NAKIVO Backup & Replication vulnerability exploited by attackers (CVE-2024-48248)
2025/03/21 HelpNetSecurity — あらゆる規模のユーザー組織に向けて、また、さまざまな MSP に向けて設計されている、バックアップ/ランサムウェア対策/災害復旧ソリューションである、NAKIVO Backup and Replication の脆弱性 CVE-2024-48248 が、積極的に悪用されている。
月19日 (水) に米国の Cybersecurity and Infrastructure Security Agency (CISA) もは、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加したが、ランサムウェア攻撃者による悪用については不明という状況にある。
被害者組織からの身代金の支払を得やすくするために、ランサムウェア攻撃者たちがバックアップを削除することは、よくあることだ。
CVE-2024-48248 について
脆弱性 CVE-2024-48248 は、絶対パス・トラバーサルの欠陥であり、影響を受けるシステム上のファイルの読取を、未認証のリモート攻撃者に許す可能性があるものだ。
NAKIVO は、「この脆弱性の悪用に成功した攻撃者は、コンフィグ・ファイル/バックアップ/認証情報などの機密データにアクセスし、さらなるセキュリティ侵害を引き起こす可能性を手にする」と述べている。
この脆弱性は、2024年9月の時点で watchTowr の研究者により発見され、NAKIVO に報告された。そして NAKIVO は、リリース・ノートに記載することなく、ソリューションの v11.0.0.88174 でパッチを適用した。ただし、その後において、修正された欠陥を周知するためにドキュメントが更新されている。
2025年2月26日に watchTowr チームの Sonny Macdonald は、この脆弱性に関する技術記事と Po Cエクスプロイトを公開し、2024年11月の時点で NAKIVO が、顧客に連迅速なアップグレードの必要性を通知しているはずであり、それを期待していると表明した。
しかし、CISA の通知から判断すると、一部の顧客は迅速に行動せず、侵害を受けているようだ。
もう1つの脆弱への対応
脆弱性 CVE-2024-48248 が影響を及ぼす範囲は、NAKIVO Backup & Replication バージョン 10.11.3.86570 以下である。同社が推奨するのは、NAKIVO Backup & Replication バージョン 11.0.0.88174 以降へとアップグレードし、システム・ログを確認して、悪用を示唆する異常/不正なアクセスをチェックすることだ。
その後に、さらに2つのバージョンがリリースされている。NAKIVO Backup & Replication 11.0.1.89945 で発見された、XML 外部エンティティの欠陥という深刻な脆弱性 (CVE-N/A) に対する修正が、最新バージョンである v11.0.2 には取り込まれている。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムで任意のファイルを取得する機会を得るという。
NAKIVO は、「この脆弱性が悪用されると、データ漏洩/不正なシステム・アクセスが生じ、Backup & Replication プロセスの侵害につながる可能性がある。したがって、バージョン 11.0.2 へのアップグレードを推奨する」と述べている。
なんとなくギクシャク感のある、NAKIVO の対応とアップデートですね。文中にあるように、CISA KEV にも登録されており、脆弱なバージョンを使い続けるのは、かなりのハイリスクな選択となりそうです。ご利用のチームは、アップデートを ご検討ください。なお、この脆弱性に課する第一報は、2025/02/28 の「Nakivo Backup & Replication の脆弱性 CVE-2024-48248 が FIX:悪用が容易な任意のファイル読み取り」です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.