WSO2 SOAP の脆弱性 CVE-2024-6914 が FIX：あらゆるユーザー・アカウントでパスワード・リセット

Critical WSO2 SOAP Vulnerability Let Attackers Reset Password for Any User Account

2025/05/26 CyberSecurityNews — 複数の WSO2 製品に、深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、任意のユーザー・アカウントのパスワードをリセットし、システム全体への侵害の可能性を手にする。

2025年5月22日に公開された脆弱性 CVE-2024-6914 は、WSO2の エンタープライズ・ソフトウェア・スイートを利用する組織にとって深刻な脅威であり、セキュリティ研究者たちは CVSS スコアを 9.8 と評価している。

この脆弱性は、アカウント復旧 SOAP 管理サービスにおける。不正な認証の脆弱性に起因する。その結果として、攻撃者に対して認証メカニズムの回避を許し、管理者権限を持つユーザー・アカウントなどへの不正アクセスの可能性を得る。

この、WSO2 のアカウント・サービスにおけるビジネス・ロジックの欠陥を悪用する攻撃者は、”/services”コンテキスト・パスを通じて公開されるエンドポイントを標的にする。

深刻な WSO2 SOAP 脆弱性

この脆弱性は CWE-863 (不正な認証) に分類され、リモートの攻撃者に対して、適切な認証を要求することなく、パスワード・リセット操作を許してしまう。

この攻撃ベクターは、ユーザーの操作を必要とせず、ネットワーク経由でリモートから実行できるため、アクセスが公開される WSO2 を導入する組織にとって、きわめて危険なものである。

公式セキュリティ・アドバイザリによると、この脆弱性は、WSO2 製品のコア認証メカニズムに影響を及ぼすという。この脆弱性が悪用されると、攻撃者は管理者ユーザー・アカウントなどを乗っ取り、インフラ全体に重大なセキュリティ・リスクをもたらす。

Zero Day Initiative は、”危険な機能の露出による認証バイパスの脆弱性” として文書化し、ユーザーの自己登録プロセスにおける危険な機能の露出が、この欠陥の原因だと強調している。

Risk Factors	Details
Affected Products	– WSO2 API Manager 2.2.0 to 4.3.0- WSO2 Identity Server 5.3.0 to 7.0.0- WSO2 Identity Server as Key Manager 5.3.0 to 5.10.0- WSO2 Open Banking AM/IAM/KM 1.3.0 to 2.0.0
Impact	Full account takeover
Exploit Prerequisites	– Exposure of /services SOAP admin endpoints to untrusted networks- Lack of network segmentation per WSO2’s Security Guidelines for Production Deployment
CVSS 3.1 Score	9.8 (Critical)

影響を受ける製品

この脆弱性は、WSO2 の広範な製品群とバージョンに影響を及ぼす。影響を受けるシステムとして挙げられるのは、WSO2 API Manager バージョン 4.3.0～2.2.0／WSO2 Identity Server バージョン 7.0.0〜5.3.0／キーマネージャとしての WSO2 Identity Server に加えて、WSO2 Open Banking 製品群となる。

これらのエンタープライズ・グレードのソリューションは、世界中の本番環境で広く導入されており、浮き彫りにされるのは、セキュリティ問題の深刻さである。

この攻撃メカニズムは、アカウント復旧操作を処理する、SOAP 管理サービス・フレームワークの悪用から始まる。攻撃者は、”/services” エンドポイントへの悪意のリクエストを作成し、不正なパスワード・リセット機能をトリガーする。

この脆弱性の悪用の可能性が高いのは、ネットワーク・アクセス可能であるという性質による。その CVSS ベクタール文字列が示すのは、攻撃の複雑さが低く、権限やユーザーの操作を必要とせずに、ネットワーク経由で悪用される可能性があることだ：(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)。

影響を受ける WSO2 製品を使用している組織にとって必要なことは、この深刻な脆弱性を軽減するための、セキュリティ対策を直ちに実施することだ。

主な推奨事項は、WSO2の “本番環境導入のためのセキュリティ・ガイドライン” に従い、信頼できないネットワークからの SOAP 管理サービスへのアクセスを制限することだ。これらのガイドラインが適切に実装されると、CVSS スコアは 9.8 から 8.8 に低下するが、それでも依然として高リスクである。

直ちに実施すべき緩和策として挙げられるのは、”/services” コンテキスト・パスの公開の無効化／ネットワーク・レベルのアクセス制御を実装により SOAP 管理サービスへのアクセスを信頼できるネットワークのみに制限／不正なパスワード・リセットの試行の監視などである。

システム管理者にとって必要なのは、WSO2 導入環境全体の認証メカニズムを見直／強化および、管理機能に追加の認証レイヤーを実装することの検討となる。

すでに WSO2 は、この脆弱性に対処するセキュリティ・パッチをリリースしている。したがって、ユーザー組織に対して強く推奨されるのは、これらのアップデートの速やかな適用である。

その一方で、すでに PoC エクスプロイト・コードも公開されている。そして、この脆弱性には、さまざまな脅威インテリジェンス・フィードに含まれている。つまり、パッチ未適用のシステムでは悪用リスクが高まる恐れがあり、セキュリティ研究コミュニティが積極的に関心を示している。

複数の WSO2 製品に、CVSS スコア 9.8 の深刻な脆弱性が発見されました。すでに PoC が公開されているとのことですが、それらしき情報は見つけられませんでした。ご利用のチームは、パッチ適用をお急ぎください。よろしければ、WSO2 で検索も、ご参照ください。