CVE-2024-45387: PoC Published for Critical SQL Injection in Apache Traffic Control
2024/12/29 SecurityOnline — Apache Traffic Control に存在する、深刻な SQL インジェクション脆弱性 CVE-2024-45387 (CVSS:9.9) の PoC エクスプロイト・コードが、セキュリティ研究者の Abdelrhman Zayed と Mohamed Abdelhady により公開された。この脆弱性は深刻度が高いものであるため、悪用により甚大な損害が引き起こされる可能性がある。
Apache Software Foundation (ASF) アドバイザリによると、Apache Traffic Control バージョン 8.0.0 〜 8.0.1 の Traffic Ops モジュールに、脆弱性 CVE-2024-45387 は存在する。そのロールとして “admin”、”federation”、”operations”、”portal”、”steering” などの特権を持つユーザーであれば、特別に細工された PUT リクエストを送信することで、この脆弱性を悪用を達成し、データベースに対して任意の SQL コマンドを実行できる。
プロジェクトの管理者は、「Apache Traffic Control <= 8.0.1、>= 8.0.0 の Traffic Ops に存在する、SQL インジェクションの脆弱性を悪用する特権ユーザーは、特別に細工された PUT リクエストを送信することで、データベースに対して任意の SQL を実行できる」と述べ、この問題の深刻さを強調している。
この脆弱性の悪用に成功した攻撃者は、機密データベースのコンテンツ操作や、システムの整合性の侵害や、重要なデータの窃取などを可能にする。
この脆弱性は、Tencent YunDing Security Lab の Yuan Luo により発見され、Apache Software Foundation (ASF) に報告された。すでに ASF チームは、パッチを適用した Apache Traffic Control のバージョン 8.0.2 をリリースし、この欠陥に対処している。
さらに、研究者の Abdelrhman Zayed と Mohamed Abdelhady は、GitHub で CVE-2024-45387 の PoC エクスプロイトを公開して警鐘を鳴らしている。ただし、この PoC が提供されたことで、パッチ未適用のシステムを悪用する、攻撃者が増加する可能性もある。
Apache Traffic Control は、効率的でスケーラブルなコンテンツ配信を可能にする、堅牢な CDN のオープンソース実装である。2018年6月の時点で、ASF によりトップレベル・プロジェクトとして認定され、Web トラフィックの管理と最適化において広く使用されている。
すでに PoC エクスプロイトが流通しているため、脆弱性 CVE-2024-45387 (CVSS:9.9) は、Apache Traffic Control を用いる組織にとって重大な脅威となっている。したがって、エクスプロイトのリスクを最小限に抑えるためには、迅速なパッチ適用と堅牢なアクセス制御が不可欠となっている。
Apache Traffic Control の SQLi の脆弱性 CVE-2024-45387 ですが、PoC が提供されていますので、ご利用のチームは、十分に ご注意ください。この件に関する第一報は、2024/12/24 の「Apache Traffic Control の SQLi 脆弱性 CVE-2024-45387 が FIX:データ漏えいなどの可能性」です。よろしければ、Apache Traffic で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.