CVE-2024-4177: SSRF Vulnerability Patched in Bitdefender GravityZone Console On-Premise
2024/06/08 SecurityOnline — サイバーセキュリティ・プロバイダー Bitdefender は、同社の GravityZone Console On-Premise 製品に存在する、脆弱性 CVE-2024-4177 (CVSS:8.1) に対処した。セキュリティ研究者の Nicolas Verdier (n1nj4sec) により発見された、この脆弱性の悪用に成功した攻撃者は、SSRF (server-side request forgery) 攻撃が可能になり、不正アクセスやデータ漏洩を実行する可能性を手にする。
GravityZone Console は、Bitdefender が開発した集中型のクラウドベースのセキュリティ管理プラットフォームである。同製品は、各種のエンドポイント/ネットワーク/クラウド環境全体のセキュリティを監視して管理するための、統一されたインターフェイスを提供する。この脆弱性 CVE-2024-4177 は、GravityZone Console オンプレミス版の、6.38.1-2 未満のバージョンに影響を及ぼす。
この脆弱性は、プロキシ・サービス内のホスト・ホワイトリスト・パーサーの欠陥に起因する。この脆弱性の悪用に成功した攻撃者は、サーバー・リクエストを操作することで、意図しないアクションをサーバに実行させ、機密情報を開示させる可能性を手にする。このような脆弱性が悪用されると、セキュリティ制御が回避され、内部システムへの不正アクセスへといたる可能性があるため、特に注意が必要だ。
すでに Bitdefender は、GravityZone Console On-Premise のバージョン 6.38.1-2 への自動アップデートをリリースし、この問題に迅速に対処している。影響を受けるバージョンを実行しているユーザーに強く推奨されるのは、この脆弱性に関連する潜在的なリスクを軽減するために、このアップデートを直ちに適用することだ。
Bitdefender の GravityZone Console On-Premise に脆弱性が発生とのことです。プロキシ・サービス内の、ホスト・ホワイトリスト・パーサーに欠陥があったようですが、それが操作されると、かなりの深刻な自体に陥ると予測されます。ご利用のチームは、ご注意ください。よろしければ、Bitdefender で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.