CVE-2024-27322の脆弱性でRのデシリアライズに安全性の問題、最新版への更新を

text: XEXEQ編集部

Rプログラミング言語の安全でないデシリアライゼーションに関する記事の要約
PromiseクラスオブジェクトのRDSシリアライズにおける任意コード実行の脆弱性
RプログラミングにおけるCVE-2024-27322脆弱性の影響と対策
CVE-2024-27322の脆弱性に対する考察と今後求められるセキュリティ対策
参考サイト

Rプログラミング言語の安全でないデシリアライゼーションに関する記事の要約

Rプログラミング言語の実装に安全でないデータのデシリアライゼーションの脆弱性
悪意のあるコードを含むPromiseクラスオブジェクトをシリアライズし任意のコード実行の可能性
R 4.4.0でシリアライズされたデータ内のPromiseオブジェクトの使用を制限し修正
信頼できないデータのデシリアライズを避けるなどの対策が必要

PromiseクラスオブジェクトのRDSシリアライズにおける任意コード実行の脆弱性

Rプログラミング言語の実装において、R 1.4.0から4.4.0より前のバージョンではPromiseクラスのオブジェクトがRDS形式でシリアライズされた際、そのオブジェクト内の値が未評価の状態で参照されると式が適切な遅延評価のタイミングより前に実行されてしまう問題が存在する。攻撃者はこの脆弱性を悪用し、悪意のあるコードを式に含むPromiseオブジェクトをシリアライズすることで、そのオブジェクトがデシリアライズされた際に任意のコードを実行できる可能性がある。^[1]

この問題はCVE-2024-27322として識別されており、システム上で攻撃者の意図したコードが実行されるなど深刻な影響をもたらす恐れがある。RプロジェクトはR 4.4.0においてシリアライズされたデータ内のPromiseオブジェクトの使用を制限し、適切な遅延評価のタイミングで使用されるよう修正を加えている。

ユーザーは可能な限り最新バージョンへのアップデートを適用し、.rdsや.rdxなどの信頼できないデータのデシリアライズは避けるべきだ。特にサンドボックス外でのシリアライズデータの使用には細心の注意が必要で、入力の検証やデシリアライズ処理の分離など多層防御の考え方に基づくセキュアコーディングを心がけることが肝要だろう。

RプログラミングにおけるCVE-2024-27322脆弱性の影響と対策

2024年5月1日に公開されたJVNVU#96606632によると、Rプログラミング言語の実装にはPromiseクラスオブジェクトのシリアライズ・デシリアライズ処理に起因する安全でないデータのデシリアライズの脆弱性が存在する。この脆弱性はCVE-2024-27322として識別されており、R 1.4.0から4.4.0より前のバージョンに影響する。

同脆弱性が悪用された場合、攻撃者が細工したRDSファイルをデシリアライズさせることでシステム上で任意のコードを実行できる可能性がある。Rはデータ解析やグラフ描画などの用途で幅広く利用されているため、研究機関やデータサイエンス企業などでの影響が懸念される。

R 4.4.0ではシリアライズデータ内のPromiseオブジェクトの使用を制限する修正が施されたため、最新バージョンへのアップデートを強く推奨したい。加えて、信頼できないソースから取得したRDSファイルのデシリアライズは避け、入力値の検証など適切なセキュリティ対策を講じることが重要だ。システム管理者はRの利用状況を確認し、脆弱性発覚時の迅速なパッチ適用を可能にする体制づくりにも努めるべきだろう。

CVE-2024-27322の脆弱性に対する考察と今後求められるセキュリティ対策

CVE-2024-27322で指摘されているRの安全でないデシリアライズの脆弱性は、データ指向のプログラミング言語に共通して潜む問題とも言えるだろう。シリアライズ機能は利便性が高い反面、データの復元時に悪意あるロジックが紛れ込む危険性を孕んでおり、その対策は容易ではない。特にRのようにデータ解析の現場で頻繁に使われる言語では、サードパーティ製ライブラリやデータセットの利用も多いため、開発者の意図しない脆弱性の混入リスクが高くなる。

今回の件を受け、Rコミュニティでは安全なシリアライゼーション手法の確立と普及が急務となるだろう。現在主流のRDS形式に代わる、デシリアライズ時の副作用を排除した新たなフォーマットの策定も検討に値する。加えて、シリアライズデータの完全性検証を自動化するツールの開発や、静的解析による危険なパターンの検出など、開発者を支援する仕組み作りも欠かせない。一方でRを利用する組織には、適切なデータ管理体制の整備とセキュアコーディングの徹底が求められる。外部データの無防備な読み込みは避け、信頼できるソースからのデータのみを利用するようにしたい。

プログラミング言語のシリアライゼーション機能は利便性と安全性のトレードオフになりがちで、仕様上の制約から根本的な解決は難しい側面もある。Rに限らず、データのシリアライズを伴う処理の安全性確保は喫緊の課題と言える。言語仕様の改善と平行して、データのライフサイクル全体を見渡したガバナンスの仕組みを構築していくことが、開発者とユーザー双方に求められていると言えるだろう。

今後は、プログラミング言語の設計段階からセキュリティを意識し、安全性と利便性を両立するシリアライゼーション手法の研究が進展することを期待したい。機械学習の発展により、シリアライズデータに潜む悪意あるロジックを高精度で検知する技術などにも注目が集まるかもしれない。セキュリティとプログラミング言語の関係性は、今後ますます重要になっていくと考えられる。