XSS Flaw in Apache Atlas (CVE-2024-46910) Puts Data Governance at Risk
2025/02/13 SecurityOnline — Hadoop などのエンタープライズ・ データ・エコシステムで広く使用される、OSS のガバナンス/メタデータ管理ツール Apache Atlas に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2024-46910 を悪用する攻撃者は、クロス・サイト・スクリプティング (XSS) 攻撃を仕掛け、他のユーザーになりすます可能性があるため、データ・ガバナンスとセキュリティに重大なリスクをもたらすという。
Apache Atlas に課せられた重要な役割とは、データ資産カタログを構築する組織において、それらの資産を分類および管理し、データ・サイエンティスト/アナリスト/ガバナンス チーム間での、コラボレーションを促進することにある。この脆弱性は “Important” と評価され、一連のプロセスの整合性と信頼性にダイレクトな影響を及ぼすものだ。
Apache の公式セキュリティ・アドバイザリには、「認証されたユーザーには、XSS 攻撃を実行し、他のユーザーになりすます可能性がある。つまり、すでに Atlas インスタンスへの正当なアクセス権を取得している攻撃者は、この欠陥を悪用してアプリケーションに悪意のスクリプトを挿入できる。それらのスクリプトにより、ユーザーの認証情報の窃取や、セッションの乗っ取り、データの操作などが行われる可能性があり、不正アクセス/データ侵害/ガバナンス・ワークフローの中断などの恐れが生じる」と記されている。
この問題は、Apache Atlas バージョン 2.3.0 以下に影響を及ぼす。これらの脆弱なバージョンを使用している組織には、速やかな対処が強く推奨される。そのための解決策は、新たにリリースされたバージョン 2.4.0 へとアップグレードすることだ。
XSS の脆弱性は、他の攻撃形態よりも深刻度が低いと認識されがちだが、Atlas のようなガバナンス・ツールのコンテキストでは、きわめて危険なものにもなり得る。つまり、正規のユーザーへのなりすましの可能性により、大きなリスクが生じることになる。攻撃者は、データを盗むだけではなく、ガバナンス・ポリシーと分類を操作し、データ・ガバナンス・フレームワーク全体を弱体化させる可能性を手にする。
Apache Atlas により管理される情報は、高機密性のケースが多いため、影響を受ける組織にとって、この更新を適用することは、最優先の事項となる。アップグレードが遅滞すると、システムの悪用の危険性が高まり、貴重なデータ資産が危険にさらされる。Apache Atlas バージョン 2.4.0 へのアップグレードは、この XSS 脆弱性に関連するリスクを軽減し、デプロイメントのセキュリティと信頼性を、継続的に確保するための重要なステップである。
Apache Atlas の XSS 脆弱性が FIX しました。NVD で調べてみたら、CVSS値 は CISA-ADP 評価で 7.1 となっていました。すでにパッチ・バージョンがリリースされていますので、ご利用のチームは、ご確認ください。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.