Apache Syncope の脆弱性 CVE-2025-65998 が FIX：ハードコード・キーとパスワード複合

Apache Syncope Flaw Lets Attackers Access Internal Database Content

2024/11/25 gbhackers — Apache Syncope にセキュリティ脆弱性 CVE-2025-65998 が発見された。この脆弱性を悪用する攻撃者が、内部データベースへのアクセスに成功すると、保存されているパスワードが復号化される可能性がある。この脆弱性は、ハードコードされたデフォルトの AES 暗号化キーの使用に起因している。つまり、機密性の高いユーザー認証情報を安全に保つために設計された、パスワード保護メカニズムに問題が生じている。

この脆弱性が影響を及ぼす範囲は、世界中の組織で使用されている人気のオープンソースの ID／Access Management (IAM) プラットフォームである、Apache Syncope の複数のバージョンとなる。

CVE ID	CVE-2025-65998
Product	Apache Syncope
Component	org.apache.syncope.core:syncope-core-spring
Vulnerability Type	Hardcoded Encryption Key
Affected Versions	2.1.0 – 2.1.14, 3.0.0 – 3.0.14, 4.0.0 – 4.0.2
Severity	Important

パスワード保存に AES 暗号化が設定されている場合に、このシステムのデフォルトでは、ソースコードに直接埋め込まれたハードコードされた暗号化キーが使用されるため、データベースにアクセスできる攻撃者であれば容易に復号化できることを、ダルムシュタット工科大学のセキュリティ研究者たちが発見した。

脆弱性の仕組み

Apache Syncope の管理者は、内部データベースに保存されているユーザー・パスワードを AES で暗号化できる。

しかし、このオプションのセキュリティ機能は、深刻な設計上の欠陥により毀損されている。管理者が固有の暗号化キーを設定する代わりに、このシステムでは、アプリケーションのソースコードにハードコードされたデフォルトのキーが使用される。

そのため、データベースへのアクセス権を取得した攻撃者は、パスワード値を簡単に取得して復号化できるようになり、システム内のすべてのユーザー・アカウントが侵害される可能性がある。

なお、注意すべき点は、管理者がパスワード保存に AES 暗号化を明示的に設定している場合にのみ、この脆弱性による影響が生じる点である。

デフォルトのコンフィグでは、この機能は有効化されていない。また、AES で暗号化されたプレーン属性は別のメカニズムにより保護されているため、この問題の影響を受けない。

この脆弱性が影響を及ぼす範囲は、現在において利用されている３つの Apache Syncope バージョン・ブランチとなる。具体的に言うと、Syncope のバージョン 2.1～2.1.14／3.0～3.0.14／4.0～4.0.2 を実行しているユーザーは、この攻撃の影響を受ける。

2025年11月24日に Apache Syncope セキュリティ・チームは、この脆弱性を深刻度 Critical として発表した。その後に、Apache Syncope プロジェクトは素早く対応し、このセキュリティ上の脆弱性を修正するパッチ版を既にリリースしている。利用環境に適したバージョンである、3.0.15／4.0.3 などへのアップグレードが強く推奨される。

これらのアップデートでは、ハードコードされた暗号化キーの脆弱性が排除されており、パスワード暗号化のセキュリティ対策を強化する修正も含まれている。

この脆弱性を発見したダルムシュタット工科大学と Clemens Bergmann が、適切に情報を提供したことに、Apache Syncope のセキュリティ・コミュニティは謝意を示している。

この Apache Syncope の脆弱性は、パスワードを守るための暗号化機能に、デフォルトのハードコードされた AES キーが使われていたことに起因します。固有キーが設定されていない環境では、データベースにアクセスした攻撃者が、そのキーを使ってパスワードを復号できてしまう点が大きな問題です。本来は安全性を高めるための仕組みが、設計上の不備により逆にリスクとなってしまいました。ご利用のチームは、ご注意ください。よろしければ、Apache Syncope での検索結果も、ご参照ください。