Flowmonのコマンドインジェクション

ほぼこもセキュリティニュース By Terilogy Worx

Flowmonは、ネットワーク上のやりとりをフロー情報(NetFlow)へ変換し、ネットワーク上の振る舞いを可視化することができる製品です。
ネットワーク上でなんらかの調査したい事象があった際の根本原因を探る道具として利用されます。
このFlowmonで重大度の高い脆弱性が見つかっています。

  • CVE-2024-2389
    これが今回の脆弱性です。
    重大度はCVSS 3.1のBase Scoreで最大の10.0です。
    11.1.14および12.3.5より前のFlowmonのバージョンに存在するオペレーティングシステムのコマンドインジェクションの脆弱性です。

     

  • 脆弱性の悪用の様子
    FlowmonはWebで操作するインターフェースを持っています。
    これを利用する場合、通常は認証情報を入力してログインした後に各種操作機能を利用することができます。
    しかし、この脆弱性が存在しているバージョンの場合、認証前のWebインターフェースに加工した文字列を渡す一連の操作によって、任意のコマンドを実行しその結果を確認することができる状態に仕立てることが可能となってしまいます。

この脆弱性がなんらかの特権昇格が可能な方法と組み合わせて実行された場合、対象のホストをいかようにでも操作できる状態とできそうです。

この脆弱性の影響を受けない修正されたバージョンはすでにリリースされています。
しかし、それだけでなく、この脆弱性についての概念実証コードもすでに公表されています。

自身の周囲でこのツールを利用している場合には、対応済みの状態にできているか確認しましょう。

参考記事(外部リンク):CVE-2024-2389: Command Injection Vulnerability In Progress
Flowmon

rhinosecuritylabs.com/research/cve-2024-2389-in-progress-flowmon/