CVE-2024-2796: Critical Vulnerability Discovered in Popular API Developer Portal
2024/04/21 SecurityOnline — API 開発者のためのポータルを、構築/管理するために広く使用されている Perforce Akana Community Manager Developer Portal に、重大な脆弱性 CVE-2024-2796 (CVSS:9.3) が、セキュリティ研究者である Jakob Antonsson により発見された。この脆弱性を悪用する攻撃者は、SSRF (server-side request forgery) 攻撃を引き起こす可能性を持つ。
SSRF とは
SSRF 攻撃とは、攻撃者が Web サーバを操作して、意図しない場所や許可されていない場所へのアクセスを試みるものだ。この攻撃が成功すると、以下のような有害な結果が生じる可能性がある:
- データの暴露:脆弱なサーバを騙した攻撃者が、内部システムへ向けたリクエストを送信させ、機密データを暴露する可能性が生じる。
- ネットワーク・マッピング:内部ネットワークに侵入した攻撃者が、ネットワーク・マッピングを行い、さらなる侵害を仕掛ける可能性が生じる。
- リモート・コード実行:最悪のケースとして、脆弱なサーバ上で任意のコードが、攻撃者により実行される可能性が生じる。
影響を受けるバージョン
Perforce Akana Community Manager Developer Portal の以下のバージョンにおいて、この脆弱性による影響が生じることが確認されている:
- 2022.1.1
- 2022.1.2
- 2022.1.3
Urgent Action Required
脆弱なバージョンの Akana Community Manager Developer Portal を使用している場合には、以下のパッチ適用済みバージョンへと、直ちにアップグレードすることが強く推奨される:
- 2022.1.1 (Patched)
- 2022.1.2 (Patched)
- 2022.1.3 (Patched)
もし、パッチを適用せずに放置すると、攻撃者にシステムが悪用される可能性がある。
Akana について Wikipedia で調べてみたら、「API 管理用のソフトウェア製品のプロバイダーである。 同社は Digital Evolution として設立され、後に SOA Software として認知されていたいった。 2016年11 月に Akana は、Rogue Wave Software に買収された。さらに 2019年1月には、Rogue Wave がソフトウェア開発会社 Perforce に買収された」と説明されていました。ご利用のチームは、ご注意ください。よろしければ、カテゴリ API も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.