Signal K Serverは、ボートの中央ハブ上で動作するサーバーアプリケーションです。バージョン2.19.0より前のバージョンには、認証なしでJWT認証トークンを盗み出すために連鎖的に悪用できる2つの脆弱な機能が存在します。攻撃者は、「WebSocketベースのリクエスト列挙」と「未認証のアクセスリクエスト状態のポーリング」を組み合わせて攻撃を実行できます。一つ目の「未認証WebSocketリクエスト列挙」では、WebSocketクライアントが`serverevents=all`というクエリパラメータ付きでSignalKストリームエンドポイントに接続すると、サーバーは`ACCESS_REQUEST`イベントなどのキャッシュされた全サーバーイベントを送信します。`startServerEvents`関数は、`app.lastServerEvents`を繰り返し、権限レベルの検証をせずに全キャッシュイベントを接続中のクライアントに送信します。このため、WebSocket接続は読み取り専用ユーザー(`allow_readonly`がtrueの場合は未認証ユーザーも含まれます)にも許可され、攻撃者はリクエストID、クライアント識別子、説明、要求された権限、IPアドレスなどを含むこれらのイベントを受信できます。二つ目の「未認証トークンポーリング」では、`/signalk/v1/access/requests/:id`のアクセスリクエスト状態エンドポイントが認証不要でアクセスリクエストの全情報を返し、管理者がリクエストを承認すると、応答には発行されたJWTトークンが平文で含まれます。`queryRequest`関数はトークンフィールドを含む完全なリクエストオブジェクトを返し、RESTエンドポイントは読み取り専用認証を使用するため、認証されていないアクセスが可能です。攻撃者は、IPスプーフィングの脆弱性を利用して自身のアクセスリクエストを作成し、管理者が承認するまで自分のリクエストIDをポーリングしてJWTトークンを取得する、またはWebSocketストリームを監視して正規デバイスのリクエストIDを取得し、それらのIDをポーリングして管理者が承認したタイミングでJWTトークンを盗み、正規デバイスの認証情報を乗っ取ることができます。いずれも認証は一切不要で、完全な認証回避が可能です。バージョン2.19.0でこれらの根本的な問題を修正しました。
|