Avaya IP Office Users Urged to Patch Critical Flaws (CVE-2024-4196 & CVE-2024-4197)
2024/06/27 SecurityOnline — 世界的なテレフォニー・システムである Avaya IP Office で、深刻な2つの脆弱性 CVE-2024-4196/CVE-2024-4197 が発見された。この脆弱性を悪用するリモートの攻撃者は、影響を受けるシステムを完全に制御する可能性を手にする。
脆弱性の詳細
脆弱性 CVE-2024-4196 (CVSS:10) は、Web Control コンポーネントにおける不適切な入力検証に起因する。この脆弱性の悪用に成功した攻撃者は、特別に細工された Web リクエストを送信することで、標的システム上で任意のコマンドおよびコードを実行し、データ漏えい/サービスの中断を引き起こし、さらにはシステムの完全な乗っ取りにいたる可能性があるという。
2つ目の CVE-2024-4197 (CVSS:9.9) は、One-X コンポーネントにおける無制限のファイル・アップロードを許す脆弱性である。この脆弱性の悪用に成功した攻撃者は、悪意ファイルをアップロードし、リモート・コード実行を達成し、前日の CVE-2024-4196 と同様のリスクをもたらす。
これらの脆弱性は深刻度が高く、早急な対策が必要である。
リスクを負うのは誰?
Avaya IP Office バージョン 11.1.3.0 以下を使用している、すべての組織が危険にさらされている。このプラットフォームが広く使用されていることを考慮すると、これらの脆弱性の潜在的な影響は大きい。
Avaya による対応
すでに Avaya は、パッチを取り込んだバージョン 11.1.3.1 をリリースし、これらの脆弱性に対処している。すべてのユーザーに強く推奨されるのは、システムの早急なアップデートである。
さらに同社が推奨するのは、パッチの適用だけでなく、ファイアウォール/アクセス制御リスト (ACL)/物理的なセキュリティ対策などの、ネットワーク・セキュリティのベストプラクティスに従うことである。アップデートが適用されるまでの間において、これらの予防策により、悪用のリスクが軽減される。
推奨される対応
Avaya IP Office を使用している場合は、次の手順を実行すべきである:
- パッチの適用: 可能な限り早急に、バージョン 11.1.3.1 へとアップデートする。
- セキュリティ対策の見直し: ネットワークのセキュリティ対策が、最新かつ効果的であることを確認する。
- 不審なアクティビティの監視: 不正アクセスや異常な動作の兆候を見逃さないよう、システム・ログやネットワーク・トラフィックを注視する。
迅速な対処により、通信インフラのセキュリティ確保が可能となり、これらの重大な脆弱性から組織が保護される。
Avaya IP Office に深刻な脆弱性が発生とのことです。ご利用の組織は、十分に ご注意ください。このブログにおける Avaya 関連の記事としては、2022/05/03 の「TLStorm 2.0 という NanoSSL の深刻な脆弱性:Aruba/Avaya ネットワーク・スイッチに影響」および、2023/03/01 の「ArubaOS の深刻な脆弱性 CVE-2023-22747 などが FIX:RCE にいたる恐れ」などがありました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.