Apache Fineract Patches Multiple Flaws, Including Critical Privilege Escalation (CVE-2024-23539)
2024/03/31 SecurityOnline — 金融機関で広く使用されている OSS コア・バンキング・ソリューション Apache Fineract に存在する、3つの脆弱性に対応するセキュリティ・パッチがリリースされた。これらの脆弱性の悪用に成功した攻撃者は、権限の昇格や、悪意のデータベース・クエリ実行を引き起こす可能性がある。
それぞれの脆弱性
- CVE-2024-23537:権限昇格の脆弱性
1つ目の脆弱性 CVE-2024-23537 は、Apache Fineract 1.8.5 未満に存在するものであり、深刻度は “Important” と評価されている。この脆弱性は、特定の権限を持たない攻撃者に対して、あらゆるレベルへの権限昇格を許すものであり、不正なアクセス制御を引き起こす可能性がある。この脆弱性のリスクは、データの機密性だけではなく、プラットフォーム上で実行されている金融業務の完全性にも及ぶ。
- CVE-2024-23538/CVE-2024-23539:SQL インジェクションの脆弱性
2つ目と3つ目の脆弱性 CVE-2024-23538/CVE-2024-23539 により、さらに状況は複雑になり得る。これらの脆弱性も、Apache Fineract の 1.8.5 未満に存在するものであり、SQL コマンドで使用される特殊要素の不適切な無効化に起因する。その結果として、sqlSearch パラメータを、SQL インジェクション攻撃の強力なベクターにしてしまう。これらの脆弱性の悪用に成功した攻撃者は、データベースのクエリを操作する可能性を得る。この種の攻撃は、データの窃盗から不正なトランザクション操作にまで及び、プラットフォームの完全性とユーザーの信頼に重大な脅威をもたらす。
誰が危険にさらされている?
一連の脆弱性により、Apache Fineract を重要なコア・バンキング業務に利用している、世界中の金融機関に影響が及ぶ。銀行口座を持たないユーザーに対して、金融サービスを提供するという、Apache Fineract の特性を考慮すると、これらの脆弱性への対処が不可欠である。
身を守るために行うべきこと
Apache では、以下の対応を推奨している:
- 直ちにアップグレードする:Apache Fineract 1.8.5 未満のバージョンを使用している全てのユーザーは、必要な修正を含むバージョン 1.8.5/1.9.0 にアップグレードすべきである。
- システム・レビュー (オプション): アップグレードが直ちに実行できない場合には、システム・コンフィグレーションを徹底的に見直し、潜在的な暴露ポイントを特定し、パッチの適用に取り組みながらリスクを軽減する。
金融機関で広く使用される Apache Fineract とのことですが、文中では “銀行口座を持たないユーザーに対して、金融サービスを提供する” と説明されています。たとえば、スマフォ決済のような世界のことを指すのでしょうか? よろしければ、Banking で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.