Oracle warns of Agile PLM file disclosure flaw exploited in attacks
2024/11/19 BleepingComputer — Oracle Agile Product Lifecycle Management (PLM) に存在する、認証を必要としないファイル開示の脆弱性 CVE-2024-21287 が修正された。このゼロデイ脆弱性は、ファイルを不正にダウンロードするために、積極的に悪用されていた。Oracle Agile PLM は、企業のグローバル・チーム間において、製品データ/プロセス/コラボレーションを管理するためのソフトウェア・プラットフォームである。
11月18日に Oracle は、Agile PLM の顧客に対して、脆弱性 CVE-2024-21287 を修正するための、最新バージョンをインストールするよう促している。
同社は、「この脆弱性は、認証を必要とすることなく、リモートからの悪用が可能である。つまり、ユーザー名とパスワードを必要とせずに、ネットワーク経由で悪用される可能性が生じている。この脆弱性が悪用されると、ファイルの開示につながる恐れがある。顧客に対して強く推奨されるのは、このセキュリティ・アラートで提供されるバージョンへと、可能な限り早急にアップデートすることだ」と警告している。
この脆弱性を発見したのは、CrowdStrike の Joel Snape と Lutz Wolf だと、Oracle は述べている。ただし、このアドバイザリでは、この脆弱性の積極的な悪用については、何も示されていない。
その一方で、Oracle の Vice President of Security Assurance である Eric Maurice は、この脆弱性が攻撃に悪用されたことを確認する、ブログ記事を投稿している。
彼は、「この脆弱性は、Oracle Agile PLM に影響する。CrowdStrike からは、実際に悪用されていると報告されている。この脆弱性の CVSS ベース スコアは 7.5 である。この脆弱性が悪用されると、認証されていない攻撃者は、標的システム上の PLM アプリケーションの権限を用いて、アクセスが可能なファイルのダウンロードを達成する」と述べている。
現時点において、この脆弱性の悪用方法や、攻撃している脅威アクターについては不明である。
BleepingComputer は、CrowdStrike と Oracle に詳細を問い合わせたが、現時点で返答はない。
Oracle AgilePLM に存在する、ファイル開示の脆弱性 CVE-2024-21287 が悪用されているとのことです。ご利用のチームは、ご注意ください。なお、この脆弱性は、11月21日付で CISA KEV にも登録されています。したがって、米国の連邦政府機関においても、悪用が観測されていることになります。よろしければ、Oracle で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.