AWS Security Update: CVE-2024-30164 and CVE-2024-30165 Flaws Found in Client VPN
2024/07/21 SecurityOnline — AWS が発表したのは、同社の Client VPN サービスに存在する、2つの脆弱性に関するセキュリティ・アドバイザリである。これらの脆弱性 CVE-2024-30164/CVE-2024-30165 を悪用する、ユーザー・デバイスにアクセス可能な攻撃者は、管理者権限などへの昇格を達成し、その権限で任意のコマンドを実行する可能性を手にする。
脆弱性の詳細
- CVE-2024-30164:AWS Client VPN の全プラットフォームに影響する。
- CVE-2024-30165:macOS 版 AWS Client VPN 3.9.1 未満に影響する。
これらの脆弱性は、バッファ・オーバーフローの問題に起因している。つまり、それを悪用してメモリを上書きし、システムを不正に制御することが可能になる、一般的なプログラミング・エラーである。
影響と緊急性
これらの脆弱性の影響は深刻であり、悪用に成功した攻撃者により、デバイスが乗っ取られる可能性がある。それにより攻撃者は、機密情報へのアクセス/マルウェアのインストール/システム運用妨害などの機会を得る。安全なリモート・アクセスのために、多くの人々に使用されている AWS Client VPN の状況を考えると、その悪用が広範囲に及ぶことが推測され、重大な懸念となる。
すでに AWS は、すべてのサポート対象プラットフォーム向けに Client VPN ソフトウェアの更新版をリリースし、この脆弱性に対処している。したがって、ユーザーの責任は、これらのアップデートを速やかに適用し、リスクを軽減することである。
緩和策
AWS が、すべての Client VPN ユーザーに対して強く推奨しているのは、以下のバージョンへのアップグレードである:
これらの更新版には、CVE-2024-30164/CVE-2024-30165 に対する修正が含まれているため、効果的にセキュリティ・ギャップが埋められ、悪用が防止されることになる。
AWS の脆弱性ですが、ユーザーの手元にある Client VPN だから CVE が採番されたのでしょうか?これを機に、AWS 全体として、CVE による追跡が可能になればと願っています。この動向は、2024/06/30 の「Microsoft の大転換:クラウドの脆弱性に対しても CVE を発行する!」でも示されており、脆弱性情報の担当者にとっては、とても嬉しいこととして、捉えられているはずです。ぜひ AWS もと、思わずにはいられません。よろしければ、AWS で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.