CVE-2024-45076 (CVSS 9.9): Critical Flaw in IBM webMethods Integration Demand Immediate Action
2024/09/06 SecurityOnline — IBM が発表したのは、同社の webMethods Integration Server に関するセキュリティ・アドバイザリである。そこで明らかにされた複数の脆弱性の中には、任意のコマンドの実行/権限の昇格/機密ファイルへのアクセスなどを、認証された攻撃者に対して許すものもある。なお、一連の脆弱性は、バージョン 10.15 に影響を及ぼす。
脆弱性の詳細
- CVE-2024-45076 (CVSS 9.9):認証されたユーザーに対して、OS 上への悪意のファイルのアップロード/実行を許してしまう脆弱性。この脆弱性の悪用に成功した攻撃者は、サーバを制御できるようになり、 データ漏洩/サービス停止などを達成し、システムの完全な侵害を引き起こす可能性を得る。
- CVE-2024-45075 (CVSS 8.8):何らかの認証を得ている攻撃者であれば、適切な認証を必要とすることなくスケジューラ・タスクの作成を達成し、権限昇格を可能にしてしまう脆弱性。この脆弱性の悪用に成功した攻撃者は、管理者アクセス権を獲得し、 システムにおける不正な制御の範囲を、さらに拡大する可能性を手にする。
- CVE-2024-45074 (CVSS 6.5):認証された攻撃者に対して、ディレクトリの横断を許してしまう脆弱性。その結果として、通常では到達不能なロケーションに保存されている機密ファイルなどが、不正にアクセスされる可能性が生じる。前述の2つの脆弱性ほど深刻ではないが、不正なデータ漏洩につながる可能性がある。
すれに IBM は、Corefix 14 for IntegrationServer をリリースして、これらの脆弱性に対処している。ユーザーに対して推奨されるのは、Update Manager を使用して、可能な限り早急に修正プログラムをダウンロードし、インストールすることである。対処を遅らせると、システムが深刻なセキュリティ・リスクにさらされる、可能性が生じる。
具体的に言うと、IBM webMethods Integration 10.15 を実行している組織に対して、修正プログラムの適用が強く推奨される。これらの脆弱性の潜在的な影響は重大であり、システムとデータを保護するためには、迅速な対応が不可欠である。
IBM webMethods Integration を調べてみたところ、「Software AG webMethods Integration Server を使用して、IBM DevOps 統合テストを構成/実行し、Software AG webMethods Broker および Integration Server リソースに接続する」と、同社の Web に記されていました。つまり、DevOps のパイプラインに脆弱性が発生していて、放置すると、サプライチェーン攻撃などにいたる恐れがあると、読み取ることができます。ご利用のチームは、ご注意ください。よろしければ、IBM で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.