| Title | Pavel OdintsovのFastNetMonにおける重要な機能に対する認証の欠如に関する脆弱性 |
|---|---|
| Summary | FastNetMon Community Edition バージョン 1.2.9 まででは、認証機構なしでポート50052上に gRPC API サーバーを公開しています。サーバーは grpc::InsecureServerCredentials() で初期化されており(src/fastnetmon.cpp の477行目)、ソースコードのコメントには「認証機構なしで指定されたアドレスをリッスンする」と明示されています。src/api.cpp 内のいずれのRPCメソッド(ExecuteBan、ExecuteUnBan、GetBanlist、GetTotalTrafficCounters など)も認証情報の検証を行いません。ExecuteBan と ExecuteUnBan メソッドはセキュリティ上重要な処理を引き起こします。具体的には、ネットワークトラフィックをブラックホール化する可能性のあるBGPルートのアナウンスや、popen() を用いた外部通知スクリプトの実行を行います。ローカルネットワークアクセスを持つ攻撃者は、任意のIPアドレスを禁止して正当な通信を妨害したり、攻撃を解除してDDoS防御を無効化したり、スクリプトの実行を引き起こしたりすることが可能です。また、読み取り専用の監視と破壊的な管理操作を区別するロールベースアクセス制御も存在しません。 |
| Possible impacts | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 26, 2026, midnight |
| Registration Date | May 29, 2026, 11:16 a.m. |
| Last Update | May 29, 2026, 11:16 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.1 |
|---|---|
| Vector | CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月29日] 掲載 |
May 29, 2026, 11:16 a.m. |
| Summary | FastNetMon Community Edition through 1.2.9 exposes a gRPC API server on port 50052 with no authentication mechanism. The server is initialized with grpc::InsecureServerCredentials() (src/fastnetmon.cpp line 477) and a source code comment explicitly acknowledges 'Listen on the given address without any authentication mechanism.' None of the RPC methods in src/api.cpp (ExecuteBan, ExecuteUnBan, GetBanlist, GetTotalTrafficCounters, etc.) perform any credential verification. The ExecuteBan and ExecuteUnBan methods trigger security-critical actions: BGP route announcements that can blackhole network traffic, and execution of external notification scripts via popen(). An attacker with local network access can ban arbitrary IP addresses (causing denial of service to legitimate traffic), unban active attacks (disabling DDoS mitigation), and trigger script execution. There is also no role-based access control separating read-only monitoring from destructive administrative operations. |
|---|---|
| Publication Date | May 27, 2026, 1:16 a.m. |
| Registration Date | May 27, 2026, 4:08 a.m. |
| Last Update | May 28, 2026, 3:30 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:pavel-odintsov:fastnetmon:*:*:*:*:community:*:*:* | 1.2.9 | ||||