Denodo Scheduler Vulnerability Let Attackers Execute Remote Code
2025/06/02 CyberSecurityNews — データ管理ソフトウェア・コンポーネント Denodo Scheduler に、深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上でのリモートコード実行の可能性を手にする。この脆弱性 CVE-2025-26147 により、Kerberos 認証コンフィグ機能にパストラバーサルが生じ、企業のデータ管理インフラのセキュリティが侵害される可能性があるという。
パストラバーサルの脆弱性
データ抽出および統合操作のためのタイム・ベースのジョブ・スケジューリングを提供する、Java ベースの Web アプリである Denodo Scheduler のバージョン 8.0.202309140 に、この脆弱性は影響を及ぼす。
このセキュリティ脆弱性は、Kerberos 認証コンフィグ機能に、具体的には keytab ファイルのアップロード・メカニズムに存在する。
Kerberos 認証用のサービス・プリンシパル認証情報を保存する、keytab ファイルを管理者がアップロードするとき、このアプリケーションはマルチパート・フォーム・データ POST リクエスト内の、ファイル名パラメータを適切に検証できない。
ディレクトリ・トラバーサル・シーケンスを用いる攻撃者は、Content-Disposition HTTP ヘッダーのファイル名属性を操作することで、この脆弱性を悪用できる。
たとえば、filename=””../../../../opt/denodo/malicious.file.txt” などの悪意のペイロードにより、サーバのファイル・システム上の任意の場所へ、不正なファイルのアップロードが可能になる。
このアプリケーションは。アップロードされたファイル名にタイムスタンプ (例:malicious.file-1711156561716.txt) を付加するが、このタイムスタンプは HTTP レスポンスを通じてユーザーに返されるため、攻撃者は正確なファイル名を推測する必要がなくなる。
このパス・トラバーサルの脆弱性と、アプリケーションで用いられる Apache Tomcat デプロイメント環境が連鎖すると、きわめて危険な状態に陥るという。
セキュリティ研究者が特定したのは、Web サーバのルート・ディレクトリである “/path/to/webroot/resources/apache-tomcat/webapps/ROOT/” が、悪意のファイルの配置おいて、最適な標的となることだ。つまり、このロケーションに JavaServer Pages (JSP) Webシェルをアップロードする攻撃者は、完全なリモートコード実行機能を達成する。
研究者たちが実証したのは、GETリクエスト・パラメータを介してコマンドを受け入れる、簡潔な Java Web シェルを用いる攻撃の手法である。
この Web シェルが展開されると、攻撃者はコマンド・パラメータを用いてアップロードされた JSP ファイルにアクセスして任意のシステム・コマンドを実行し、侵害を受けたサーバを完全に制御できるようになる。
| Risk Factors | Details |
| Affected Products | Denodo Scheduler (v8.0.202309140) |
| Impact | Remote Code Execution (RCE) |
| Exploit Prerequisites | Administrative access to configure Kerberos authenticationAbility to upload malicious keytab filesApache Tomcat deployment environment |
| CVSS 3.1 Score | 8.8 (High) |
緩和策
この脆弱性を発見したセキュリティ企業 Rhino Security Labs は、この問題を、2024年4月9日の時点で Denodo に報告している。
この脆弱性を認めた Denodo は、開示から僅か 14日後の2024年4月23日に、セキュリティ・パッチをリリースするという模範的な対応を示した。
すでに脆弱性 CVE-2025-26147 は、Denodo 8.0 アップデート 20240307 で修正されている。したがって、影響を受けるバージョンを使用している組織は、このセキュリティ・アップデートを速やかに適用する必要がある。
このインシデントが浮き彫りにするのは、ファイル・アップロード機能と入力検証において、セキュアなコーディング・プラクティスを実装することの重要性である。
この脆弱性が、単純なパス・トラバーサルの欠陥からリモート・コード実行へと展開したことは、些細に見えるセキュリティ上の見落としが、システム全体の侵害につながる恐ろしさを示している。
Denodo Scheduler を利用する組織は、このパッチ適用を優先し、データ管理インフラのセキュリティ評価を実施して、同様の攻撃ベクターに対する包括的な保護を確保する必要がある。
Denodo Scheduler に、深刻な脆弱性が発生です。ファイル・アップロード機能の不備から、リモートコード実行にまで発展するリスクがあるとのことです。その一方で、発見からわずか2週間で修正パッチが提供された点は、開発側の誠実な姿勢がうかがえます。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.