CVE-2024-45387 (CVSS 9.9): Critical SQL Injection Vulnerability Found in Apache Traffic Control
2024/12/24 SecurityOnline — 人気の オープンソース・プラットフォームである Apache Traffic Control に、深刻な脆弱性 CVE-2024-45387 (CVSS 9.9) が発見された。この脆弱性の悪用に成功した攻撃者は、悪意の SQL コードの実行や、機密データへの不正アクセス、重要サービスに対する妨害などを引き起こす可能性を得る。
Apache Traffic Control は、高度に分散化された拡張可能なプラットフォームであり、大規模かつ堅牢な CDN の構築に役立つ。Apache Traffic Server を基盤として構築された製品であり、規模の大小を問うことなくオペレーターのニーズに応え、効率的なコンテンツ配信を保証する。Traffic Control の主要コンポーネントには、CDN のコンフィグとインタラクションを管理する、Traffic Ops が含まれる。
この脆弱性は、Apache Traffic Control バージョン 8.0.0/8.0.1 の Traffic Ops コンポーネントにおける、SQL インジェクションの欠陥に起因する。Apache のアドバイザリには、「Traffic Ops の SQL インジェクション脆弱性により、ロールとして admin/federation/operations/portal/teering を持つ特権ユーザーは、特別に細工した PUT リクエストを送信することで、データベースに対して任意の SQL を実行できるようになる」と記されている。
つまり、Traffic Ops に対して特定のアクセス権を持つ攻撃者が、この脆弱性を悪用することで、基盤となるデータベースの操作を可能するということだ。その結果として、データ漏洩/不正アクセスに加えて、システムの完全な乗っ取りなどの、さまざまな被害が生じる可能性がある。
この脆弱性 CVE-2024-45387 は、Tencent YunDing Security Lab の Yuan Luo により発見された。ユーザーに対して推奨されるのは、最新バージョンである Apache Traffic Control 8.0.2 へと、可能な限り早急にアップデートすることだ。
Apache Traffic Control の脆弱性が FIX しました。ご利用のチームは、ご注意ください。関連記事として、このブログでは、2024/11/17 に「Apache Traffic Server の脆弱性 CVE-2024-38479/50305/50306 が FIX:直ちにアップデートを!」を掲載しています。よろしければ、Apache で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.