CVE-2024-32888 (CVSS 10): SQLi Vulnerability Discovered in Amazon Redshift JDBC Driver
2024/05/16 SecurityOnline — Redshift 用の Amazon JDBC Driver は、Java アプリケーションを Amazon Redshift データウェアハウス・サービスに接続するためのツールとして、広く使用されているものだ。その Redshift JDBC Driver に、深刻な SQL インジェクションの脆弱性 CVE-2024-32888 が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で不正なコマンドを実行し、データ漏洩/不正アクセスなどを引き起こし、さらには、システムの完全な乗っ取りを達成する可能性を得る。
この脆弱性の解説
この脆弱性は、デフォルト以外の設定である “preferQueryMode=simple” により、Redshift JDBC Driver を構成した場合に発生する。このモードでは、パラメータ値を否定しようとする、不適切に構築されたクエリを取り込んだアプリケーションのコードにより、ドライバが SQL インジェクション攻撃を受けやすくなる。
したがって、攻撃者は脆弱なクエリに悪意の SQL コードを注入し、データベースの不正に操作し、次の攻撃への足場を構築できる。
影響と深刻度
この脆弱性 CVE-2024-32888 の、CVSS スコアは 10 である。したがって、広範囲に悪用される可能性があり、影響を受けるシステムに深刻な影響が生じることが示唆される。”preferQueryMode=simple” 設定で、Redshift JDBC Driver を使用しているチームは、特に危険な状態にある。
緩和策とパッチ
すでに Amazon は、この深刻な脆弱性に対応し、パッチをリリースしている。この問題は、JDBC Driver のバージョン 2.1.0.28 で解決されている。ユーザーにたいして強く推奨されるのは、CVE-2024-32888 に関連するリスクを軽減するために、この最新バージョンへとアップグレードすることだ。
一時的な回避策として、”preferQueryMode=simple” 設定の使用を避けることもできる。JDBC Driver のデフォルトは、この脆弱性の影響を受けない “extended query mode” となっている。
Amazon Redshift データウェアハウス・サービスは、国内市場でも数多くのユーザーに利用されているはずです。そこへの接続に利用される、Redshift 用の Amazon JDBC Driver に、CVSS 値が 10.0 という、深刻な脆弱性が発生です。ご利用のチームは、ご注意ください。よろしければ、カテゴリ Cloud も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.