Googleは、Chromiumコードベースに存在する深刻な未修正の脆弱性に対する概念実証(PoC)エクスプロイトコードを公開しました。これにより、Chrome、Microsoft Edge、Brave、Operaおよびその他のChromiumベースのブラウザを使用する数百万人のユーザーが、ステルス型ボットネットスタイルの悪用にさらされる可能性があります。
この脆弱性は2022年末に独立系セキュリティ研究者のLyra Rebane氏によって最初に報告され、42か月以上が経過した現在もパッチが適用されていない状態が続いています。
この脆弱性はPriority 1(P1)評価を持ち、高い緊急性を示すとともに、Severity 2(S2)に分類されており、Chromiumの内部脆弱性フレームワーク内において深刻な問題であることを示しています。
この脆弱性はBrowser Fetch APIに存在しており、これはService Workerを介してバックグラウンドで動画やファイルなどの大容量ダウンロードを継続処理させる機能です。
Rebane氏は、このメカニズムを悪用することで、攻撃者が制御するインフラストラクチャと継続的な通信を維持する、永続的かつ終了しないバックグラウンドタスクを生成できることを発見しました。
この挙動を利用することで、脅威アクターは被害者のブラウザとコマンド&コントロール(C2)サーバー間に隠密なチャネルを確立できます。
特にMicrosoft Edgeにおける一部の実装では、ブラウザを閉じたりデバイスを再起動した後もこの接続が持続する可能性があり、攻撃対象領域が大幅に拡大するとのことです(CSN報告)。
その結果、通常のブラウザが事実上限定的なボットネットノードへと変貌し、単一のウェブサイト訪問を超えたユーザーの操作をゼロにします。
攻撃ベクターは見た目以上に単純です。悪意のあるまたは侵害されたウェブページを訪問したユーザーは、気づかないうちにブラウザベースのボットネットに組み込まれる可能性があります。Rebane氏の開示によると、攻撃チェーンは以下のように機能します:
「『ボットネット』を構築するために数万のページビューを獲得することは現実的であり、ユーザーはJavaScriptが自分のデバイス上でリモート実行されていることに気づかないでしょう」と、Rebane氏は当初の報告書の中で述べています。
Rebane氏はまた、真の長期的リスクは、侵害されたブラウザで構成された既成のボットネットを悪用することにあり、追加の脆弱性が発見された際の即座の踏み台として機能する可能性があると警告しています。
Googleが修正前にPoCコードを公開したという決定は、セキュリティコミュニティから批判を受けています。複数のChromium開発者がイシュートラッカーでこの欠陥を「深刻な脆弱性」として認識しているにもかかわらず、完全な修正はいまだ展開されていません。
PoCが公開されたことを受け、Rebane氏は悪用が「かなり容易」になったと指摘していますが、大規模な攻撃を実施するには脅威アクター側に追加のインフラ投資が必要とされます。
公式パッチがリリースされるまでの間、セキュリティチームは以下の防御策を講じる必要があります:
公開されたエクスプロイトコードが出回り、パッチの見通しも立たない中、この脆弱性は大規模なブラウザベースのボットネットインフラを追求する脅威アクターにとって、積極的に悪用可能な機会の窓口となっています。
翻訳元: https://cyberpress.org/google-exploit-code-unfixed-chromium/