CISA Warns of Active exploitation of JasperReports Vulnerabilities
2022/12/30 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発な悪用の証拠があるとして、TIBCO Software の JasperReports 製品に影響を及ぼす、2つのセキュリティ欠陥を Known Exploited Vulnerabilities (KEV) カタログに追加した。それらの脆弱性 CVE-2018-5430 (CVSS:7.7) および CVE-2018-18809 (CVSS:9.9) は、TIBCOにより 2018年4月と 2019年3月に対処されている。
TIBCO JasperReports は、レポートおよびダッシュボードの作成/配布/管理を行うための、Java ベースのレポート/データ分析プラットフォームである。
最初の脆弱性 CVE-2018-5430 は、サーバ・コンポーネントの情報漏洩に関するものであり、キーコンフィギュレーションを含む任意のファイルへの Read Only アクセスを、認証ユーザーに許す可能性を生じるものだ。
当時の TIBCO は、「対象となるサーバで使用される、認証情報を含む Web アプリのコンフィグレーション・ファイルに、認証されたユーザーが Read Only でアクセスできる可能性がある。それらの認証情報は、その後に、JasperReports Server によりアクセスされる、外部システムに影響を与える可能性がある」と述べていた。
もう一方の脆弱性 CVE-2018-18809 は、JasperReports ライブラリに存在するディレクトリ・トラバーサル脆弱性であり、Web サーバのユーザーがホスト上の機密ファイルにアクセスし、認証情報を盗んで他のシステムへの侵入に悪用するといものだ。
CISA は、実際の攻撃で2つの脆弱性が武器化された方法の、詳細については明らかにしていないが、2023年1月19日までにパッチを適用することを義務付けている。
この、2つの脆弱性について、お隣のキュレーション・チームに聞いてみたところ、2018年にレポートで取り上げ、先日の CISA KEV に合わせて再掲載しているとのことでした。JasperReports については、日本語 Wikipedia で「短時間かつ安価でグラフを含む帳票を作成することができるので海外ではデファクトスタンダードのオープンソース帳票ツールとされている」と紹介されています。
IoT OT Security News 
You must be logged in to post a comment.