cBioPortal for Cancer Genomicsは、大規模な癌ゲノムデータセットの可視化、分析、ダウンロードを提供するプラットフォームです。CVE-2024-41668は、認証なしで公開されているプロキシエンドポイントにおいてSSRF攻撃を許容する脆弱性です。この脆弱性は、バージョン6.0.11以下に影響を与え、攻撃者は内部リソースへの不正アクセスを試みることが可能です。バージョン6.0.12へのアップデートで修正されています。
このSSRF脆弱性を悪用されると、攻撃者はcBioPortalがアクセスできる内部ネットワークリソースにアクセスできる可能性があります。例えば、内部データベースやAPIエンドポイントへのアクセスを試み、機密情報を窃取したり、システム設定を変更したりする可能性があります。ログインユーザーは、プライベートインスタンスにおいても同様の攻撃を受ける可能性があります。攻撃者は、内部サービスをスキャンしたり、他のシステムへの攻撃の足がかりとして利用したりする可能性も考えられます。この脆弱性は、機密情報の漏洩、システムへの不正アクセス、さらにはネットワーク全体の侵害につながる可能性があります。
この脆弱性は、2024年7月23日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF攻撃は比較的容易に実行可能なため、悪用される可能性はあります。CISA KEVへの登録状況は不明です。NVDデータベースも参照し、最新の情報を確認してください。
Organizations running publicly accessible cBioPortal instances, particularly those with sensitive data stored on internal networks, are at significant risk. Environments where cBioPortal is integrated with other internal systems are also vulnerable, as an attacker could potentially leverage the SSRF to gain access to those systems.
• java / server: Monitor access logs for requests to the /proxy endpoint originating from unexpected sources.
grep '/proxy' /var/log/nginx/access.log | grep -v "your_trusted_ip_range"• generic web: Use curl to attempt to access internal resources through the /proxy endpoint. A successful request indicates the vulnerability is present.
curl -v http://cbioportal_server/proxy/http://internal_resourcedisclosure
エクスプロイト状況
EPSS
0.11% (30% パーセンタイル)
CISA SSVC
CVSS ベクトル
バージョン6.0.12へのアップデートが推奨されます。アップデートが困難な場合は、/proxyエンドポイントを完全に無効化することを検討してください。Nginxなどのリバースプロキシを使用して、/proxyへのアクセスをブロックできます。また、ファイアウォールルールを設定し、外部からの/proxyへのアクセスを制限することも有効です。cBioPortalのアクセス制御を強化し、不要な内部ネットワークへのアクセスを制限することも重要です。アップデート後、cBioPortalのログを監視し、不正なアクセスがないか確認してください。
cBioPortal をバージョン 6.0.12 以降にアップデートしてください。代替案として、Nginx などのリバースプロキシの設定によって `/proxy` エンドポイントを無効にすることができます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-41668は、cBioPortal for Cancer Genomicsのバージョン6.0.11以下において、認証なしで公開されているプロキシエンドポイントを介したサーバーサイドリクエストフォージリ(SSRF)攻撃を可能にする脆弱性です。
cBioPortal for Cancer Genomicsのバージョン6.0.11以下を使用している場合は、影響を受ける可能性があります。
バージョン6.0.12へのアップデートが推奨されます。アップデートが困難な場合は、/proxyエンドポイントを無効化してください。
現時点では、公開されているPoCは確認されていませんが、悪用される可能性はあります。
cBioPortalの公式ウェブサイトまたはGitHubリポジトリで、関連するアドバイザリを確認してください。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。