High-Severity XXE Vulnerability Found in NAKIVO Backup & Replication
2025/04/10 SecurityOnline — 広く普及しているデータ保護ソリューション NAKIVO Backup & Replication に、深刻度の高いセキュリティ脆弱性が発見された。この XML External Entity (XXE) の脆弱性 CVE-2025-32406 は、影響を受けるバージョンを使用するシステムに重大なリスクをもたらす。
NAKIVO のセキュリティ・アドバイザリによると、この XXE の脆弱性は Backup & Replication ソフトウェアの、Director NBR コンポーネントに存在するとのことだ。この脆弱性を悪用するリモートの攻撃者は、XML レスポンスを取得/解析し、機密データへの不正アクセスを許される可能性を持つ。
攻撃者は、悪意のホスト・パラメータを挿入することで、システムを操作できる。この操作により、システムは攻撃者の管理下にあるサーバへと強制的に接続される。その結果として、攻撃者は侵害済のシステムから、任意のファイルを取得できるようになる。
この脆弱性の深刻度は CVSS:8.6 であり、High と評価されている。このような高スコアの脆弱性が悪用されると、重大な損害やデータ損失にいたる可能性がある。
この脆弱性の影響が及ぶ範囲は、NAKIVO Backup & Replication のバージョン 10.3.x〜11.0.1 となる。これらのバージョンを利用するユーザーにたいして強く推奨されるのは、直ちに対策を講じ、システムのセキュリティを確保することだ。
すでに NAKIVO は、Backup & Replication のバージョン 11.0.2 をリリースし、この XXE の脆弱性に対処している。この脅威の軽減における最大の推奨事項は、この安全なバージョンへの速やかなアップグレードである。
NAKIVO Backup & Replication のバージョン 11.0.2 へのアップグレードにより、ユーザー組織はセキュリティギャップを効果的に解消し、貴重なデータを潜在的な悪用から保護できる。
データ保護の要となるバックアップ・ソリューションは、攻撃の標的となりやすい傾向にあります。実際に、本製品に関しては、別の脆弱性 (CVE-2024-48248) が悪用され、CISA KEV にも登録されています。ご利用のチームは、アップグレードを、お急ぎください。よろしければ、以下の関連記事も、NAKIVO で検索と併せて、ご参照ください。
2025/03/19: NAKIVO の脆弱性などが CISA KEV に登録
2025/03/21:NAKIVO の脆弱性 CVE-2024-48248 の悪用を観測
IoT OT Security News 
You must be logged in to post a comment.