CVE-2024-55579 & CVE-2024-55580: Qlik Sense Users Face Serious Security Risk
2024/12/08 SecurityOnline — BI (Business Intelligence) の大手プロバイダである Qlik が公開したセキュリティ勧告は、Qlik Sense Enterprise for Windows に存在する2つの脆弱性 CVE-2024-55579/CVE-2024-55580 に関するものだ。これらの脆弱性の悪用に成功した、 ネットワーク・アクセス権限を持たないユーザーは、リモート・コード実行 (RCE:Remote Code Execution) や、アクセス制御の破損 (BAC:Broken Access Control) を引き起こし、サーバ侵害の可能性を手にするという。
脆弱性の詳細
- CVE-2024-55579 (CVSS 8.8):攻撃者に対して、Qlik Sense サーバ上での任意の EXE ファイル実行を許す脆弱性。 Qlik は、「この脆弱性を悪用するネットワーク・アクセス権限を持たないユーザーが、Qlik Sense Enterprise for Windows 上で任意の EXE ファイルの実行をトリガーするための、接続オブジェクトを作成する可能性が生じる」と述べている。この脆弱性の悪用に成功した攻撃者は、サーバとデータに対する、広範な制御権限を取得すると想定される。
- CVE-2024-55580 (CVSS 7.5):攻撃者に対して、リモート・コマンド実行を許す可能性がある脆弱性。Qlik は、「この脆弱性を悪用するネットワーク・アクセス権限を持たないユーザーが、Qlik Sense for Windows でのリモート・コマンド実行を達成する可能性が生じる。それにより、可用性/整合性/機密性が侵害される恐れがある」と警告している。
直ちにパッチ適用を!
May 2024 Patch 10/February 2024 Patch 14/ November 2023 Patch 16 などの、各種のバージョンにおいて、脆弱性 CVE-2024-55579/CVE-2024-55580 に対するパッチが利用できる。
すべてのユーザーに対して推奨されるのは、Qlik Sense Enterprise for Windows のインストールを、パッチ適用済みのバージョンへと、直ちにアップグレードすることだ。なお、November 2024 Initial Release は、これらの脆弱性の影響を受けない。
テンション・エラーと可視化の問題緩和
一連のパッチに加えて、Qlik が提供する回避策は、アップグレード後に発生する可能性のある、エクステンション・エラーと無効な可視化のエラーに対処するものだ。この回避策では、Repository.exe.config ファイルの変更と、いくつかの Qlik Sense サービスの再起動が必要となる。詳細な手順は、Qlik のセキュリティ勧告を参照してほしい。
Qlik Sense の2つの脆弱性が FIX しました。それぞれのバージョンに対するパッチが提供されていますので、ご利用のチームは、ご確認ください。なお、この製品に関連する直近のポストは、2024/05/23 の「Qlik Sense の脆弱性 CVE-2024-36077 が FIX:RCE の可能性も!」となっています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.