プラットフォーム
ruby
コンポーネント
puppet
修正版
2.7.18
Puppetのlib/puppet/network/authstore.rbに存在する脆弱性CVE-2012-3408は、certnameとしてIPアドレスを使用する際に適切な警告が表示されないことを引き起こします。これにより、悪意のある攻撃者は、以前に使用されたIPアドレスを取得することで、Puppetエージェントを偽装する可能性があります。この脆弱性は、Puppet 2.7.9以前およびPuppet Enterprise 2.5.2以前のバージョンに影響を与えます。バージョン2.7.18へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はPuppetインフラストラクチャ内のエージェントを偽装し、機密情報への不正アクセスや、システム設定の変更、さらにはマルウェアの配布といった悪意のある活動を行う可能性があります。攻撃者は、以前に使用されたIPアドレスを特定し、そのIPアドレスを使用してPuppetマスターに認証を試みることで、既存のエージェントになりすますことができます。この偽装攻撃は、Puppetの自動化プロセスを乗っ取り、広範囲にわたるシステムへの影響を及ぼす可能性があります。Puppet Enterprise環境では、この脆弱性は、エンタープライズレベルの管理機能へのアクセスを危険にさらす可能性があります。
CVE-2012-3408は、2017年10月24日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、潜在的なリスクは依然として存在します。CISA KEVカタログへの登録状況は不明です。この脆弱性は、Puppet環境のセキュリティを脅かす可能性があり、適切な対策を講じることが重要です。
エクスプロイト状況
EPSS
0.26% (49% パーセンタイル)
この脆弱性への対応策として、まずPuppetをバージョン2.7.18以降にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、IPアドレスをcertnameとして使用することを避け、代わりにホスト名を使用するようにPuppetの設定を変更することで、リスクを軽減できます。WAFやプロキシサーバーを導入し、不正なIPアドレスからの認証試行をブロックすることも有効です。また、Puppetのログを監視し、異常な認証イベントを検出するためのルールを設定することも重要です。アップデート後、Puppetマスターの認証設定を確認し、不正なIPアドレスからのアクセスがないことを確認してください。
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2012-3408は、Puppet 2.7.9以前およびPuppet Enterprise 2.5.2以前のバージョンにおいて、certnameとしてIPアドレスを使用する際に警告が表示されないという認証回避の脆弱性です。
Puppet 2.7.9以前またはPuppet Enterprise 2.5.2以前を使用している場合は、この脆弱性の影響を受ける可能性があります。
Puppetをバージョン2.7.18以降にアップデートすることで修正できます。
現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、潜在的なリスクは依然として存在します。
Puppetの公式アドバイザリは、Puppetのセキュリティアドバイザリページで確認できます。
Gemfile.lock ファイルをアップロードすると、影響の有無を即座にお知らせします。