SolarWindsのネットワーク管理ツールに「緊急」の脆弱性 急ぎ対処を:セキュリティニュースアラート
Zero Day InitiativeはSolarWinds Access Rights Managerに重大な脆弱性があると報じた。この脆弱性は認証せずに悪用可能で、CVSSスコア値「9.6」が付けられている。
Trend Micro傘下の脆弱(ぜいじゃく)性発見コミュニティーZero Day Initiative(以下、ZDI)は2024年3月28日(現地時間、以下同)、ネットワーク管理ツール「SolarWinds Access Rights Manager」に深刻度「緊急」(Critical)の脆弱性が存在すると報告した。
SolarWinds Access Rights Managerに「緊急」の脆弱性 急ぎ対処を
同脆弱性はCVE-2024-23476として特定されており、共通脆弱性評価システム(CVSS)のスコアは「9.6」が付けられている。この脆弱性が悪用されると、リモートからサイバー攻撃者によって任意のコードが実行される危険性がある。なお、この脆弱性を悪用するために認証は必要ないという。
脆弱性の問題はSolarWinds Access Rights Managerの「OpenFile」メソッドに存在している。ファイル操作を実行する前にユーザーが指定したパスを適切に検証していないことが引き金になっており、サイバー攻撃者はこの脆弱性を利用して「SYSTEM」権限で任意のコードを実行できる可能性がある。
脆弱性の影響を受けるバージョンは以下の通りだ。
- SolarWinds Access Rights Manager 2023.2.2およびこれ以前のバージョン
脆弱性が修正されたバージョンは以下の通りだ。
- SolarWinds Access Rights Manager(ARM) 2023.2.3
この脆弱性についてはSolarWindsが「SolarWinds Trust Center Security Advisories | CVE-2024-23476」で情報を公開している。
同脆弱性の情報は2023年12月22日の段階で既にSolarWindsに通知されている。その後関係者間で調整したのち、2024年3月28日に情報公開に至っている。修正済みのバージョンが公開されていることから、該当製品を使用している場合は迅速にアップデートを適用することが求められる。
関連記事
- Rustは「Go」や「C++」と比較して何が優れているのか? Googleエンジニアが語る
Googleは自社の経験を基に、ソフトウェア開発において、プログラミング言語RustがC++と比較して高い生産性と安全性を実現していると報告した。 - Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。 - Linuxカーネルに特権昇格の脆弱性 急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性(CVE-2024-1086)について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。 - 大流行する「スミッシング」 加害者にならないための“究極の対策”とは?
悪意のあるSMS経由で認証情報の窃取を狙う「スミッシング」が流行中です。一歩間違えば自らが“加害者”にもなりかねないこの攻撃。“加害者”にならないための究極の対策を紹介します。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.