2025/02/05 SecurityOnline — 人気の OSS NoSQL データベース Apache Cassandra だが、深刻な脆弱性に直面しており、機密データへの不正アクセスや不正操作が生じる可能性があるという。Cassandra の各バージョンに影響を及ぼす、3件の明確なセキュリティ上の欠陥が特定されている。したがって、このプラットフォームに依存して、ミッション・クリティカルなデータを運用する組織に、深刻な懸念が生じている。
これらの脆弱性の中で、最も憂慮すべき CVE-2025-24860 は、攻撃者に対してネットワーク認証制御のバイパスを許すというものだ。この CassandraNetworkAuthorizer と CassandraCIDRAuthorizer の欠陥により、さまざまなネットワーク領域への不正アクセスが許可され、データセンターの境界が実質的に侵害される可能性があるという。さらに問題を深刻化させるのは、データセンターへのアクセスが制限されているユーザーであっても、影響を受けるバージョンのデータ制御言語 (DCL) ステートメントを通じて、自分の権限をエスカレートさせることが可能な点である。この脆弱性が影響を及ぼす範囲は、Cassandra バージョン 4.0.0〜4.0.15/4.1.0〜4.1.7/5.0.0〜5.0.2 である。
2つ目の脆弱性 CVE-2025-23015 は、権限昇格を引き起こす欠陥である。すべてのキースペースに対して、無害に見える変更の権限を持つユーザーであれば、安全が確保されないアクションを悪用することで、Cassandra クラスター内でスーパー・ユーザー権限を取得できる。つまり、アクセスが制限されている攻撃者による、データベースの完全な制御の可能性が生じる。この脆弱性が影響を及ぼす範囲は、Cassandra のバージョン 3.0.0〜5.0.2 であり、さらに広範囲となる。管理者に対して強く推奨されるのは、データ・アクセス・ルールの速やかな確認と、潜在的な侵害の特定である。
3つ目の脆弱性 CVE-2024-27137 は、JMX 認証資格情報における無制限のデシリアライズに関連した、既知の脆弱性の再導入を引き起こすものだ。この脆弱性により、ローカルの攻撃者は中間者攻撃を実行し、JMX インターフェイスへのアクセスに使用される、ユーザー名とパスワードをキャプチャできる。これらの盗まれた資格情報を悪用する攻撃者は、不正な操作の実行を可能にする。この欠陥は、Java 11 で実行されている、Cassandra のバージョン 4.0.2〜5.0.2 に影響を及ぼす。
Cassandra に依存している組織は、直ちに対策を講じ、これらのリスクを軽減する必要がある。最新のパッチ適用バージョン 3.0.31/3.11.18/4.0.16/4.1.8/5.0.3へと、アップグレードすることが最も重要である。パッチ適用以外にも、厳格なアクセス制御管理や定期的なセキュリティ監査などの、セキュリティのベスト・プラクティスを実装して、悪用の可能性を最小限に抑える必要がある。その点に、重要なデータの整合性と可用性が懸かっている。
Apache Cassandra の3件の脆弱性が FIX しました。ご利用のチームは、十分にご注意ください。なお、関連トピックとして、2022/02/16 に「Cassandra NoSQL データベースの深刻な脆弱性 CVE-2021-44521 が FIX」という記事をポストしています。よろしければ、NoSQL で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.