セキュリティ

SECURITY

公開：2024-11-06

【CVE-2024-9826】AutoCAD ACTranslatorsに深刻な脆弱性、3DMファイル経由で任意のコード実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• AutoCADのACTranslatorsに脆弱性が発見
• 悪意のある3DMファイルで任意のコード実行が可能
• CVSSスコア7.8の高リスク脆弱性として報告

AutoCAD ACTranslatorsの脆弱性

Autodeskは2024年10月29日、AutoCADのACTranslatorsにおいて3DMファイルの解析時にUse-After-Free脆弱性が存在することを公開した。この脆弱性は【CVE-2024-9826】として識別されており、悪意のある攻撃者が細工を施した3DMファイルを使用することで、プロセス内で任意のコード実行やクラッシュ、機密データの書き込みが可能になる深刻な問題である。^[1]

この脆弱性はCVSSv3.1のスコアリングシステムにおいて7.8点と高リスクに分類されている。攻撃の成功には物理的なアクセスは不要だが、ユーザーの操作が必要となり、影響範囲はローカルに限定される。攻撃が成功した場合、機密性・完全性・可用性のすべてに高いレベルの影響が及ぶ可能性がある。

AutodeskはAutoCAD 2025.1において本脆弱性の影響を受けることを確認しており、セキュリティアドバイザリとしてADSK-SA-2024-0019を発行している。CISAによる評価では、現時点で本脆弱性の自動的な攻撃は確認されていないが、技術的な影響は深刻であるとされている。

AutoCAD ACTranslatorsの脆弱性詳細

セキュリティアドバイザリの詳細はこちら

Use-After-Freeについて

Use-After-Free（解放後使用）とは、プログラム内でメモリを解放した後にそのメモリ領域にアクセスしようとする脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 解放済みメモリへの不正なアクセスによって発生
• プログラムのクラッシュや任意のコード実行につながる可能性
• メモリ管理の不備によって引き起こされる深刻な問題

AutoCAD ACTranslatorsの事例では、3DMファイルの解析時にメモリの解放後使用が発生し、攻撃者が細工したファイルを介して任意のコード実行やデータの改ざんが可能になっている。この種の脆弱性は適切なメモリ管理とバッファチェックによって防ぐことができるため、開発者による迅速な対応が求められる。

AutoCAD ACTranslatorsの脆弱性に関する考察

AutoCADのような広く利用されているCADソフトウェアで発見された本脆弱性は、製造業や建築業界に深刻な影響を及ぼす可能性がある。特に3DMファイルは設計データの共有に頻繁に使用されるため、正規のビジネスプロセスを装った攻撃が行われる危険性が高まっているのだ。

この脆弱性への対策として、ファイル共有時の検証プロセスの強化や信頼できる送信元からのファイルのみを受け入れるポリシーの策定が必要となってくる。また、サードパーティ製のセキュリティツールによる追加的な保護層の実装も、リスク軽減に有効な手段となるだろう。

今後はAutoCADの開発においても、ファイル解析エンジンのセキュリティ強化が求められる。特にメモリ安全性を確保するための新しい開発手法の導入や、定期的なセキュリティ監査の実施が重要になってくるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-9826, (参照 24-11-06).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧