◆概要
2024 年 11 月に公開された needrestart に存在する脆弱性に対するエクスプロイトコードが公開されています。脆弱性を悪用されてしまうと、当該ソフトウェアがインストールされているシステムへの侵入に成功した攻撃者が全権限を掌握してしまう可能性があります。
◆分析者コメント
当該脆弱性は悪用が容易な脆弱性ではありますが、脆弱性を悪用するには、攻撃者が対象ホストに侵入していてかつシステム正規の管理者がソフトウェアのインストール処理を実行する必要があります。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-48990&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Canonical%20Ltd.
◆影響を受けるソフトウェア
Ubuntu バージョン 16.04 以後にインストールされている needrestart が当該脆弱性の影響を受けると報告されています。
◆解説
Ubuntu のサーバインストールバージョンにて、ソフトウェアのインストール処理後にサービスの再起動要否を報告するために用いられている needrestart に、管理者権限への昇格が可能となる脆弱性が報告されています。
脆弱性は、needrestart での環境変数の処理の不備に起因します。脆弱性が存在する needrestart では、環境変数 PYTHONPATH が設定されている場合に値として設定されているディレクトリのパスを基準に共有ライブラリを読み込みます。needrestart の性質上、システムにより root 権限で処理が実行されるため、攻撃者は当該脆弱性を悪用して root 権限で悪意のある共有ライブラリを読み込ませて任意のコードの実行が可能となります。
◆対策
Ubuntuの公式ページ(関連情報 [1])を参照してUbuntu のバージョンに応じて needrestart をアップデートしてください。
◆関連情報
[1] Ubuntu 公式
https://ubuntu.com/security/CVE-2024-48990
[2] GitHub - liske/needrestart
https://github.com/liske/needrestart/commit/fcc9a4401392231bef4ef5ed026a0d7a275149ab
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-48990
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-48990
◆エクスプロイト
以下の Web サイトにて、侵入先ホストで当該脆弱性を悪用して権限昇格を試みるエクスプロイトコードが公開されています。
GitHub - makuga01/CVE-2024-48990-PoC
https://github.com/makuga01/CVE-2024-48990-PoC
コードは 3 つに分割されています。
#--- で始まる行は執筆者によるコメントです。
2024 年 11 月に公開された needrestart に存在する脆弱性に対するエクスプロイトコードが公開されています。脆弱性を悪用されてしまうと、当該ソフトウェアがインストールされているシステムへの侵入に成功した攻撃者が全権限を掌握してしまう可能性があります。
◆分析者コメント
当該脆弱性は悪用が容易な脆弱性ではありますが、脆弱性を悪用するには、攻撃者が対象ホストに侵入していてかつシステム正規の管理者がソフトウェアのインストール処理を実行する必要があります。
◆深刻度(CVSS)
[CVSS v3.1]
7.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2024-48990&vector=AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=Canonical%20Ltd.
◆影響を受けるソフトウェア
Ubuntu バージョン 16.04 以後にインストールされている needrestart が当該脆弱性の影響を受けると報告されています。
◆解説
Ubuntu のサーバインストールバージョンにて、ソフトウェアのインストール処理後にサービスの再起動要否を報告するために用いられている needrestart に、管理者権限への昇格が可能となる脆弱性が報告されています。
脆弱性は、needrestart での環境変数の処理の不備に起因します。脆弱性が存在する needrestart では、環境変数 PYTHONPATH が設定されている場合に値として設定されているディレクトリのパスを基準に共有ライブラリを読み込みます。needrestart の性質上、システムにより root 権限で処理が実行されるため、攻撃者は当該脆弱性を悪用して root 権限で悪意のある共有ライブラリを読み込ませて任意のコードの実行が可能となります。
◆対策
Ubuntuの公式ページ(関連情報 [1])を参照してUbuntu のバージョンに応じて needrestart をアップデートしてください。
◆関連情報
[1] Ubuntu 公式
https://ubuntu.com/security/CVE-2024-48990
[2] GitHub - liske/needrestart
https://github.com/liske/needrestart/commit/fcc9a4401392231bef4ef5ed026a0d7a275149ab
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-48990
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-48990
◆エクスプロイト
以下の Web サイトにて、侵入先ホストで当該脆弱性を悪用して権限昇格を試みるエクスプロイトコードが公開されています。
GitHub - makuga01/CVE-2024-48990-PoC
https://github.com/makuga01/CVE-2024-48990-PoC
コードは 3 つに分割されています。
#--- で始まる行は執筆者によるコメントです。
