◆概要
2023 年 7 月に、データ可視化ソフトウェアである Metabase に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、Metabase の実行権限で Metabase が稼働しているサーバに侵入されてしまいます。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
脆弱性は容易に悪用可能なものであり、すでに複数種類の攻撃コードが公開されています。Metabase の公式アドバイザリによれば、具体的な悪用事例は確認されていないとのことですが、攻撃の難易度が低いため早急な対策が必要であると考えられます。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-38646&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
以下のバージョンの Metabase が当該脆弱性の影響を受けます。
* OSS 版
* 0.43.7.2 未満
* 0.44.7.1 未満の 0.44 系
* 0.45.4.1 未満の 0.45 系
* 0.46.6.1 未満の 0.46 系
* Enterprise 版
* 1.43.7.2 未満
* 1.44.7.1 未満の 1.44 系
* 1.45.4.1 未満の 1.45 系
* 1.46.6.1 未満の 1.46 系
◆解説
データ可視化ソフトウェアとして世界的に利用されている Metabase に、遠隔からの任意のコード実行につながる、認証回避の脆弱性が報告されています。
脆弱性は、/api/session/properties という URI からソフトウェアのセットアップに用いるアクセストークンが入手可能であり、そのアクセストークンがセットアップ完了後でも使用可能な点にあります。アクセストークンの流用により、攻撃者は脆弱な Metabase の認証後操作が可能となりますが、当該脆弱性が存在するバージョンの Metabase では、組み込みライブラリとして SQL インジェクションの脆弱性が存在するバージョンのデータベースソフトウェア H2 Database が用いられています。よって攻撃者は、認証回避の脆弱性を悪用後に、H2 Database 経由での SQL インジェクションにより、対象ホストに対する遠隔からの任意のコード実行が可能となります。
◆対策
Metabase のバージョンを脆弱性の影響を受けないバージョンにアップデートしてください。
◆関連情報
[1] Metabase 公式 GitHub
https://github.com/metabase/metabase/releases/tag/v0.46.6.1
[2] Metabase 公式
https://www.metabase.com/blog/security-advisory
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2023-38646
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38646
◆エクスプロイト
以下の Web サイトにて、当該脆弱性の悪用による遠隔コード実行を試みるエクスプロイトコードが公開されています。
GitHub - securezeron/CVE-2023-38646
https://github.com/securezeron/CVE-2023-38646/blob/main/CVE-2023-38646-Reverse-Shell.py
#--- で始まる行は執筆者によるコメントです。
2023 年 7 月に、データ可視化ソフトウェアである Metabase に、遠隔からの任意のコード実行が可能となる脆弱性が報告されています。脆弱性を悪用されてしまった場合は、Metabase の実行権限で Metabase が稼働しているサーバに侵入されてしまいます。ソフトウェアのアップデートにより対策してください。
◆分析者コメント
脆弱性は容易に悪用可能なものであり、すでに複数種類の攻撃コードが公開されています。Metabase の公式アドバイザリによれば、具体的な悪用事例は確認されていないとのことですが、攻撃の難易度が低いため早急な対策が必要であると考えられます。
◆深刻度(CVSS)
[CVSS v3.1]
9.8
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2023-38646&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H&version=3.1&source=NIST
◆影響を受けるソフトウェア
以下のバージョンの Metabase が当該脆弱性の影響を受けます。
* OSS 版
* 0.43.7.2 未満
* 0.44.7.1 未満の 0.44 系
* 0.45.4.1 未満の 0.45 系
* 0.46.6.1 未満の 0.46 系
* Enterprise 版
* 1.43.7.2 未満
* 1.44.7.1 未満の 1.44 系
* 1.45.4.1 未満の 1.45 系
* 1.46.6.1 未満の 1.46 系
◆解説
データ可視化ソフトウェアとして世界的に利用されている Metabase に、遠隔からの任意のコード実行につながる、認証回避の脆弱性が報告されています。
脆弱性は、/api/session/properties という URI からソフトウェアのセットアップに用いるアクセストークンが入手可能であり、そのアクセストークンがセットアップ完了後でも使用可能な点にあります。アクセストークンの流用により、攻撃者は脆弱な Metabase の認証後操作が可能となりますが、当該脆弱性が存在するバージョンの Metabase では、組み込みライブラリとして SQL インジェクションの脆弱性が存在するバージョンのデータベースソフトウェア H2 Database が用いられています。よって攻撃者は、認証回避の脆弱性を悪用後に、H2 Database 経由での SQL インジェクションにより、対象ホストに対する遠隔からの任意のコード実行が可能となります。
◆対策
Metabase のバージョンを脆弱性の影響を受けないバージョンにアップデートしてください。
◆関連情報
[1] Metabase 公式 GitHub
https://github.com/metabase/metabase/releases/tag/v0.46.6.1
[2] Metabase 公式
https://www.metabase.com/blog/security-advisory
[3] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2023-38646
[4] CVE Mitre
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38646
◆エクスプロイト
以下の Web サイトにて、当該脆弱性の悪用による遠隔コード実行を試みるエクスプロイトコードが公開されています。
GitHub - securezeron/CVE-2023-38646
https://github.com/securezeron/CVE-2023-38646/blob/main/CVE-2023-38646-Reverse-Shell.py
#--- で始まる行は執筆者によるコメントです。
