Critical RCE Vulnerability Discovered in Spotfire Products: CVE-2024-3330 (CVSS 9.9)
2024/07/01 SecurityOnline — Cloud Software Group が発表したのは、同社のデータ可視化/分析プラットフォーム TIBCO Spotfire に存在する、深刻な脆弱性 CVE-2024-3330 (CVSS:9.9) に関するセキュリティ・アドバイザリである。この脆弱性は、不十分な入力検証に起因しており、Read/Write 権限を持つ低特権の攻撃者による、悪意の Analyst ファイルの作成を可能にするものだ。これらのファイルには、Spotfire クライアントを実行しているホスト上で、任意のコードを実行するために悪用される可能性があり、リモート・コード実行につながる。
影響シナリオ
- Installed Windows Client:攻撃者による、ホスト・システム上での任意のコード実行を可能にする。ただし、悪意のファイルを開かせるための、ユーザーによる操作が必要となる。
- Web Player (Business Author):Web Player プロセスを実行しているアカウントを介して、攻撃者は任意のコードを実行する。
- Automation Services:攻撃者は、Automation Services コンポーネントを通じて任意のコードを実行する。
この脆弱性は、Spotfire における以下のコンポーネント/バージョンに影響をおよぼす:
- Spotfire Analyst: 12.0.9 以下のバージョンおよび 12.1.0~14.3.0
- Spotfire Server: 12.0.10 以下のバージョンおよび 12.1.0~14.3.0
- Spotfire for AWS Marketplace: 14.3.0 以下のバージョン
危険なコンポーネントには、以下のものが含まれる:
- Spotfire Analyst
- Spotfire Web Player
- Spotfire Automation Services
すでに Cloud Software Group は、アップデート版をリリースすることで、この脆弱性に迅速に対応している。ユーザーに強く推奨されるのは、以下の修正バージョンへのアップグレードである:
Spotfire Analyst:
- 12.0.9 以下のバージョンを、12.0.10 以降にアップグレードする
- 12.1.0 ~ 14.0.2 のバージョンを、14.0.3 以降にアップグレードする
- 14.1.0 ~ 14.3.0 のバージョンを、14.4.0 にアップグレードする
Spotfire Server:
- 12.0.10 以下のバージョンを、12.0.11 にアップグレードする
- 12.1.0 ~ 14.0.3 のバージョンを、14.0.4 以降にアップグレードする
- 14.2.0/14.3.0 のバージョンを、14.4.0 にアップグレードする
Spotfire for AWS Marketplace:
- 14.3.0 以下のバージョンを、14.4.0 以降にアップグレードする
脆弱性 CVE-2024-3330 の悪用から保護するために、すべての Spotfire ユーザーに推奨されるのは、アップデートの速やかな適用である。このアップデートを怠ると、攻撃に対してシステムが脆弱な状態となり、不正なコード実行/データ漏えい/サービス運用妨害などの可能性が生じる。
この記事の原文には、TIBCO に関する記載がありませんでしたが、Wikipedia で調べてみると、TIBCO は Cloud Software Group のビジネス・ユニットであると説明されていました。その TIBCO が、2007年に Spotfire を買収しているとのことです。よろしければ、TIBCO で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.