Acronis Backup Plugins Hit by CVE-2024-8767: CVSS 9.9 Severity Alert
2024/09/19 SecurityOnline — Acronis が 9月16日にリリースしたセキュリティ勧告は、cPanel/Plesk/DirectAdmin などのサーバ管理プラットフォーム向けに提供される、同社のバックアップ・プラグイン群に存在する、重大なセキュリティ脆弱性について警告するものだ。この CVE-2024-8767 として特定された脆弱性は、ユーザーに深刻なリスクをもたらすものであり、その深刻度は Critical (CVSS:9.9) に分類されている。
この脆弱性は、サーバと Web サイトのバックアップを自動化するための、Linux ベースの Acronis Backup プラグイン (cPanel & WHM/Plesk/DirectAdmin) に影響を与える。Acronis が明らかにしたのは、この欠陥がプラグイン内の不適切なパーミッション設定に起因し、機密情報の漏洩につながり、さらには、影響を受けるサーバ上での不正な操作を許してしまう可能性があるというものだ。つまり、適切なアップデートを怠ると、これらのプラグインを実行しているサーバが、深刻なデータ漏洩や操作のリスクにさらされる可能性があるということだ。
Acronis によると、脆弱性 CVE-2024-8767 に対するパッチは、1年以上も前に発行されていたという。具体的に言うと、2023年5月の DirectAdmin 1.2.0 と、2023年6月の cPanel & WHM 1.8.0/Plesk 1.8.0 が、それに該当する。しかし、同社の最新の勧告が警告するのは、多くのシステムが依然としてパッチ未適用の状態にあることだ。保護されていないインストールに対して、脆弱性の影響が大きいことを考えると、攻撃者の格好の標的となり得る。
それとは別に、2024年7月に Acronis は、Cyber Infrastructure に存在する脆弱性 CVE-2023-45249 に対処するよう顧客に促す、セキュリティ警告を発している。この脆弱性の悪用に成功した攻撃者は、デフォルトの認証情報を悪用して認証をバイパスし、パッチ未適用のサーバ上でリモート・コード実行を可能にする。同社は、この脆弱性が実際に悪用されていることを確認し、パッチを適用する必要性を、管理者に対して警告している。
Acronis の脆弱性 CVE-2024-8767 が FIX したとのことですが、2023年5月の DirectAdmin 1.2.0 と、2023年6月の cPanel & WHM 1.8.0/Plesk 1.8.0 に対するパッチに対して、新たに CVE を採番しているようです。なぜ、このような経緯になったのか、そのあたりの事情が分かりませんが、速やかなパッチが必要です。ご利用のチームは、ご注意ください。よろしければ、Acronis で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.