CVE-2024-28064: Critical Flaw Discovered in totemomail Email Encryption Software
2024/05/23 SecurityOnline — Accellion の Kiteworks プラットフォームの一部として人気を博している、電子メール暗号化ソフトウェア totemomail に、2つの深刻な脆弱性が存在することが、サイバーセキュリティ研究者たちにより発見された。これらの脆弱性 CVE-2024-28063/CVE-2024-28064 は、機密情報へのアクセス/ファイルの削除/DoS (denial-of-service) 攻撃などを、攻撃者にゆるす可能性があるものだ。
CVE-2024-28063:反射型 XSS (Cross-Site Scripting)
脆弱性 CVE-2024-28063 (CVSS:6.1):暗号化された電子メールを、HTML 添付ファイルとして送信するための、totemomail における Registered Envelope 機能に起因する脆弱性である。この脆弱性を利用する攻撃者は、悪意のリンクの送信が可能となり、それを受信者がクリックすると、ブラウザ内で有害な JavaScript コードが実行される。
ユーザーが JavaScript を有効にしていないブラウザで、HTML 添付ファイルを開くと、HTML ページの <noscript> 部分が実行され、XSS の脆弱性がある GET リクエストにつながる。この GET リクエストには、envelopeRecipient パラメータが含まれているが、このパラメータはサニタイズされていないため、攻撃者は悪意のスクリプトの注入が可能になる。それにより、ログイン認証やセッション・クッキーなどの、機密情報が盗まれる可能性が生じる。
CVE-2024-28064:認証されていない任意のファイルへのアクセス
2つ目の CVE-2024-28064 (CVSS:9.8) は、パス・トラバーサル脆弱性であり、totemomail サーバ上のファイルへの不正アクセスを、攻撃者に許す可能性が生じる。この脆弱性の悪用に成功した攻撃者は、messageId パラメータを操作することで、設定ファイル/システム・データ/暗号化された電子メール/復号鍵などの、サーバ上の機密ファイルへのアクセスが可能になる。さらには、機密情報の流出/重要なファイルの削除/サービスの完全な中断などを試行する可能性もある。
脆弱性の発見と公表
これらの脆弱性は、Objectif Securite SA のセキュリティ研究者により発見された。報告を受けた Kiteworks は、この欠陥を修正するパッチを速やかにリリースした。
影響を受けるバージョンと対処法
これらの脆弱性は、totemomail のバージョン 7.0.0〜8.2.1 に存在することが確認されている。すでに Kiteworks は、totemomail バージョン 8.3.0 で、これらの問題に対処している。ユーザーに推奨されるのは、悪用のリスクを軽減するため、直ちにソフトウェアをアップデートすることだ。
まず、totemomail が何者かという点ですが、調べてみたらスイスの企業とのことでした。そして、Kiteworks は Accellion のリブランドであり、そのラインナップの一部を totemomail が担っているという関係のようです。 Kiteworks の詳細については、Wikiopedia を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.