新しい重大なAdGuard Homeの脆弱性が攻撃者に認証をバイパスさせる
AdGuard Homeは、広告とトラッカーをブロックするネットワーク全体のソリューションとして非常に人気があります。このソフトウェアは、最近緊急のセキュリティ修正版をリリースし、重大な脆弱性に対処しました。この脆弱性は、CVE-2026-32136として追跡され、一般的な脆弱性評価システムのスケールで9.8の最大深刻度評価を受けています。
脆弱性の詳細
この深刻な認証バイパスの問題は、セキュリティ研究者であるmandrekoによって最初に発見され、適切に報告されました。脆弱性報告を受け取ったAdGuard開発チームは、すぐに脆弱性の深刻度を確認し、公開脆弱性データベースに提出しました。この脆弱性が世界中のユーザーに極めて危険であることを認識し、メンテナは迅速に0.107.73のホットフィックスの開発と公開を進めました。
この脆弱性の根本原因は、未修正のAdGuard Homeが特定のネットワーク接続アップグレード要求をどのように処理するかにあります。攻撃者は、ターゲットのAdGuardサーバーに標準のHTTP/1.1リクエストを送信します。このリクエストには、サーバーが既存の接続をHTTP/2 ClearText(h2c)にアップグレードするよう求める特定のコマンドが含まれています。
サーバーがこのアップグレードを承認すると、結果のHTTP/2接続が内部マルチプレクサに直接渡されます。この内部マルチプレクサには、必要な認証ミドルウェアが完全に欠けています。このアーキテクチャの過失により、この新しく確立されたチャネルを介して送信されるすべてのHTTP/2リクエストがシステムによって自動的に完全に認証されたものとして扱われ、攻撃者が無制限の管理者権限を獲得します。
緩和策と修正
この深刻な脅威を中和するために、AdGuard開発チームは、すべてのh2cから公開リソースへのリクエストに対して厳格な認証プロトコルを要求するパッチを適用しました。システム管理者と家庭ユーザーは、直ちに保護措置を講じて環境を保護することを強く推奨します。
- すべてのアクティブなAdGuard Homeインスタンスをバージョン0.107.73またはそれ以降のリリースに更新する。
- ネットワーク管理者は、AdGuard Home管理インターフェースへのパブリックインターネットアクセスを厳格にブロックするためのファイアウォール構成を確認する。
- セキュリティチームは、既存のDNSルーティングルールとシステムアクセスログを完全に監査し、不正な構成変更を特定する。
これらのステップを実装することで、組織はこの脆弱性から保護され、攻撃者による悪用を防ぐことができます。