【CVE-2024-10596】ESAFENET CDG 5にSQL injection脆弱性が発見、リモートからの攻撃実行のリスクが拡大

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

ESAFENETのCDG 5にSQL injection脆弱性が発見
delEntryptPolicySort関数で危険なSQL実行が可能に
リモートからの攻撃実行のリスクが存在

ESAFENET CDG 5のSQL injection脆弱性

セキュリティ研究者は、ESA FENET CDG 5のEncryptPolicyTypeService.javaファイルにSQL injection脆弱性を発見し2024年10月31日に公開した。この脆弱性は【CVE-2024-10596】として識別され、delEntryptPolicySort関数内でidパラメータを適切に検証せずにSQL文を実行することで攻撃が可能となっている。^[1]

この脆弱性はリモートから攻撃可能であり、既に攻撃コードが一般に公開されているため深刻な状況となっている。ESAFENETは早期に脆弱性の報告を受けていたものの、現時点で対応策を提供していないため、システム管理者による独自の対策が必要となっているのだ。

NVDのCVSS評価では、この脆弱性は中程度の深刻度とされているが、認証された攻撃者によって機密性・整合性・可用性に影響を与える可能性がある。特にデータベースへの不正なアクセスや改ざんのリスクが高く、早急な対策が求められている。

ESAFENET CDG 5の脆弱性詳細

項目	詳細
CVE番号	CVE-2024-10596
影響を受けるソフトウェア	ESAFENET CDG 5
脆弱性の種類	SQL injection (CWE-89)
CVSS評価	CVSS 4.0: 5.3 (中)
攻撃条件	リモートから実行可能、低い権限で攻撃可能
影響範囲	機密性・整合性・可用性への影響あり

SQL injectionについて

SQL injectionとは、Webアプリケーションのデータベース操作において、入力値の検証が不十分な場合に発生する脆弱性である。主な特徴として、以下のような点が挙げられる。

入力値を使用してSQL文を組み立てる際に発生する脆弱性
データベースの不正な操作や情報漏洩のリスクがある
適切なパラメータのバリデーションで防止可能

ESAFENET CDG 5の場合、delEntryptPolicySort関数内でidパラメータの検証が不十分であることが脆弱性の原因となっている。この種の脆弱性は、PreparedStatementの使用やパラメータのエスケープ処理、入力値の厳密な検証により防ぐことが可能だ。

ESAFENET CDG 5の脆弱性に関する考察

SQL injection脆弱性が発見されたESAFENET CDG 5において、特に深刻な問題はベンダーの対応の遅さにある。セキュリティ研究者からの早期の脆弱性報告にもかかわらず、適切な対応がなされていない状況は、製品の信頼性に大きな影響を与える可能性が高い。ユーザー企業は独自の対策を余儀なくされているのだ。

今後予想される問題として、攻撃コードが公開されている状況下での標的型攻撃の増加が懸念される。特に認証された状態での攻撃が可能なため、内部犯行や認証情報の漏洩と組み合わさることで、より深刻な被害につながる可能性が高いだろう。対策として、WAFの導入やアクセス制御の強化が有効である。

ESAFENETには今後、脆弱性報告への迅速な対応体制の構築が求められる。製品のセキュリティ品質向上には、開発段階でのセキュリティテストの強化や、サードパーティによる脆弱性診断の定期的な実施が重要だ。ユーザーとの信頼関係を回復するためにも、透明性の高いセキュリティ対応が望まれる。