Several Bugs Found in 3 Open-Source Software Used by Several Businesses
2021/07/27 TheHackerNews — この火曜日に、サイバー・セキュリティ研究者たちは、いくつかの中小企業で広く利用されている EspoCRM / Pimcore / Akaunting という、3つの OSS プロジェクトに影響を与える、9つの脆弱性を公開した。この脆弱性が悪用されると、より高度な攻撃への道が開かれてしまう可能性がある。EspoCRM v6.1.6 および、Pimcore Customer Data Framework v3.0.0、Pimcore AdminBundle v6.8.0、Akaunting v2.1.12 に影響を与えるセキュリティ上の欠陥は、公開後1日以内に修正されたと、Nokia の研究者である Wiktor Sędkowski と Rapid7の Trevor Christiansen は指摘している。
なお、9つの欠陥のうち6つは、Akaunting プロジェクトで発見されたものだ。EspoCRM は OSS の CRM (customer relationship management) であり、Pimcoreは顧客データやデジタル資産を管理する OSS エンタープライズ・ソフトウェア・プラットフォームだ。また、Akaunting は、請求書や経費のトラッキングのためにデザインされた OSS の会計ソフトウェアである。
問題点のリストは以下の通り。
・CVE-2021-3539 (CVSS 6.3) – EspoCRM v6.1.6 の蓄積型 XSS
・CVE-2021-31867 (CVSS 6.5) – Pimcore Customer Data Framework v3.0.0 の SQL インジェクション
・CVE-2021-31869 (CVSS 6.5) – Pimcore AdminBundle v6.8.0 の SQL インジェクション
・CVE-2021-36800 (CVSS 8.7) – Akaunting v2.1.12 の OS コマンド・インジェクション
・CVE-2021-36801 (CVSS 8.5) – Akaunting v2.1.12 の認証バイパス
・CVE-2021-36802 (CVSS 6.5) – Akaunting v2.1.12 のサービス拒否
・CVE-2021-36803 (CVSS 6.3) – Akaunting v2.1.12 の蓄積型 XSS
・CVE-2021-36804 (CVSS 5.4) – Akaunting v2.1.12 の不適切なパスワードリセット
・CVE-2021-36805 (CVSS 5.2) – Akaunting v2.1.12 の蓄積型 XSS
これらの欠陥が悪用されると、認証された攻撃者による任意の JavaScript コードの実行や、基盤となる OS の乗っ取り、特別に細工された HTTP リクエストを介したサービス拒否、ユーザーア・カウントに関連付けられ情報の改ざんなどが生じる。また、Akaunting で対処されているのは、「パスワードを忘れた」機能を悪用する攻撃者が、アプリケーションから登録ユーザーにフィッシング・メールを送信し、クリックすると悪意のリンクを含むパスワード・リセット・トークンを配信するという脆弱性だ。
悪意の攻撃者は、このトークンを用いて、自由にパスワードを設定できる。研究者たちは、「これら3つのプロジェクトは、いずれも実際のユーザーを持ち、クラウド版などが利用されており、何千もの中小企業を支えるコア的なアプリケーションであることに間違いない。これらの、すべての問題は、最新バージョンにアップデートすることで解決する」と述べている。
EspoCRM は CRM、Pimcoreは顧客データやデジタル資産の管理、Akaunting は会計ソフトウェアとのことで、日本のマーケットで使われているのかどうか、よく分かりませんが、お使いの企業は要注意ですね。とても気になるのは、Akaunting v2.1.12 の不適切なパスワード・リセット (CVE-2021-36804) です。つい先日に、「Web アプリのパスワード・リセットと DNS スプーフィングの組合せは最悪の結果を招く」という記事をポストしましたが、早速の具体的な事例の登場です。Miter には CWE-640 として登録されていました。
IoT OT Security News 