注目★★★★★GitHub Advisory
motionEye に多段RCEチェーン:LFI→パスハッシュ認証→設定復元で完全乗っ取り
30秒で把握
- 1motionEye で LFI→パスハッシュ→unsafe tar→未認証アクションの4段RCE確認
- 2通常ユーザーPW未設定時は認証不要で完全乗っ取り、設定済みでも昇格可能
- 3エンドポイントへのアクセス制限と最新版への即時アップデートを確認すること
要約
motionEye に LFI・パスハッシュ認証・unsafe tar 展開・未認証アクション実行の4段階を組み合わせたリモートコード実行チェーンが確認された。ローカルモーションカメラ向け画像ダウンロードエンドポイントが絶対パスを許可しており、`/etc/shadow` 等を直接読み取れる。漏洩したパスワードハッシュ(SHA1)を署名鍵として利用する pass-the-hash で管理者権限へ昇格し、攻撃者制御の tarball を `CONF_PATH` に展開することで任意ファイルを配置できる。通常ユーザーパスワードが未設定の場合は認証なしで RCE に到達し、設定済みでも一般ユーザーから管理者昇格と RCE が可能となる。
あなたへの影響
motionEye をインターネット公開または社内ネットワークで運用しているチームは。
推奨:一般ユーザーパスワードの設定状況を直ちに確認し、修正版へのアップデートまでの間はピクチャーダウンロードエンドポイントへのアクセスをファイアウォールで遮断しておくことが現実的な緩和策となる。