CVE-2024-5276 (CVSS 9.8): Critical SQLi Flaw in Fortra FileCatalyst Workflow, PoC Available
2024/06/26 SecurityOnline −−− エンタープライズ向けのファイル転送ソリューションとして人気の、Fortra FileCatalyst Workflow に存在する、SQL インジェクションの脆弱性 CVE-2024-5276 (CVSS:9.8) が公表された。この脆弱性の悪用に成功した攻撃者は、アプリケーション・データベース内の機密情報の改ざんに加えて、管理ユーザーの作成/データ削除などの可能性を手にする。
脆弱性の詳細と潜在的影響
この脆弱性は、ユーザー入力の検証が不適切であることに起因する。この脆弱性を悪用する攻撃者は、悪意の SQL ステートメントを作成することで、基礎となるデータベースの操作が可能となり、データ破損や不正アクセスを引き起こす可能性を手にする。
Fortra は、「SQL インジェクションの脆弱性が存在する。攻撃者似寄るされるのは、スクリプトを用いたインジェクションによる、テーブルの削除や管理者レベルのユーザーの作成などの、望ましくない SQL コマンドの実行である。管理者レベルのユーザー権限が不正に使用されると、デプロイメント内の他の FileCatalyst コンポーネントへの影響が生じる」と警告している。
この脆弱性 CVE-2024-5276 を発見/報告した Tenable Research は、PoC エクスプロイト・コードを公開しているため、この脆弱性が短時間のうちに悪用される懸念が高まっている。SQL インジェクションによるデータ流出は、現時点では難しいとされるが、FileCatalyst ワークフローに依存している組織にとって、データ改ざんや不正アクセスの影響は深刻なものになるだろう。
対策と推奨事項
すでに Fortra は、この深刻な脆弱性に対処する FileCatalyst Workflow 5.1.6 build 139 をリリースしている。ユーザーに推奨されるのは、データとインフラを保護するために、直ちにシステムをアップグレードすることだ。
さらに同社は、直ちにアップグレードが不アノウなユーザーに対して、 FileCatalyst Workflow 内の脆弱なサーブレットを無効化する緩和策を提供している。
- 以下にある “web.xml” ファイルに移動する:
<tomcat install dir>/webapps/workflow/WEB-INF/web.xml - ファイルを編集し、”csv_servlet/pdf_servlet/xml_servlet/json_servlet” のサーブレット・マッピング・ブロックをコメントアウトする。
- 変更したファイルを保存し、Tomcat インスタンスを再起動する。
Fortra FileCatalyst Workflow の SQL インジェクションの脆弱性 CVE-2024-5276 ですが、脆弱性情報が出た後に、PoC が追いかけるという展開ではなく、Tenable が、一度にまとめて提供したようです。Fortra もアップデートしていますので、両者間での調整はあったのでしょうが、PoC 提供までの時間的な猶予はなかったようです。よろしければ、Fortra で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.