Logsign Unified SecOps Platform Urgent Update Addresses Critical RCE Vulnerabilities
2024/07/04 SecurityOnline — セキュリティ運用のための包括的なソフトウェア・ソリューションである、Logsign の Unified SecOps Platform に、2つの脆弱性 CVE-2024-5716/CVE-2024-5717 が発見された。これらの脆弱性を組み合わせると、HTTP リクエストを介して Web サーバ上で認証なしで、リモート・コードの実行が可能になる。それにより、リモートの攻撃者がシステムに不正にアクセス/コントロールする可能性が生じる。
Logsign の Unified SecOps Platform は、SIEM/SOAR/UEBA/TI 機能を統合することで、包括的な脅威の検出/調査/対応 (TDIR:threat detection, investigation, and response) をセキュリティ・アナリストに提供するものだ。このプラットフォームは、データレイクの広範な可視性と制御を保証し、無制限のデータの収集と保存、脅威の検出、自動応答などを容易にする。つまり Logsign は、各種のサイバー・セキュリティ・ツールを統合することで、セキュリティ運用を簡素化し、関連するコストと複雑さを軽減することを目指している。
同プラットフォームで新たに発見された脆弱性を連鎖させると、深刻なリスクが生じる。攻撃者は、最初に CVE-2024-5716 を悪用して認証をバイパスし、続いて CVE-2024-5717 を悪用して任意のコードを実行する。それぞれの脆弱性の詳細は下記の通りだ:
- CVE-2024-5716:認証バイパスの脆弱性。この脆弱性の悪用に成功した攻撃者は、パスワード・リセット・リクエストのレート制限の欠如を突いて認証を回避し、デフォルトの admin ユーザーのような高特権ユーザーを含むアカウントに、 ブルートフォースで侵入する可能性を持つ。
- CVE-2024-5717:コマンド・インジェクションの脆弱性。前述の、脆弱性 CVE-2024-5716 を悪用して認証の回避に成功した攻撃者は、昇格した root 権限を用いて、システムに対する任意のコマンドの注入/実行を可能にする。それにより、攻撃者は、侵害したプラットフォームの完全な制御を手にする。
これらの組み合わせにより、システム侵害と機密データへの不正アクセスが生じる恐れがある。これらの脆弱性に対しては、技術的詳細と PoC エクスプロイト・コードが公開されている。
すでに Logsign は、Unified SecOps Platform のバージョン 6.4.8 をリリースし、これらの脆弱性をおよび、他の脆弱性にもパッチを適用している。すべてのユーザーにとって必要なことは、最新バージョンへと直ちにアップデートして、これらのリスクを軽減することである。
Logsign について調べてみましたが、文中の説明以上のものは見つかりませんでした。トルコのイスタンブールに本拠をおいているようであり、欧米では、あまり利用されていないという可能性もあります。とは言え、その Unified SecOps Platform は、各種のセキュリティ製品を接続する役割を担っているようなので、影響の広がりが心配な部分もあります。
IoT OT Security News 
You must be logged in to post a comment.