CVE-2024-32838 (CVSS 9.4): Critical SQL Injection Flaw Threatens Apache Fineract Users
2025/02/13 SecurityOnline — デジタル金融サービスのコア・バンキング・システムの構築に使用される、人気の OSS プラットフォーム Apache Fineract に、深刻なセキュリティ脆弱性が発見された。その脆弱性 CVE-2024-32838 は、金融機関とユーザーに深刻なリスクをもたらすが、Fineract サービスの重要なユーザーである、銀行口座を持たない人々や、銀行口座を十分に利用できない人々に対して、顕著な影響が生じることになる。
脆弱性 CVE-2024-32838 (CVSSv4:9.4:Important) は、オフィスやダッシュボードに関連する各種の API エンドポイントに影響を与える、SQLインジェクションの欠陥である。Fineract の公式セキュリティ・アドバイザリには、「Apache Fineract バージョン 1.9 以下に存在する、この脆弱性の悪用に成功した認証済の攻撃者は、REST API エンドポイントのクエリ・パラメータの一部に、悪意のあるデータを挿入する機会を手にする」と記されている。
つまり、悪意の人物が認証されている場合には、データベース・クエリの操作/機密の金融データへの不正アクセス/既存レコードを変更/システム全体の制御の奪取などの可能性が生じる。その潜在的な影響の範囲は、データ侵害や金銭的損失から、サービスの完全な中断までの多岐にわたる。
Apache Fineract バージョン 1.4〜1.9 に、脆弱性 CVE-2024-32838 は影響を及ぼす。これらのバージョンのユーザーに対して、強く推奨されるのは、直ちに対策を講じてリスクを軽減することだ。すでに Apache Software Foundation は、この重大な問題の修正を含むバージョン 1.10.1 をリリースしている。Apache のアドバイザリには、「この問題を修正するために、バージョン 1.10.1 へとアップグレードすることを、強く推奨する」と記されている。
なお、このパッチは、単なるパッチではない。Fineract チームは、将来における同様の脆弱性を防ぐために、積極的なアプローチをとっている。その一環として、彼らは新しい SQL バリデータを実装している。Apache のアドバイザリには、「このバリデータにより、SQL クエリに対する一連のテストとチェックをコンフィグできるため、ほぼ全ての潜在的な SQL インジェクション攻撃を検証/防御できる。この強力な新機能により、今後の Fineract デプロイメントにおいては、セキュリティ体制が大幅に強化されるはずだ」と記されている。
Apache Fineract を利用する組織にとって必要なことは、可能な限り早急にバージョン 1.10.1 へとアップグレードし、潜在的な悪用から自社とユーザーを保護することだ。
金融サービス向けの OSS である Apache Fineract の脆弱性 CVE-2024-32838 が FIX しました。金融機関とユーザーに深刻なリスクをもたらす可能性がある脆弱性とのことですので、アップデートを忘れないよう、お気をつけください。なお、Apache Fineract の脆弱性に関しては、2024/03/31 に「Apache Fineract の脆弱性 CVE-2024-23537 などが FIX:直ちにアップデートを!」という記事をポストしています。よろしければ、Banking で検索と併せて、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.