Progress Software は、脆弱なデバイスを侵害するために使用される可能性のある Telerik Report Server の重大なリモートコード実行セキュリティ欠陥を修正するよう顧客に警告している。
サーバーベースのレポーティングプラットフォームとして、Telerik Report Serverは、レポートの集中ストレージと、組織全体でレポートを作成、展開、配信、管理するために必要なツールを提供します。
CVE-2024-6327として追跡されているこの脆弱性は、信頼されていないデータのデシリアライゼーションの弱点によるもので、攻撃者は、パッチが適用されていないサーバー上でリモートコード実行を得るために悪用することができます。
この脆弱性は、Report Server 2024 Q2 (10.1.24.514) 以前のバージョンに影響し、バージョン2024 Q2 (10.1.24.709) でパッチが適用されています。
「Report Server 2024 Q2 (10.1.24.709)以降に更新することが、この脆弱性を取り除く唯一の方法です」と、ビジネス・ソフトウェア・メーカーは水曜日のアドバイザリで 警告している。「Progress Telerikチームは、最新バージョンへのアップグレードを強く推奨している。
管理者は、以下の手順を踏むことで、自分のサーバーが攻撃に対して脆弱かどうかを確認することができる:
- レポートサーバーのウェブUIにアクセスし、管理者権限を持つアカウントでログインします。
- 設定ページ(~/Configuration/Index)を開く。
- バージョン情報]タブを選択すると、右側のペインにバージョン番号が表示されます。
Progressでは、デバイスをすぐに最新リリースにアップグレードできない人のために、一時的な緩和策も提供しています。
これには、Report Server Application Poolユーザーを制限された権限を持つものに変更する必要があります。IIS ユーザーを作成し、App Pool を割り当てる手順をまだお持ちでない方は、この Progress サポート文書の情報に従ってください。
攻撃を受けている古いTelerikの欠陥
CVE-2024-6327が悪用されたかどうかについてProgressはまだ明らかにしていないが、他のTelerikの脆弱性も近年攻撃を受けている。
例えば、2022年には、米連邦政府機関のMicrosoft Internet Information Services(IIS)ウェブサーバーが、Progress Telerik UIの重大な脆弱性CVE-2019-18935を悪用してハッキングされた。この脆弱性は、FBIのトップ標的脆弱性リストと NSAのトップ25セキュリティバグに含まれており、中国のハッカーによって悪用されている。
CISA、FBI、MS-ISACの共同勧告によると、少なくとも2つの脅威グループ(そのうちの1つはベトナムのXEグループ)が脆弱性のあるサーバーに侵入した。
侵入中、彼らは複数のマルウェアペイロードを展開し、2022年11月から2023年1月初旬の間、侵害されたネットワークへのアクセスを維持しながら情報を収集・流出させた。
さらに最近、セキュリティ研究者は、重大な認証バイパスの欠陥(CVE-2024-4358)と重大性の高いRCE(CVE-2024-1800)を連鎖させることで、Telerik Reportサーバー上でのリモート・コード実行を標的とした概念実証(PoC)エクスプロイトを開発し、公開しました。
Comments