Progress Patches Critical Security Flaw CVE-2024-8015 (CVSS 9.1) in Telerik Report Server
2024/10/10 SecurityOnline — Progress Software が公開したセキュリティ勧告は、同社の Telerik Report Server で新たに発見された4つの脆弱性に対応するものだ。この製品は、Web/DeskTop/Cloud アプリケーションへの、レポート機能の組み込みにおいて広く利用されるものだ。新たに発見された脆弱性は、クレデンシャル・スタッフィングやブルートフォース攻撃から、深刻なコード実行にいたるまでの多岐にわたり、このツールを使用する組織に深刻なリスクをもたらすものとなる。
一連の脆弱性 CVE-2024-7292/CVE-2024-7293/CVE-2024-7294/CVE-2024-8015 は、Telerik Report Server 2024 Q3 (10.2.24.924) 未満の全バージョンに影響を及ぼす。これらの脆弱性の悪用に成功した攻撃者は、以下のような悪意のアクションを実行する可能性を得る:
- クレデンシャル・スタッフィング攻撃:脆弱性 CVE-2024-7292 を悪用する、ログイン試行回数制限の回避。
- ユーザー・パスワードへのブルートフォース攻撃:パスワード要件の脆弱性 CVE-2024-7293 を悪用する。
- DoS (Denial-of-Service) 攻撃行:レート制限のない、匿名エンドポイントの脆弱性 CVE-2024-7294 を標的にする。
- サーバ上での任意のコード実行:安全ではないタイプ・レゾリューションの脆弱性 CVE-2024-8015 を悪用する。
これらの脆弱性のうち、最も深刻な CVE-2024-8015 (CVSS:9.1) は、悪用に成功した攻撃者に対して、Report Server の完全な制御を許す可能性があるものだ。Progress Software が、全てのユーザーに対して推奨しているのは、Report Server を直ちに最新バージョン 10.2.24.924 へと更新することだ。
直ちにパッチが適用できない場合の、脆弱性 CVE-2024-8015 に対する暫定的な緩和策として、Report Server のアプリケーション・プールのユーザーの権限を、制限されたものに変更するよう、Progress は推奨している。それにより、攻撃者が脆弱性を悪用した場合に生じる、被害を程度を抑制することが可能となる。この緩和策の実施方法の詳細については、同社のナレッジ・ベースの記事 “How To Change IIS User for Report Server” で確認できる。
2024年は、Progress 製品群の脆弱性が目立った年でしたね。直近の関連記事は、2024/07/24 の「Progress Telerik Report の脆弱性 CVE-2024-6327/6096 が FIX:RCE などの恐れ」となっています。よろしければ、Telerik Report Server で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.