Critical Vulnerabilities in Popular Database Library Expose Millions of Applications to Attack
2024/04/23 SecurityOnline — 無数の Web アプリケーションとバックエンド・システムの基盤である、JavaScript データベース・ライブラリ node-mysql2 に複数の脆弱性が存在することが、セキュリティ研究者たちにより発見された。これらの脆弱性は、CVE-2024-21508/CVE-2024-21509/CVE-2024-21511 として追跡されており、あらゆる業界の組織に対して、広範な影響を及ぼす可能性がある。
脆弱性の詳細
- CVE-2024-21508/CVE-2024-21511 (CVSS:9.8) リモート・コード実行 (RCE:Remote Code Execution) :この脆弱性の悪用に成功した攻撃者は、脆弱なバージョンの node-mysql2 を使用しているサーバ上で、リモート・コードの実行が可能になる。重要なデータベース・サーバーの完全な管理者権限を、攻撃者に奪われる恐ろしさを想像してほしい!
- CVE-2024-21509 (CVSS:6.5) プロトタイプの汚染の脆弱性:この脆弱性の悪用に成功した攻撃者は、アプリケーションの動作を改変する可能性を持つ。ライブラリのデータ処理方法が操作され、Web アプリケーションやシステムの機能が秘密裏に変更され、データ漏洩などの予期せぬ動作にいたる可能性がある。
脅威の範囲
憂慮すべきは、node-mysql2 の膨大なダウンロード数である。世界中で速やかなアップデートが行わないと、何百万ものアプリケーションが脆弱な状態に陥ることになる:
- 電子商取引プラットフォーム: オンライン・ストアにおいて、パッチの未適用のバージョンが使用される場合には、機密性の高い顧客データや財務情報などが危険にさらされる可能性が生じる。
- バックエンド API システム: 内部 API やデータ交換ポイントが、攻撃者が企業ネットワークに侵入するためのゲートウェイになる可能性がある。
- IoT デバイスとサービス: 多くの IoT デバイスは、通信のために類似のライブラリに依存している。この脆弱性が存在すると、接続された家庭用システム/医療機器/産業用制御システムなどが、攻撃者による妨害の対象となる。
PoC エクスプロイト・コードの公開による悪影響
セキュリティ専門家たちは、一般に入手可能な PoC (Proof-of-concept) エクスプロイト・コードが、脅威レベルを大幅に高めると警告している。脅威アクターたちが、それらのエクスプロイトを直ちに武器化し、Web 上で自動化された攻撃を開始し、脆弱なシステムを侵害する可能性がある。
直ちに実施すべきアクションは?
幸いなことに、node-mysql2 の開発チームは、これらの問題に対して、積極的にパッチを適用している。脆弱なバージョンを使用している場合には、以下の項目を実施すべきだ:
- 速やかなアップデート:アプリケーションやサービスにおいて、このライブラリを使用している場合もは、直ちにバージョン 3.9.7 以降へとアップデートする。
- 依存関係の監査: node-mysql2 に依存している、他のライブラリやコンポーネントを特定し、それらにアップデートが適用されていることを確認する。継承されたリスクに完全に対処するためは、それらのアップデートが必要かもしれない。
- 警戒を怠らない: セキュリティ研究は進行中であるため、ライブラリのメンテナたちからの、さらなるアップデートが必要になるかもしれない。追加のパッチやアドバイザリのチェックを続けることが重要である。
node-mysql2 の複数の脆弱性が修正されました。ご利用のチームは、ご確認ください。GitHub の node-mysql2 紹介ページには、 「MySQL2 プロジェクトは、MySQL-Native を継続するものである。 プロトコル・パーサー・コードは最初から書き直され、API は一般的な Node MySQL に一致するように変更された。 MySQL2 チームは、Node MySQL チームと協力して共有コードを取り出し、mysqljs に移動させた。MySQL2 は Node MySQL と、ほぼ API 互換性があり、大部分の機能をサポートしている」と記されています。よろしければ、Node.js で検索、および、MySQL で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.