セキュリティ

SECURITY

公開：2024-11-08

【CVE-2024-49359】ZimaOS 1.2.4にディレクトリトラバーサルの脆弱性、システム設定ファイルへのアクセスリスクが発生

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• ZimaOS 1.2.4以前にディレクトリトラバーサルの脆弱性
• 認証済みユーザーによるディレクトリ一覧表示が可能
• 重要なシステムディレクトリへのアクセスリスクあり

ZimaOS 1.2.4のセキュリティ脆弱性

IceWhaleTechは、CasaOSをフォークしたZimaデバイスおよびUEFI搭載x86-64システム向けオペレーティングシステムZimaOSにおいて、深刻なセキュリティ上の脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-49359】として識別されており、バージョン1.2.4およびそれ以前のすべてのバージョンに影響を与えることが判明している。^[1]

ZimaOSのAPIエンドポイント「http:///v2_1/file」において、認証済みユーザーがパスパラメータを操作することで任意のディレクトリの内容を一覧表示できる脆弱性が確認された。この脆弱性により、攻撃者は「/etc」などの重要なシステムディレクトリにアクセスし、設定ファイルを露出させる可能性が高まっている。

CVSSスコアは7.5（High）と評価されており、攻撃者は認証なしでネットワーク経由での攻撃が可能であることが判明している。脆弱性の種類はCWE-552（外部からアクセス可能なファイルやディレクトリ）に分類され、現時点でパッチ適用済みのバージョンは公開されていない状況だ。

ZimaOS 1.2.4の脆弱性詳細

ディレクトリトラバーサルについて

ディレクトリトラバーサルとは、Webアプリケーションにおいて意図しないディレクトリへのアクセスを可能にする脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• パスパラメータの操作による任意のディレクトリアクセス
• システム設定ファイルや機密情報の露出リスク
• 認証情報の窃取や権限昇格の足がかりに

ZimaOSで発見された脆弱性は、APIエンドポイントのパスパラメータ操作により、認証済みユーザーが任意のディレクトリ内容を一覧表示できる典型的なディレクトリトラバーサルの事例となっている。この種の脆弱性は適切な入力検証とアクセス制御の実装により防ぐことが可能だが、現時点でZimaOSには修正パッチが提供されていない状況であり、早急な対応が求められている。

ZimaOSの脆弱性に関する考察

ZimaOSの脆弱性が特に深刻なのは、認証なしでネットワーク経由での攻撃が可能な点と、システム全体の設定ファイルにアクセスできる可能性がある点である。この脆弱性を悪用されると、攻撃者は重要な設定情報を入手し、さらなる攻撃の足がかりとして利用される可能性が高まっているのだ。

今後の対策として、パスパラメータに対する厳密な入力検証の実装と、ディレクトリアクセスに対する適切な権限管理の導入が不可欠である。特にAPIエンドポイントのセキュリティ設計を見直し、最小権限の原則に基づいたアクセス制御を実装することで、同様の脆弱性の発生を防ぐことができるだろう。

ZimaOSの開発チームには、早急なセキュリティパッチの提供とともに、継続的なセキュリティ監査の実施が求められる。オープンソースプロジェクトとしての透明性を維持しながら、セキュリティ上の課題に迅速に対応できる体制を整えることが、ユーザーの信頼を獲得する上で重要になってくるはずだ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-49359, (参照 24-11-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧