オープンソースのAVideoプラットフォームの脆弱性は認証を必要とせず、攻撃者がリモートからコマンドを実行し、影響を受けたサーバーを乗っ取ることを可能にします。
この脆弱性の悪用は「…完全なサーバー侵害、データ流出(設定シークレット、内部キー、認証情報など)、およびサービス中断につながる可能性がある」と述べました研究者。
AVideoサーバー乗っ取りリスクの内部
AVideoはオープンソースプラットフォームで、組織が独自のビデオストリーミングインフラストラクチャをホストして管理できます。
AVideoは通常インターネット向けのサーバーで実行されるため、脆弱性により攻撃者がストリーミングを乗っ取ったり、バックエンドシステムにアクセスしたり、ホスティングサーバーの永続的な制御を行うことが可能になります。
この脆弱性は、CVE-2026-29058として追跡されており、AVideoプラットフォームのobjects/getImage.phpコンポーネントのコマンドインジェクション脆弱性に起因しています。
このコンポーネントは、プラットフォーム全体のインターフェースで使用されるイメージ取得に関連するリクエストを処理する責任があります。
AVideoコマンドインジェクションの仕組み
この問題は、アプリケーションがbase64Urlというパラメーターを含むリクエストを処理するときに発生します。
リクエストを受け取ると、プラットフォームはユーザーが提供するBase64エンコードされた値をデコードし、デコードされたデータをffmpegを呼び出すシェルコマンドに直接挿入します。ffmpegはビデオおよびイメージ操作タスクを処理するマルチメディア処理ツールです。
アプリケーションは標準的なURLフィルタリング関数を使用した入力検証を試みていますが、この検証は提供された値が構文的に有効なURLであるように見えるかどうかのみをチェックします。
攻撃者がコマンド実行を操作するために使用できる危険なシェル文字またはコマンド置換シーケンスをサニタイズしません。
デコードされた入力が適切なエスケープなしでシェルコマンドに挿入されるため、攻撃者はffmpeg実行プロセスにコマンドを注入する特別に作成されたBase64ペイロードを送信できます。
これらの注入されたコマンドはその後、Webアプリケーションプロセスの権限で実行されます。
AVideo脆弱性の潜在的な影響
脆弱性がネットワークからアクセス可能であり、認証を必要としないため、リスクは高まり、攻撃者は特別に作成されたリクエストでそれを悪用できます。
悪用された場合、この脆弱性により攻撃者がコマンドを実行したり、マルウェアをデプロイしたり、認証情報と設定データを盗んだり、ストリーミングサービスを中断したりすることが可能になります。
脆弱性のパッチがリリースされており、公開時点では悪用の報告はありません。
AVideo脆弱性のリスク軽減
AVideoを実行している組織は、コマンドインジェクションリスクに対処すべきです。このリスクがないと、攻撃者がコードを実行したり、マルウェアをデプロイしたり、ストリーミングサービスを中断したりする可能性があります。
- AVideoを最新バージョンにパッチ適用してユーザー入力を適切にサニタイズし、コマンドインジェクションを防止します。
- Webサーバールール、リバースプロキシ、または厳密なIPホワイトリストを使用してobjects/getImage.phpエンドポイントへのアクセスを制限します。
- デプロイウェブアプリケーションファイアウォール(WAF)ツールを、疑わしいBase64エンコードペイロードとコマンドインジェクションパターンを検出してブロックできるようにします。
- サーバーログ、コマンド実行アクティビティ、およびアウトバウンドネットワーク接続を監視して悪用や異常な動作の兆候がないか確認します。
- AVideoサービスおよび関連コンポーネントを最小権限で実行し、コンテナまたはサンドボックスを使用して分離します。
- 攻撃面を減らすために、通常のプラットフォーム操作に必要でない場合は脆弱なイメージ取得コンポーネントを無効にします。
- インシデント対応計画を定期的にテストし、サーバー侵害シナリオの周辺で攻撃シミュレーションを実行します。
これらの対策を組み合わせることで、侵害の影響を軽減しながら、組織が攻撃を検出、封じ込め、復旧する能力を強化するのに役立ちます。
オープンソースソフトウェアのリスク
この脆弱性は、入力検証の弱点がどのようにインターネット向けプラットフォームをコマンドインジェクションリスクにさらすことができるかを示しています。
オープンソースプラットフォームは柔軟性と透明性を提供していますが、組織は積極的に脆弱性を監視し、更新を適用する必要があります。
これらのタイプのリスクは、組織が侵害を仮定し、アクセスを継続的に検証するゼロトラスト・ソリューションに向かっている理由を強調しています。
翻訳元: https://www.esecurityplanet.com/threats/avideo-zero-click-flaw-lets-attackers-hijack-live-streams/
