Halo ITSM の SQLi の脆弱性 CVE-N/A が FIX:PoC リクエストが提供

Halo ITSM Vulnerability Lets Attackers Inject Malicious SQL Code

2025/04/04 gbhackers — クラウド/オンプレミス環境に広く導入されている、 IT サポート管理ソフトウェア Halo ITSM に、深刻なセキュリティ上の欠陥が発見された。この脆弱性により、攻撃者は悪意の SQL コードの挿入を達成する。その結果として、認証情報や社内文書などの機密データなどを取り込む IT サポート・チケットの管理に、Halo ITSM を利用する組織に大きな脅威が生じる。

この問題はセキュリティ監査で発見されたものであり、それを実施した研究者により、Halo ITSM のコードベースに存在する、事前認証 SQL インジェクションの脆弱性があ報告された。この脆弱性は、一貫性のない ORM (object-relational mapping) の使用や、SQL クエリで内での危険な文字列連結といった、セキュリティ慣行の不備に起因する。

脆弱性の詳細

この脆弱性の根本的な原因は、厳密なデータ・タイプを適用できない、弱い型指定のオブジェクトの使用にある。具体的に言うと、この問題は API コントローラである “NetHelpDesk.API/Controllers/NotifyController.cs” の PostLogMeIn 関数に関連している。

このコントローラは、タイプ指定のないディクショナリ・オブジェクトを受け入れるため、入力データを操作する攻撃者は、悪意の SQL コマンド挿入の機会を手にする。その理由は、脆弱なコードが適切な入力検証やサニタイズを行わずに、HTTP POST リクエストで送信された JSON オブジェクトを処理するところにある。

細工されたリクエストは、techid パラメーターに悪意の SQL を取り込むことで、この欠陥を悪用できる。そのエクスプロイト・チェーンは、以下の PoC リクエストで実証されている。

エクスプロイトの例:

POST /api/Notify HTTP/2
Host: vulnerablehost
Content-Type: application/json
{
  "sessionid": "SESSION_ID_VALUE",
  "tracking0": "ticket12345",
  "techid": "1;waitfor delay '0:0:10'--",
  "pickuptime": "2025-03-03T10:00:00",
  "lastactiontime": "2025-03-03T11:30:00"
}

このリクエストが送信されると、SQL クエリの実行が 10 秒間にわたり遅延するため、この脆弱性の悪用が可能であることが確認できる。この特定の API エンドポイントでは、認証が強制されないため、システムへの事前アクセスを必要とせずに攻撃を実行できる。

影響と緩和

この脆弱性が悪用されると、ユーザー組織において、データ侵害/サービス中断/IT サポート・システムへの不正アクセスなどが生じる。したがって、この欠陥を悪用する攻撃者は、認証情報データへのアクセス/サポート・チケットの操作に加えて、影響を受けるネットワーク内での権限昇格の可能性を手にする。

この問題報告された後に、Halo ITSM はパッチをリリースし、それに対処した。しかし研究者は、認証後の攻撃対象領域に関連するコードベースに、さらに深刻な問題が残っていると警告している。

セキュリティ慣行として、厳密な型指定/入力検証/パラメーター化された SQL クエリなどを広く使用していれば、この種の脆弱性の影響を防げた可能性があるという。

Halo ITSM を使用している組織が実施すべきは、以下のステップである:

  1. Halo ITSM が提供する最新のセキュリティ・パッチを適用する。
  2. システム監査を実施することで、異常な API リクエストやデータベース・クエリなどの、悪用の兆候の有無を確認する。
  3. ソフトウェア開発において、ORM/データ・サニタイズ/入力検証などの、安全なコーディング・プラクティスを取り入れる。

Halo ITSM は、IT サポート管理において不可欠なツールであるが、この脆弱性が浮き彫りにするのは、潜在的なリスクを軽減するための、積極的なセキュリティ監査と堅牢なソフトウェア設計の重要性である。

さらなる詳細情報については、セキュリティ・チームへ問い合わせてほしい。また、Halo ITSM の公式アドバイザリ・ページも参照すべきだ。

Halo ITSM (IT Support Management) に、SQLインジェクション の脆弱性が発見されました。現在、この問題にはパッチが提供されていますが、研究者はコードベースに他にも問題が潜んでいる可能性があると警告しています。単なる一時的な対処では不十分であり、設計段階からのセキュリティ見直しが求められます。よろしければ、​ITSM で検索も、ご参照ください。