CVE-2023-49954: Critical SQL Injection Vulnerability in 3CX CRM Integration
2023/12/16 SecurityOnline — 目まぐるしく変化するインターネット・コミュニケーションの世界において、セキュリティの脅威に先手を打つことは、必要不可欠なことだ。最近では、有名な VoIP 通信会社である 3CX が、膨大な量の機密データを危険にさらす可能性のある深刻なセキュリティの脆弱性について、顧客に警告を発している。
先日、3CX CRM Integration に存在する、SQL インジェクションの脆弱性 CVE-2023-49954 が発見された。SQL インジェクションは、一般的だが危険な Web セキュリティの脆弱性であり、アプリケーションからデータベースへのクエリを、攻撃者が妨害することを可能にしてしまう。その結果として、機密データへの不正アクセスなどが生じ、データベースの完全な乗っ取りという深刻なケースにつながる可能性がある。
この脆弱性を悪用する脅威アクターは、MongoDB/MsSQL/MySQL/PostgreSQL などの、さまざまなデータベース接続のために、3CX が提供する CRM 統合テンプレートを標的にすることになる。
これらのテンプレートでは、[FirstName]/[SearchText]/[Email] などのプレース・ホルダーが使用されているが、ユーザー入力に対する適切なサニタイズが欠落している。この見落としが、SQL インジェクション攻撃の入り口となり、脅威アクターによるデータベース・クエリの操作が可能となり、貴重なデータへのアクセスや改竄などを許すことにもなり得る。
脆弱性 CVE-2023-49954 は、3CX の VoIP ソフトウェアのバージョン 18/20 に影響を与える。残念なことに、現時点においては、この脆弱性を修正するアップデートは提供されていない。同社の CISO である Pierre Jourdan は、現時点における唯一の有効な解決策は、CRM ソリューションを “None” に設定し、CRM 統合を無効化することだとしている。
些細な不具合のように見えるかもしれないが、影響の規模は無視できない。Pierre Jourdan によると、少なくとも 350,000 社を数える 3CX ユーザーベースの約 0.25%が、この脆弱性にさらされている可能性があるという。つまり、最低でも 875社の顧客が、危険な状況に陥っていることになる。
この新たな脅威に対応するために、3CX が顧客に対して推奨しているのは、SQL データベースとの統合を直ちに無効化することであり、その対象には MongoDB/MsSQL/MySQL/PostgreSQL などが含まれる。このような一時的な予防措置が、修正パッチが開発されるまでの期間において、潜在的な SQL インジェクション攻撃から保護するために、きわめて重要な対策となる。
本記事の投稿時、この脆弱性 CVE-2023-49954 はパッチが未適用で、CVSS 値も提供されていないとありましたが、12月25日、 NVD から Base Score 9.8 という情報が出されました。また、バージョン 18.0.9.23/20.0.0.1494 で修正されているようです。2023年4月にも 3CX は、脆弱性 CVE-2023-29059 を北朝鮮の Lazarus に狙われるというインシデントを経験しています。よろしければ、3CX で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.