CVE-2024-36077: Remote Code Execution Threatens Qlik Sense Users
2024/05/23 SecurityOnline — データ分析の分野で著名な Qlik が発表したのは、同社の Qlik Sense Enterprise for Windows プラットフォームに存在する、脆弱性 CVE-2024-36077 (CVSS:8.8) に関するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した攻撃者は、影響を受けるサーバ上で特権を昇格させ、任意のコード実行を引き起こし、データの完全性と機密性に重大な脅威をもたらす可能性を手にする。
この問題は、Qlik Sense Enterprise ソフトウェア内の、不適切な入力検証に起因する。最小限のアクセス権だけを持つリモートの攻撃者であっても、この欠陥を悪用して権限を内部システムの役割に昇格させ、サーバ上でコマンドを実行する能力を取得する可能性が生じる。つまり、システムの完全な侵害につながる可能性があり、その結果として攻撃者は、機密データの窃取/マルウェアのインストール/業務の妨害などを可能にする。
同社のセキュリティ・アドバイザリには、「Qlik Sense Enterprise for Windows のセキュリティ問題が確認されたが、すでにパッチが提供されている。この脆弱性が悪用された場合には、リモートからのコード実行 (RCE) などが発生し、Qlik Sense ソフトウェアを実行しているサーバの侵害につながる可能性が生じる」と記されている。
脆弱性 CVE-2024-36077 が影響を及ぼす範囲は広く、2024年5月以前にリリースされたQlik Sense Enterprise for Windows および、2022年2月〜2024年2月に適用されたパッチを含む、すべてのバージョンが対象となる。
この脆弱性は、サイバー・セキュリティ研究者である、Daniel Zajork から Qlik に報告された。Qlik は、この脆弱性が悪用されたという報告はないと、同社の認識について述べている。
Qlik Sense Enterprise for Windows の全ユーザーに対して、Qlik が強く推奨しているのは、パッチを適用したバージョンへと、ただちにアップグレードすることだ。今回のパッチには、2024年5月のイニシャル・リリースが取り込まれているが、旧バージョンへのパッチ・アップデートも含まれているため、さまざまなリリースで利用が可能となっている。
パッチが適用された Qlik Sense Enterprise for Windows の最新バージョンは、Qlik の公式ページからダウンロードできる。また、パッチの適用方法に関する詳しい説明は、Qlik のサポート Web サイトで参照できる。
Qlik には日本オフィスもあり、国内マーケットに対して積極的に営業を展開しているようです。また、このブログの中を検索してみたら、2023/12/11 に「CISA KEV 警告 23/12/11:Qlik Sense の脆弱性 CVE-2023-41265/CVE-2023-41266 を追加」という記事がポストされていました。脅威アクターの、標的にされやすい製品という可能性もあるので、ご利用の組織は、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.