【CVE-2024-9158】Tenable社のNessus Network Monitorにクロスサイトスクリプティングの脆弱性、バージョン6.5.0未満に影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Tenable社のNessus Network Monitorに脆弱性
クロスサイトスクリプティングの脆弱性が存在
バージョン6.5.0未満が影響を受ける

Tenable社のNessus Network Monitorの脆弱性について

Tenable, Inc.は、同社のネットワーク監視ツールであるNessus Network Monitorにおいて、クロスサイトスクリプティング（XSS）の脆弱性が発見されたことを公表した。この脆弱性は、Nessus Network Monitorのバージョン6.5.0未満に影響を及ぼすものとされている。CVSSv3による基本評価値は4.6（警告）とされており、攻撃の複雑さは低いとされているものの、影響の範囲は限定的だ。^[1]

この脆弱性が悪用された場合、攻撃者は特権レベルが低い状態でも、ユーザーの関与を得ることで情報を取得したり改ざんしたりする可能性がある。具体的には、機密性と完全性への影響が低レベルで存在するとされており、可用性への影響はないとされている。Tenable社は、この脆弱性に対処するためのアップデートを公開しており、ユーザーに対して適切な対策を講じるよう呼びかけている。

この脆弱性は、CVE-2024-9158として識別されており、CWEによる脆弱性タイプはクロスサイトスクリプティング（CWE-79）に分類されている。NVDの評価によると、攻撃元区分はローカルであり、攻撃条件の複雑さは低いとされている。また、攻撃に必要な特権レベルは低いが、利用者の関与が必要とされており、影響の想定範囲に変更があるとされている。

Nessus Network Monitorの脆弱性の詳細

項目	詳細
影響を受けるバージョン	Nessus Network Monitor 6.5.0未満
CVSSv3基本評価値	4.6（警告）
攻撃元区分	ローカル
攻撃条件の複雑さ	低
必要な特権レベル	低
利用者の関与	要
影響の想定範囲	変更あり

クロスサイトスクリプティングについて

クロスサイトスクリプティング（XSS）とは、Webアプリケーションの脆弱性の一種で、攻撃者が悪意のあるスクリプトをWebページに挿入し、他のユーザーのブラウザ上で実行させる攻撃手法のことを指す。主な特徴として以下のような点が挙げられる。

ユーザーの入力データを適切にサニタイズせずにWebページに出力する脆弱性を悪用
攻撃者が挿入したスクリプトがユーザーのブラウザ上で実行され、セッションの盗取や個人情報の漏洩などが発生する可能性
反射型、格納型、DOM型の3種類の攻撃パターンが存在

Nessus Network Monitorの脆弱性は、このXSS攻撃を可能にするものであり、適切な入力検証やエスケープ処理が行われていない箇所が存在すると考えられる。Tenable社が公開したアップデートでは、この脆弱性を修正するためのセキュリティパッチが含まれており、ユーザーはできるだけ早急にアップデートを適用することが推奨される。

Nessus Network Monitorの脆弱性に関する考察

Tenable社がNessus Network Monitorの脆弱性を迅速に公表し、対策を提供したことは評価に値する。セキュリティ製品自体に脆弱性が存在することは皮肉な状況ではあるが、透明性を持って情報を開示し、迅速に対応することで、ユーザーの信頼を維持する努力がなされたと言えるだろう。しかし、この事例は、セキュリティ製品であっても完璧ではないことを再認識させる重要な警鐘となった。

今後、同様の脆弱性が他のセキュリティ製品でも発見される可能性は否定できない。セキュリティベンダーは、自社製品のセキュリティ強化に一層注力する必要があるだろう。特に、入力検証やサニタイゼーションなどの基本的なセキュリティ対策を徹底することが重要だ。また、定期的な脆弱性診断や第三者によるセキュリティ監査を実施することで、潜在的な脆弱性を早期に発見し、対処することが求められる。

ユーザー側も、セキュリティ製品を導入すれば安全性が確保されるという過信は避けるべきだ。常に最新のセキュリティアップデートを適用し、多層防御の考え方に基づいてセキュリティ対策を講じることが重要である。さらに、セキュリティ製品の選定においては、ベンダーのセキュリティへの取り組み姿勢や脆弱性対応の迅速さなども考慮に入れる必要がある。