CVE-2024-9194: SQLi Flaw Discovered in Octopus Server, Urgent Patch Recommended
2024/10/01 SecurityOnline — 世界中のソフトウェア・チームに使用される CD (continuous delivery) プラットフォーム Octopus Deploy が公表したのは、Octopus Server に存在する深刻な脆弱性 CVE-2024-9194 (CVSS:7.8) に関する、重要なセキュリティ・アップデートのリリースである。この脆弱性の悪用に成功した攻撃者は、機密データベース・テーブルへの不正アクセスを達成し、機密プロジェクト・データやデプロイメント・コンフィグレーションを取得する可能性を手にする。
この脆弱性は、REST API のデータの不適切なパラメーター化に起因しており、SQL インジェクション攻撃を受けやすくするものだ。攻撃者は、この欠陥を悪用して悪意の SQL クエリを実行し、基盤となるデータベースに不正アクセスする可能性を得る。
影響を受けるバージョンと修復
以下のリリース前の、Octopus Server バージョン 2024.1.x/2024.2.x/2024.3.x が影響を受ける:
- 2024.1.13038
- 2024.2.9482
- 2024.3.12766
Octopus Deploy が、すべてのユーザーに対して強く推奨するのは、最新のパッチ適用バージョンへと、直ちにアップグレードすることだ。同社は、自社の Web サイトから、最新バージョンをダウンロードできるようにしている。なお、すでに Octopus Cloud ユーザーは、自動的にアップグレードされているため、この脆弱性の影響を受けない。
エクスプロイトは検知されていないが緊急性は高い
幸いなことに、現時点において Octopus Deploy のセキュリティ・チームは、CVE-2024-9194 に対する PoC エクスプロイトは存在せず、また、攻撃は検知されていないとしている。この脆弱性は、Bugcrowd の研究者たちにより公開されたものだ。SQL インジェクションの脆弱性の重大性を考慮すると、影響を受けるバージョンの Octopus Server を使用している組織は、パッチの適用を遅らせるべきではない。
緩和策なし – アップグレードが重要
現時点において、この脆弱性に対する緩和策は確認されていない。したがって、Octopus Deploy 環境のセキュリティを維持するためには、アップグレード・プロセスが不可欠である。ただちにアップグレードができない場合には、更新が完了するまでの間において、 Octopus Server の “Guest” 機能の無効化が推奨される。ただし、この措置は一時的なものであり、潜在的な悪用を完全に防ぐものではない。
本文の冒頭での紹介によると、かなりの実績を持つ Octopus Deploy という感じですね。ググってみると、たくさんの日本語コンテンツがヒットするので、国内での利用も活発なのだと思います。ご利用のチームは、ご注意ください。このブログでは、2024/04/01 に「Octopus Deploy の脆弱性 CVE-2024-2975 が FIX:権限昇格が生じる恐れ」という記事をポストしています。よろしければ、CI/CD で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.