Versa DirectorにCVSS10.0の脆弱性 悪用によって権限昇格やDBへのアクセスが可能に:セキュリティニュースアラート
Versa NetworksはVersa Directorに深刻な脆弱性(CVE-2024-42450)があると報告した。この脆弱性はCVSSで「10.0」と評価され、データベースへのアクセスや権限昇格が可能とされている。
Versa Networksは2024年11月15日(現地時間)、SASE(Secure Access Service Edge)ソリューションの一部として提供される統合管理プラットフォーム「Versa Director」に極めて深刻な脆弱(ぜいじゃく)性があることを伝えた。
この脆弱性は共通脆弱性評価システム(CVSS)v3.1において最大値の「10.0」と評価されており、悪用された場合、権限が昇格されたり、データベースにアクセスされたりする可能性がある。
CVSS 10.0の脆弱性の詳細 影響を受けるバージョンは?
同脆弱性はCVE-2024-42450として登録されている。CVE-2024-42450はVersa Directorがデフォルトで「PostgreSQL(Postgres)」を使用し、運用データや設定データを保存している点に起因する。デフォルトの構成では全てのインスタンスに共通のパスワードが設定されており、Postgresが全てのネットワークインタフェースからの接続を許可する状態になっている。この組み合わせにより、認証されていない攻撃者がデータベースにアクセスし、管理操作を実行したり、ローカルファイルシステムの内容を読み取ることでシステムの権限を昇格させたりすることが可能となる。
影響を受けるバージョンは以下の通りだ。
- Versa Director 22.1.4(2024年11月11日より前にリリースされたイメージ)
- Versa Director 22.1.3
- Versa Director 22.1.2
- Versa Director 22.1.1
- Versa Director 21.2.3
- Versa Director 21.2.2
脆弱性が修正されたバージョンは以下の通りだ。
- Versa Director 22.1.4(2024年11月11日以降にリリースされたイメージ)
Versa Networksは22.1.4の最新バージョン以降では、PostgresおよびHAポートへのアクセスをローカルおよび関連するVersa Director間に限定する設定を自動適用している。22.1.4より前のバージョンに関しては手動でHAポートのセキュリティを強化する緩和策を行う必要がある。
また、公開されているファイアウォールガイドラインが適切に実装されている場合、この脆弱性を悪用することは困難だとされている。さらに同社がホストする全てのヘッドエンドにはパッチが適用されており、この脆弱性の影響を受けることはないと報告している。
影響を受けるバージョンを使用している企業およびユーザーは速やかに最新版へのアップデートを実施するか、緩和策を適用することが望まれる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
攻撃者はどうやってEDRの検知を回避するのか? Palo Alto Networks調査で判明
Palo Alto NetworksはCortex XDRを狙ったサイバー攻撃の詳細を発表した。脅威アクターがエンドポイントセキュリティ製品の検知をどのように回避しようとしているのかが詳細に解説されている。
セキュリティ運用は手綱を握れ リクルートSOCリーダーが語るマネージドサービスの本質
セキュリティ人材が不足する昨今、マネージドサービスをいかにうまく活用して負担を低減させるかがセキュリティ組織の重要なテーマだ。リクルートのSOCリーダーが任せる業務/自組織でやるべき業務の基準を語った。
結局、攻撃側と防御側のどちらが有利なの? 有識者が語る「防御側の強み」
サイバーセキュリティの世界では「『攻撃側』と『防御側』のどちらが有利か?」という話題がしばしば議論に上る。生成AIの登場によって、攻撃側がより有利になっているという意見もあるが有識者はどう考えているのか。
Google Playの審査をかいくぐるトロイの木馬に要注意 合計200万回ダウンロード
Cybersecurity Newsは2024年11月12日(現地時間)、Google Playから配布された複数のアプリにトロイの木馬「Android.FakeApp」の亜種が含まれていたと報じた。危険なアプリの一覧も明らかになっている。