用は防げないと考えられます。
◆関連情報
[1] FileCatalyst 公式
https://filecatalyst.software/public/filecatalyst/Workflow/5.1.6.114/fcweb_releasenotes.html
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-25153
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-25153
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホストに対して任意のコマンド実行の指示を試みるエクスプロイトコードが公開されています。
GitHub - nettitude/CVE-2024-25153
https://github.com/nettitude/CVE-2024-25153/blob/master/CVE-2024-25153.py
#--- で始まる行は執筆者によるコメントです。
2023 年 8 月に公開された、FileCatalyst Workflow の脆弱性の悪用を試みるエクスプロイトコードが公開されています。攻撃者に脆弱性を悪用されると、FileCatalyst Workflow の実行権限で OS に侵入されてしまいます。ソフトウェアのアップデートにより対策しましょう。
◆分析者コメント
脆弱性は、匿名ログオンであっても、FileCatalyst Workflow へのログオンに成功しているアカウントであれば容易に悪用できるものです。脆弱性の悪用に用いる HTTP リクエストは単純であるため、技術力が低い攻撃者でも簡単に悪用可能です。ソフトウェアのアップデートにより対策してください。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-25153&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Fortra
◆影響を受けるソフトウェア
FileCatalyst のバージョン 5.1.6 Build 114 よりも古いバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
ファイル転送サーバ用のソフトウェアとして世界的に用いられている Fortna 社の FileCatalyst Workflow に、遠隔からの任意のコード実行につながる脆弱性が報告されています。
脆弱性は ftpservlet というサーブレットに存在します。当該サーブレットには、JSP ファイルを任意のディレクトリにアップロードするための sid という隠しパラメータが存在します。脆弱なバージョンの FileCatalyst Workflow では、このサーブレットにパストラバーサルの脆弱性が存在するため、攻撃者は脆弱性を悪用して任意のパスに JSP ファイルの設置が可能となります。
◆対策
FileCatalyst のバージョンを 5.1.6 Build 114 またはそれよりも新しいバージョンにアップデートしてください。アクセス制御や匿名ログオンなどの禁止により、第三者から脆弱性を悪用されてしまう可能性は低減できますが、内部犯行者による悪用は防げないと考えられます。
◆関連情報
[1] FileCatalyst 公式
https://filecatalyst.software/public/filecatalyst/Workflow/5.1.6.114/fcweb_releasenotes.html
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-25153
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-25153
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホストに対して任意のコマンド実行の指示を試みるエクスプロイトコードが公開されています。
GitHub - nettitude/CVE-2024-25153
https://github.com/nettitude/CVE-2024-25153/blob/master/CVE-2024-25153.py
#--- で始まる行は執筆者によるコメントです。
![裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/45530.jpg)
![裏目に出たサンドボックス/露北軍事同盟/MFAの穴 ほか [Scan PREMIUM Monthly Executive Summary 2024年6月度]](/imgs/p/-o8hUiIkCj_ci7ffBUQ5xjkJUgdcBQQDAgEA/45530.jpg)
