Progress OpenEdge の認証バイパスの脆弱性 CVE-2024-1403 が FIX:CVSS 値は 10.0

CVE-2024-1403 (CVSS 10): Critical Progress OpenEdge Vulnerability

2024/02/27 SecurityOnline — Progress OpenEdge の認証システムに、深刻なセキュリティ脆弱性 CVE-2024-1403 (CVSS:10.0) が発見された。影響を受けるバージョンの OpenEdge を実行している場合には、早急にパッチを適用する必要がある。

脆弱性の詳細

OpenEdge 11.7.18 以下/12.2.13 以下/12.8.0 には、特定のユーザ名とパスワードの処理方法に脆弱性が存在する。この脆弱性の悪用に成功した攻撃者は、機密データベースなどの様々な OpenEdge コンポーネントへの不正アクセスが可能になる。特に危険なのは、ローカルの OS アカウントを認証に使用するよう、システムをコンフィグレーションにしている場合である。

Progress は、「OpenEdge Authentication Gateway (OEAG) が、OpenEdge ドメインで構成されている場合がある。つまり、OS ローカル認証プロバイダーを使用して、OpenEdge のアクティブなリリースでサポートされている OS プラットフォーム上の、ユーザー ID とパスワードによりログインを許可するかたちになる。その際には、認証ルーチンの脆弱性により、ログイン試行時に不正アクセスが発生する可能性がある」と説明している。

さらに同社は、「同様に、AdminServer 接続が OpenEdge Explorer (OEE) および OpenEdge Management (OEM) により行われる場合も、サポートされているプラットフォーム上の OS ローカル認証プロバイダを利用して、ユーザー ID とパスワードによるログインが許可される。その際にも、不正なログイン・アクセスにつながる可能性がある」と付け加えている。

脆弱性の影響の範囲

CVE-2024-1403 は、広範な OpenEdge コンポーネントにリスクをもたらす:

  • OpenEdge Authentication Gateway (OEAG):このゲートウェイは、ABL と SQL のクライアント/ユーティリティ/データベースなどに接続する PASOE エージェントにとって、OpenEdge データベースへの入口となることが多い。
  • AdminServer:OpenEdge Management (OEM) や OpenEdge Explorer (OEE) などのツールは、AdminServer に依存している。AdminServer の悪用に成功した攻撃者は、これらの管理ツールを介してリソースに広くアクセスできるようになる。
  • DataServer 接続:OEAG で管理されているデータベースに DataServer 接続を使用している場合には、それらも潜在的なリスクにさらされる。
良いニュース:パッチがリリースされている!

Progress は、以下のアップデートを含め、迅速に修正プログラムを提供している:

  • OpenEdge LTS 11.7.19
  • OpenEdge 12.2.14
  • OpenEdge 12.8.1
ユーザーがすべきこと
  1. 早急にアップグレードする:影響を受けるバージョンを使用している場合は、該当するアップデートの適用が最優先事項である。旧バージョンの OpenEdge を使用している場合には、パッチを適用する前に現在サポートされているバージョンにアップグレードする必要がある。
  2. 一時的な緩和策を実行する:Progress は、直ちにパッチを適用できないユーザーに対して、一時的な緩和策を提供している。しかし、これらは公式パッチを適用できるようになるまでの、一時的なものであることを、肝に銘じてほしい。
あなたのビジネスを保護するには

OpenEdge 上に構築された重要なビジネス・アプリケーションを保護するために不可欠なのは、常に最新のパッチを適用して、潜在的な脆弱性を認識することだ。

Progress というと MOVEit が有名ですが、その他にも、この OpenEdge や、WS_FTP、Kemp LoadMaster などがあるとのことです。Wikipedia を調べてみたら、「OpenEdge Advanced Business Language (ABL) は、ビジネス・アプリケーション開発言語であり、通常は第4世代プログラミング言語として分類され、ソフトウェア開発を簡素化するために英語に似た構文を用いる。バージョン 9 までは Progress 4GL と呼ばれていたが、2006 年から OpenEdge ABL に変更された。また、SpeedScript と呼ばれるサブセットは、Web アプリケーションの開発に使用される」と記されていました。ご利用のチームはご注意ください。