CVE-2024-9537 (CVSS 9.8): Critical Zero-Day in ScienceLogic EM7 Leads to Rackspace Security Incident
2024/10/21 SecurityOnline — 大手クラウド・プロバイダー Rackspace が発表したのは、ScienceLogic EM7 (SL1) モニタリング・プラットフォームにバンドルされた、サードパーティ製ユーティリティで発見されたゼロデイ脆弱性に関連するセキュリティ・インシデントである。この脆弱性は、CVE-2024-9537 (CVSS 9.8) として特定されており、リモート・コードの実行と、機密データへの不正アクセスを許すものとされる。
Rackspace は、社内システムの監視において ScienceLogic EM7 を使用している。2024年9月24日の時点で同社は、この監視インフラ内での不審な活動を特定し、直ちに調査を開始した。その結果として、以前は文書化されていなかったゼロデイ脆弱性を悪用する未知の攻撃者が、パフォーマンス監視データにアクセスしていたことが判明した。
Rackspace が強調するのは、機密性が低いパフォーマンス監視データのみが侵害されたという点である。ただし、このデータに含まれるものには、顧客のアカウント名と番号/ユーザー名/社内で生成されたデバイス ID/デバイス名/デバイス情報/IP アドレス/AES256 で暗号化された社内デバイス・エージェントの認証情報などがある。同社が顧客に保証しているのは、パスワードや財務データなどの機密情報が侵害されていないことである。
脆弱性 CVE-2024-9537 は、ScienceLogic SL1 にバンドルされた、サードパーティ製ユーティリティにおける RCE の欠陥に起因する。ScienceLogic は、このユーティリティの具体的な名称を公表していない。その一方で専門家たちが示唆するのは、このユーティリティが多様なアプリケーションに統合されている可能性であり、サイバーセキュリティ・コミュニティに広範な懸念が生じている。
この脆弱性が発見された直後から、Rackspace は ScienceLogic と協力し、パッチの開発と展開を行っている。このパッチが全ての顧客に提供されたことを確認した上で、ScienceLogic は影響を受ける全ての顧客に対して、ユーザー・サイドでの対応は不要であるとする通知を送っている。
10月21日の時点で、この脆弱性 CVE-2024-9537 は、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された。
ScienceLogic は、すべての SL1 ユーザーに強く推奨するのは、ただちにシステムを更新、このゼロデイ脆弱性によるリスクを軽減することだ。更新の詳細な手順については、ScienceLogic の Web サイトを参照してほしい。
Rackspace って、まだ元気でやっているのですね。しかし、社内システムの監視で使用している ScienceLogic EM7 の脆弱性 CVE-2024-9537 により、かなりの規模の情報漏洩を引き起こしてしまったようです。ご利用のチームは、ご注意ください。よろしければ、Rackspace で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.