はじめに

SUSE Rancher Managerに、攻撃者が管理者アカウントをロックアウトし、Kubernetesクラスター管理運用を妨害する可能性のある重大なセキュリティ脆弱性が発見されました。

脆弱性の概要

この脆弱性はCVE-2024-58260として追跡されており、CVSSスコア7.1の高 severityと評価されています。Rancher Managerのユーザー名フィールドにおけるサーバーサイド検証の欠如が原因です。これにより、Userリソースに対する更新権限を持つユーザーが、管理者アカウントを含む標的のアカウントへのサービスアクセスを拒否する形でユーザー名を操作できる可能性があります。

• CVE ID: CVE-2024-58260
• Severity: 高 (CVSS 7.1)
• CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:H
• 原因: ユーザー名フィールドにおけるサーバーサイド検証の欠如

攻撃ベクトルと影響

この脆弱性により、主に2つの攻撃ベクトルが可能になります。

• ユーザー名乗っ取り攻撃: 悪意のあるユーザーが、他のユーザーのユーザー名を「admin」に設定できます。Rancherのログイン時のユニーク性強制により、正当な管理者と影響を受けるユーザーの両方がログインできなくなります。
• アカウントロックアウト攻撃: 管理者アカウントに対する更新権限を持つユーザーが、管理者のユーザー名を変更し、Rancher UIへのすべての管理アクセスを効果的にブロックできます。

これらの攻撃シナリオは、MITRE ATT&CKフレームワークのAccount Access Removal手法 (T1531) に合致し、攻撃者が正当なユーザーが利用するアカウントへのアクセスを阻害することで、システムおよびネットワークリソースの可用性を中断させるものです。

この脆弱性は、悪用にはUserリソースに対する更新権限が必要であるため、高い特権を要します。しかし、一度悪用されると、プラットフォームの管理とユーザー認証機能が完全に中断されるなど、その影響は深刻になる可能性があります。

対象バージョンと対策

この脆弱性の影響を受けるのは、複数のリリースブランチでRancher Managerを実行している組織です。以下のバージョンに直ちにアップグレードすることが推奨されます。

• 2.12.2
• 2.11.6
• 2.10.10
• 2.9.12

即座のパッチ適用が困難な環境では、管理者はユーザー関連リソースに対する更新権限を信頼できるユーザーのみに厳しく制限する必要があります。

詳細情報

この脆弱性の開示は、セキュリティ研究者Samjustus氏によってGitHub Security Advisory GHSA-q82v-h4rq-5c86を通じて公開され、エンタープライズコンテナ管理プラットフォームにおける適切な入力検証の重要性が強調されています。

---

元記事: https://gbhackers.com/suse-rancher-flaws-allow-attackers-to-lock-out-admin-accounts/