「Swagger」の仕様に、NodeJS、PHP、Ruby、Javaのコードジェネレータツールに影響を及ぼす脆弱性が発見された。
Rapid7によれば、この脆弱性は、これらの言語用のSwagger Code Generatorを通じて生成された、インジェクション可能なコードペイロードに見つかった。この脆弱性が悪用されると、攻撃者は遠隔からクライアントまたはサーバ内でコードを実行して、サービスシステムの定義に干渉できる。
同様の他のプログラミング言語用のツールにも、同じ脆弱性が存在する可能性がある。
Swaggerの仕様は寄付され、現在はOpen API Initiative(OAI)の基盤となっており、REST APIの記述のベースとして使用されている。このフレームワークは、拡張可能なAPIの導入、テスト、ドキュメント化、定義システムなどを含む、さまざまな目的に使用されている。
しかし今回、悪意を持って作成されたSwaggerドキュメントが、任意に実行可能なコードが埋め込まれたHTTP APIクライアントおよびサーバの作成に使用できることが明らかになった。多くの場合、これが可能になるのは、コードのサニタイズ処理が不十分なためだ。
今回のケースでは、クライアントサイドで、悪質なSwaggerドキュメントによってローカルに生成された任意のコードベース(多くの場合、動的に生成されたAPIの形式を取る)が信頼されてしまうという脆弱性が存在する。
またサーバサイドにも、SwaggerドキュメントからAPIクライアントや、モックサーバ、テスト仕様を動的に生成して提供するサービスに脆弱性が存在する。
脆弱性が悪用されると、ターゲット言語によって、遠隔からのコード実行や、ブラウザへのコードインジェクション、ブロックコメントの不正な終了などの問題が発生する。
Rapid7は、まず2016年4月にベンダーおよびSwagger.ioのAPIチームに連絡を試み、6月16日にはCERTに修正コード案を提供している。6月23日には一般にこの問題の情報が開示され、Rapid7が運営するプロジェクトがリリースしているペネトレーションテストツール「Metasploit」のモジュールもリリースされた。同社は、この脅威を緩和するため、当面は「OWASP ESAPI」などのサニタイズ処理ツールを使用することを推奨している。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。