検索
連載

ファイル転送ソフトに危険な脆弱性、ファイル窃取の恐れも【セキュリティ注目トピック】

企業間で情報をやりとりする際、機密性を保つためにメールではなくファイル転送ソフトを使う場合がある。このようなソフトには高い信頼性が求められるものの、脆弱性が見つかる場合がある。どうすればよいだろうか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 2024年12月16日を含む前後の週では、ファイル転送ソフトの脆弱(ぜいじゃく)性に関連したニュースが関心を集めた。ファイル転送ソフトは企業間で重要なファイルを受け渡す際にも使われているため、早急な対応が必要だ。

ファイル転送ソフトで無制限にダウンロードされる恐れが

 ファイル転送ソフトの脆弱性では約1億人に被害を与えた「MOVEit」の事例が記憶に新しい。2024年12月は、MOVEitとは別のファイル転送ソフトウェアに脆弱性の存在が確認され、政府機関も注意を呼び掛けている。

 その他、Adobe SystemsやApache Software Foundation、Fortinet、Google、Sophosも各ベンダーの製品に危険な脆弱性が存在すると伝えた。すぐさま対処が必要なものばかりだ。以降で、それぞれについて詳しく説明する。


●2024年12月10日

 Cleoはファイル転送ソフトウェアに関する脆弱性について発表した。リモートでコードが実行される可能性のある脆弱性「CVE-2024-50623」を悪用されると、認証を経ずにホストシステム上でコマンドを実行可能になり、ファイルを無制限にアップロードしたりダウンロードしたりされてしまう。対象製品は「Cleo Harmony」「Cleo VLTrader」「Cleo LexiCom」でいずれもバージョン5.8.0.21以前に脆弱性が存在する。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、評価は「critical」だ。なお、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は「CVE-2024-50623」が悪用されているとして、同12月13日にKEV(Known Exploited Vulnerabilities Catalog、悪用が確認された脆弱性カタログ」に追加した。


●2024年12月12日

 Googleはプログラミング言語「Go」の脆弱性について発表した。公開鍵暗号を扱うServerConfig.PublicKeyCallback関数のドキュメントには、呼び出し時に提供された鍵が認証に使用されることを保証しないと書かれている。例えばSSHプロトコルでは、クライアントが対応する秘密鍵の制御を証明する前に、公開鍵が受け入れ可能かどうかを問い合わせることが可能だ。PublicKeyCallbackは複数の鍵で呼び出される可能性があり、提供された鍵の順番を使ったりして、どの鍵でクライアントが認証に成功したかを推測できない。このため、PublicKeyCallbackに渡した鍵を保存し、接続が確立された後にそれに基づいてセキュリティに関わる決定を行うアプリケーションが誤った判定をする可能性があるという。「CVE-2024-45337」を悪用されると、認証をバイパスされる可能性がある。CVSSv3.1のベーススコアは「9.1」、評価は「critical」だ。


●2024年12月13日

 自動車用鋼板を製造する九州鉄鋼センターはランサムウェア被害について発表した。2024年12月9日に社内の複数サーバに保存しているファイルが暗号化されアクセスできない状態となっていることが判明した。ネットワークの遮断や被害の可能性のあるサーバの隔離を実行後、外部専門家に調査を依頼したところ、ランサムウェアの感染が確認されたため、影響範囲や被害状況などの調査に取り組んでいるという。


●2024年12月16日

 BeyondTrustは特権アカウントのリモートアクセス管理ツール「Privileged Remote Access」や「Remote Support」の脆弱性についてセキュリティアドバイザリを発表した。両製品について、認証されていない攻撃者がサイトユーザーとして実行するコマンドを注入することができる重大な脆弱性「CVE-2024-12356」は、コマンドインジェクションの危険性がある。CVSSv3.1のベーススコアは「9.8」、評価は「critical」だ。なお、同12月18日には別のコマンドインジェクションの脆弱性「CVE-2024-12686」についても公開した。CVSSv.31のベーススコアは「6.6」、評価は「medium」だ。


●2024年12月17日

 Juniper Networksはルーターの脆弱性に関するセキュリティアドバイザリを発表した。デフォルトパスワードを変更していない「Session Smart Router」の全てのバージョンが、マルウェア「Mirai」に感染する可能性がある。すでにDDoS攻撃に悪用されていることが分かった。

 フィッシング対策協議会は月次報告書「2024/11 フィッシング報告状況」を発表した。2024年11月に同協議会に寄せられた報告件数は17万8593件で件数は前月比で2850件減少したものの、フィッシングサイトのURLは前月比で5743件増加し、7万7109件だった。悪用されたブランド名は94件。1万件以上の報告があったのは、JCB、マスターカード、えきねっと、PayPayで全体の約57.1%を占めた。1000件以上のものは24ブランドあり、全体の約94.0%を占めた。


●2024年12月18日

 Fortinetは複数の製品に関するセキュリティアドバイザリを発表した。「FortiWLM」で相対パストラバーサル攻撃を受ける危険性がある脆弱性「CVE-2023-34990」を悪用されると、公開を意識していない機密ファイルを読み取られてしまう。CVSSv3.1のベーススコアは「9.6」、重要度は「critical」だ。


●2024年12月19日

 Sophosはファイアウォール製品「Sophos Firewall」の脆弱性についてセキュリティアドバイザリを発表した。見つかったの脆弱性は3つあり、それぞれ独立している。レポートデータベースへのアクセスを許可するメール保護機能に事前認証SQLインジェクションが可能になる脆弱性「CVE-2024-12727」は、リモートでコードが実行される可能性がある。提案される高可用性クラスタ初期化のためのSSHログインパスフレーズがランダムでない脆弱性「CVE-2024-12728」は、SSHが有効な場合、Sophos Firewallの特権システムアカウントが公開される可能性がある。いずれもCVSSv3.1のベーススコアは「9.8」、評価は「critical」だ。認証されたユーザーがリモートでコードを実行される可能性がある脆弱性「CVE-2024-12729」は同じく、「8.8」「high」だ。

 JPCERTコーディネーションセンター(JPCERT/CCは水飲み場攻撃の事例を発表した。水飲み場攻撃とは、特定のユーザーが頻繁に訪れるWebサイトを攻撃し、そのWebサイトを通じてマルウェアを仕掛ける手法だ。「Adobe Flash Player」を取り上げて、攻撃の流れや仕掛けられたコード、感染するマルウェアについて図解した。


●2024年12月20日

 Apache Software FoundationはApache Tomcatに関する脆弱性を発表した。大文字と小文字を区別しないファイルシステムをTomcatで利用している場合にリモートからコードの実行が可能になる脆弱性「CVE-2024-56337」だ。

 Apache Tomcatにはリモートからコードの実行が可能になる脆弱性「CVE-2024-50379」(ベーススコアは9.8、評価はcritical)が見つかったことが、2024年12月18日に発表されたばかりだ。今回の脆弱性は前回の脆弱性への対策に欠陥があったことによって前回の脆弱性が露呈してしまう問題だという。


●2024年12月23日

 Adobe SystemsはWebアプリケーションサーバ「Adobe ColdFusion」のセキュリティアップデートを緊急発表した。制限付きディレクトリへのパス名の不適切な制限を起こす脆弱性「CVE-2024-53961」を悪用されると、任意のファイルシステムの読み取りが可能性になってしまう。CVSSv3.1のベーススコアは「7.4」、評価は「critical」だ。この脆弱性については概念実証(PoC)コードが存在するという。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る