ZabbixのCVSS9.9の脆弱性に対するPoCが公開 悪用が進む恐れあるため直ちに対処を：セキュリティニュースアラート

Zabbixに存在する脆弱性「CVE-2024-42327」のPoC（概念実証）が公開された。同脆弱性はCVSS v3.1のスコアで9.9、深刻度「緊急」（Critical）と評価されている。PoC公開によって悪用が進む恐れがあるため至急対応してほしい。

[後藤大地，有限会社オングス]

　サイバーセキュリティ専門家のアレハンドロ・ラモス氏は2024年12月1日（現地時間）、監視ソリューション「Zabbix」に存在する脆弱（ぜいじゃく）性「CVE-2024-42327」のPoC（概念実証）を公開した。

　CVE-2024-42327はZabbixの「user.get」メソッド内「selectRole」処理に起因したSQLインジェクションの脆弱性だ。管理者以外のユーザーでも特定のロールがあればこの脆弱性を悪用できる可能性がある。共通脆弱性評価システム（CVSS）v3.1のスコアは9.9、深刻度「緊急」（Critical）と評価されている。

ChatGPTを利用し、Zabbix脆弱性のエクスプロイトを短時間で開発

　CVE-2024-42327はもともとバグバウンティプラットフォーム「Hacker One」を通じてセキュリティ研究者のマーク・ラーコーツィ氏によって発見された。ラモス氏はこの脆弱性をさらに分析し、Zabbixの脆弱なバージョンをローカル環境に用意して実際にSQLインジェクションを試みた。

　ラモス氏の報告によると、「ChatGPT」を活用することで攻撃に必要なPythonスクリプトを数分で作成できたという。SQLインジェクション攻撃を自動化するエクスプロイトコードを生成し、手動で実行すれば数時間を要する開発作業が短時間で実現できたという。このPoCコードは「GitHub」で公開されている。

　Zabbixはこの脆弱性の重要性を認識しており、セキュリティパッチを適用したバージョンを提供している。影響を受けるZabbixのバージョンは6.0.0〜6.0.31、6.4.0〜6.4.16、7.0.0とされ、6.0.32rc1、6.4.17rc1、7.0.1rc1で修正されている。また、PoCコードが公開されたことでこの脆弱性が積極的に悪用される可能性がある。Zabbixを使用しているユーザーは速やかに最新バージョンへのアップデートの適用を強く推奨される。