Multiple Critical Vulnerabilities Expose GLPI to Widespread Attacks
2024/12/15 SecurityOnline — 人気の OSS 資産/IT 管理ソフトウェア・パッケージ GLPI (Gestionnaire Libre de Parc Informatique) に、複数の重大な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、ユーザーセッションの乗っ取り/アカウントの削除/管理アカウントの完全な制御などの可能性を手にする。ユーザーに対して推奨されるのは、最新バージョンである 10.0.17 へと、可能な限り早急にアップデートすることだ。
これらの脆弱性は、 GLPI を利用するユーザー組織に対して、重大なリスクをもたらす。それぞれの脆弱性の詳細は以下の通りである:
- CVE-2024-50339 (CVSS 9.3):未認証のセッション乗っ取り
この脆弱性を悪用する未認証の攻撃者は、すべてのセッション ID を取得し、任意のログイン・ユーザーになりすます可能性を得る。つまり、攻撃者は有効な認証情報を用いることなく機密データにアクセスし、正規ユーザーに代わって操作を試行できる。この脆弱性は、インターネットに公開されている GLPI インスタンスに、重大な脅威をもたらす可能性がある。 - CVE-2024-48912 (CVSS 7.2):不安全なアカウント削除
この脆弱性の悪用に成功した、認証を得た攻撃者は、たとえ権限が制限されていても、GLPI システム内のあらゆるユーザー・アカウントの削除を達成できる。この脆弱性の悪用は、内部関係者や侵害済みのアカウントを介して達成され、業務妨害/重要アカウント削除/悪意の痕跡に隠蔽などに利用される可能性がある。 - CVE-2024-47760 (CVSS 7.5):API 経由のアカウント乗っ取り
GLPI API へのアクセス権を持つ攻撃者は、この脆弱性を悪用して権限の昇格を達成できる。続いて、管理アカウントなどの、より高い権限を持つアカウントの制御も可能にし得る。 - CVE-2024-47761 (CVSS 7.5):パスワード・リセットによるアカウント乗っ取り
メール・サーバなどへ送信された内容へのアクセス権を持つ管理者であれば、この脆弱性を悪用して、より高い権限を持つユーザー・アカウントの制御などを達成し得る。この問題が浮き彫りにするのは、GLPI アプリケーションだけではなく、電子メールサーバなどの関連インフラのセキュリティ確保の重要性である。
これらの脆弱性の複合的な影響により、GLPI ユーザーに深刻なセキュリティ上の問題が生じる可能性がある。その中でも、特に憂慮すべきは脆弱性 CVE-2024-50339である。この脆弱性を悪用する攻撃者は、未認証のままでセッションを乗っ取り、最小限の労力で攻撃を拡大させる可能性を手にする。
すでに GLPI プロジェクトは、GLPI バージョン 10.0.17 をリリースし、一連の脆弱性に対処している。悪用リスクを軽減するために、ユーザーに推奨されるのは、可能な限り早急にアップグレードすることだ。アップデートを怠ると、システムが攻撃に対して脆弱な状態となり、データ漏洩やシステム障害などの、深刻な被害につながる可能性がある。
また、緩和策として推奨されるのは、アクセス制御を見直し、不審な活動の有無をシステムログで監視することだ。今回の件が浮き彫りにするのは、安全な IT 環境を維持するために、定期的なソフトウェア・アップデートと積極的なセキュリティ対策の実施が重要であるということだ。
このブログでは初登場の GLPI なので、Wikipedia で調べたところ、「GLPI は、フランス発のオープンソースであり、IT 資産管理/問題追跡システム/サービスデスクを提供するとのことです。このソフトウェアは PHP で記述されており、GNU General Public License の下でオープンソース ソフトウェアとして配布されている」と紹介されていました。また、「IT 資産管理ツール GLPI」 という日本語記事もありました。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.