【CVE-2024-0005】Pure Storage社のpurity//faとpurity//fbにコマンドインジェクション脆弱性、早急な対応が必要

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Pure Storage社のpurity//faとpurity//fbに脆弱性
コマンドインジェクションの脆弱性が発見される
CVSS v3による深刻度基本値は8.8（重要）

Pure Storage社のpurity//faおよびpurity//fbにコマンドインジェクションの脆弱性

Pure Storage, Inc.は、同社のストレージ製品であるpurity//faおよびpurity//fbにコマンドインジェクションの脆弱性が存在することを公開した。この脆弱性はCVE-2024-0005として識別されており、CVSS v3による深刻度基本値は8.8（重要）と評価されている。攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされている。^[1]

影響を受けるバージョンは、purity//faの5.0.0から6.6.0までの広範囲にわたるほか、purity//fbの3.0.0から4.3.1までのバージョンが対象となっている。この脆弱性により、攻撃者は情報の取得や改ざん、さらにはサービス運用妨害（DoS）状態を引き起こす可能性がある。Pure Storage社は、ユーザーに対してベンダアドバイザリまたはパッチ情報を確認し、適切な対策を実施するよう呼びかけている。

セキュリティ専門家は、この脆弱性が特に低い特権レベルで利用可能であることを懸念している。攻撃に必要な特権レベルが低く、かつ利用者の関与が不要とされていることから、攻撃者にとって比較的容易に悪用できる可能性がある。影響の想定範囲に変更はないものの、機密性・完全性・可用性のすべてに高い影響があるとされており、早急な対応が求められる状況だ。

Pure Storage社の脆弱性製品バージョン一覧

製品名	影響を受けるバージョン
purity//fa	5.0.0 - 6.6.0
purity//fb	3.0.0 - 4.3.1
脆弱性識別子	CVE-2024-0005
CVSS v3基本値	8.8（重要）
想定される影響	情報取得、情報改ざん、DoS状態

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドをシステムに挿入し、不正に実行させる脆弱性のことを指しており、主な特徴として以下のような点が挙げられる。

ユーザー入力を適切にサニタイズしていない場合に発生
システムコマンドを実行する権限を持つプロセスを悪用
重要な情報の漏洩や改ざん、システム破壊につながる可能性がある

Pure Storage社の製品で発見されたこの脆弱性は、CWEによってコマンドインジェクション（CWE-77）に分類されている。この種の脆弱性は、攻撃者がシステムコマンドを実行できるようになるため、特に危険である。NVDの評価によると、この脆弱性は攻撃条件の複雑さが低く、かつ攻撃に必要な特権レベルも低いため、潜在的な被害の範囲が広いことが懸念されている。

Pure Storage社の脆弱性対応に関する考察

Pure Storage社がpurity//faおよびpurity//fbの脆弱性を公開したことは、セキュリティ透明性の観点から評価できる。しかし、影響を受けるバージョンの範囲が広いことから、多くのユーザーが潜在的なリスクにさらされている可能性がある。早急なパッチの適用が必要だが、大規模な企業システムでは即時の更新が難しい場合もあり、一時的な緩和策の提供も重要になるだろう。

今後の課題として、脆弱性の早期発見と迅速な対応体制の強化が挙げられる。コマンドインジェクションのような基本的な脆弱性が製品に存在していたことは、開発プロセスにおけるセキュリティレビューの不足を示唆している。Pure Storage社には、セキュアコーディング手法の徹底やコードレビューの強化、定期的な脆弱性診断の実施など、総合的なセキュリティ対策の見直しが求められる。

ストレージ製品のセキュリティは、企業のデータ保護において極めて重要な役割を果たす。Pure Storage社には、今回の事例を教訓として、製品のセキュリティ強化に継続的に取り組むことが期待される。また、業界全体としても、ストレージ製品のセキュリティ基準の策定や、脆弱性情報の共有体制の整備など、より包括的なアプローチが必要になるだろう。