CVE-2024-5671 (CVSS 9.8) Exposes Trellix Intrusion Prevention System to Remote Attacks
2024/06/18 SecurityOnline — サイバーセキュリティ・プロバイダーである Trellix が発表したのは、同社の IPS (Intrusion Prevention System) に発見された、2つの脆弱性 CVE-2024-5671/CVE-2024-5731 に対する緊急パッチである。この脆弱性の悪用に成功した攻撃者は、保護されていないシステムに対し、リモート・コード実行や不正アクセスを行う可能性を手にする。
脆弱性の詳細
CVE-2024-5671 (CVSS 9.8):IPS Manager の特定のワークフロー内における、安全ではないデシリアライゼーションの脆弱性。攻撃者は、この欠陥を悪用してリモートから悪意のコードを注入し、標的のシステム上で実行することが可能となり、システムを完全に侵害する可能性を持つ。
CVE-2024-5731 (CVSS 6.8):IPS Manager/Central Manager/Local Manager 間の通信ワークフローに影響する脆弱性。この脆弱性により、攻撃者は、リクエスト内の IP アドレス・パラメーターを操作することで、通信を自分の制御下にあるサーバへリダイレクトさせることが可能になる。さらに、ユーザー名とパスワードを含むエンコードされた文字列を解読し、システムのセキュリティをさらに危殆化させる可能性を持つ。
脆弱性がおよぼす影響
Trellix IPS は、多くの組織にとって、ネットワーク・セキュリティ戦略の要となっているため、これらの脆弱性により、以下のような深刻な結果が生じる可能性がある:
- データ漏洩:ネットワーク上に保存/送信された機密データに、攻撃者が不正アクセスする可能性がある。
- ネットワークの混乱:悪意のコードの実行により、サービス妨害攻撃やネットワーク内でのマルウェア拡散の可能性が生じる。
- 横方向への移動:侵害された IPS システムが悪用され、組織内の他のシステムが標的とされる可能性が生じる。
推奨される緊急対策
すれに Trellix は、IPS Manager と IPS Central Manager のバージョン 11.1.7.84 により、CVE-2024-5671/CVE-2024-5731 に対するパッチをリリースしている。Trellix IPS を使用している組織に対して強く推奨されるのは、悪用されるリスクを軽減するため、システムを直ちにアップグレードすることだ。
また、システムへのパッチを、ただちに適用できないユーザーに対しては、詳細な緩和策が提供されている。これらの手順は、Trellix のセキュリティ・アドバイザリで確認できる。
この種のサービスが侵害されると、甚大な被害が予測されますので、ご利用のチームは、十分にお気をつけください。先ほどですが、「攻撃者にとって最高に魅力的なターゲットは? エッジサービスの脆弱性に注目!」という記事をポストしています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.