◆概要
2024 年 11 月に、Pandora FMS にて遠隔からの任意のコード実行が可能となる脆弱性の悪用手法が公開されています。攻撃者に脆弱性を悪用されてしまうと、対象ホストへの侵入が可能となります。ソフトウェアのアップデートなどにより対策してください。
◆分析者コメント
脆弱性は単純なもので攻撃コードの作成が容易なものですが、管理用 Web コンソールへのログインに成功しなければ悪用できません。ソフトウェアのアップデートが困難である場合は、管理用 Web コンソールの認証情報を強化すれば脆弱性を悪用されてしまう危険性を低減できます。
◆深刻度(CVSS)
[CVSS v4.0]
6.9
https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator?name=CVE-2024-11320&vector=AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:H/VA:L/SC:L/SI:L/SA:N/S:P/AU:N/R:U/V:C/RE:M/U:Amber&version=4.0&source=Artica%20PFMS
◆影響を受けるソフトウェア
Pandora FMS のバージョン 777.5 よりも古いバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
ネットワーク管理用ソフトウェアである Pandora FMS に、遠隔からの任意のコード実行につながる脆弱性が報告されています。
脆弱性は LDAP 認証の設定情報を処理する部分に存在します。脆弱性が存在する Pandora FMS では、LDAP 認証の設定値の一部を適切に検証せずに、OS コマンドを実行する PHP 関数に渡しています。よって、Pandora FMS の管理用 Web コンソールへのログインに成功した攻撃者は、LDAP 認証の設定を変更して OS コマンドインジェクションのペイロードを設定し、再び管理用 Web コンソールに対してリクエストを送信すれば、遠隔から任意の OS コマンドの実行を対象ホストに強制できます。
◆対策
Pandora FMS のバージョンを 777.5 またはそれよりも新しいバージョンに更新してください。ソフトウェアの更新が難しい場合は、管理用 Web コンソールの認証情報を強化して対策してください。
◆関連情報
[1] Pandora FMS 公式
https://pandorafms.com/en/security/common-vulnerabilities-and-exposures/
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-11320
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-11320
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行
を試みるエクスプロイトの手順が記載されています。
GitHub - mhaskar/CVE-2024-11320
https://github.com/mhaskar/CVE-2024-11320/blob/main/pandora-exploit.py
#--- で始まる行は執筆者によるコメントです。
2024 年 11 月に、Pandora FMS にて遠隔からの任意のコード実行が可能となる脆弱性の悪用手法が公開されています。攻撃者に脆弱性を悪用されてしまうと、対象ホストへの侵入が可能となります。ソフトウェアのアップデートなどにより対策してください。
◆分析者コメント
脆弱性は単純なもので攻撃コードの作成が容易なものですが、管理用 Web コンソールへのログインに成功しなければ悪用できません。ソフトウェアのアップデートが困難である場合は、管理用 Web コンソールの認証情報を強化すれば脆弱性を悪用されてしまう危険性を低減できます。
◆深刻度(CVSS)
[CVSS v4.0]
6.9
https://nvd.nist.gov/vuln-metrics/cvss/v4-calculator?name=CVE-2024-11320&vector=AV:N/AC:L/AT:N/PR:H/UI:P/VC:L/VI:H/VA:L/SC:L/SI:L/SA:N/S:P/AU:N/R:U/V:C/RE:M/U:Amber&version=4.0&source=Artica%20PFMS
◆影響を受けるソフトウェア
Pandora FMS のバージョン 777.5 よりも古いバージョンが当該脆弱性の影響を受けると報告されています。
◆解説
ネットワーク管理用ソフトウェアである Pandora FMS に、遠隔からの任意のコード実行につながる脆弱性が報告されています。
脆弱性は LDAP 認証の設定情報を処理する部分に存在します。脆弱性が存在する Pandora FMS では、LDAP 認証の設定値の一部を適切に検証せずに、OS コマンドを実行する PHP 関数に渡しています。よって、Pandora FMS の管理用 Web コンソールへのログインに成功した攻撃者は、LDAP 認証の設定を変更して OS コマンドインジェクションのペイロードを設定し、再び管理用 Web コンソールに対してリクエストを送信すれば、遠隔から任意の OS コマンドの実行を対象ホストに強制できます。
◆対策
Pandora FMS のバージョンを 777.5 またはそれよりも新しいバージョンに更新してください。ソフトウェアの更新が難しい場合は、管理用 Web コンソールの認証情報を強化して対策してください。
◆関連情報
[1] Pandora FMS 公式
https://pandorafms.com/en/security/common-vulnerabilities-and-exposures/
[2] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2024-11320
[3] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-11320
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して遠隔からの任意のコード実行
を試みるエクスプロイトの手順が記載されています。
GitHub - mhaskar/CVE-2024-11320
https://github.com/mhaskar/CVE-2024-11320/blob/main/pandora-exploit.py
#--- で始まる行は執筆者によるコメントです。
