セキュリティ

SECURITY

公開：2024-11-08

【CVE-2024-34882】Bitrix24 23.300.100でSMTP設定の脆弱性が発見、認証情報保護の強化が急務に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Bitrix24 23.300.100でSMTP設定の脆弱性を確認
• 管理者がHTTP POSTリクエストで任意サーバーにパスワードを送信可能
• 不十分な認証情報保護により深刻な影響の可能性

Bitrix24 23.300.100のSMTP設定における脆弱性

1C-Bitrix社のBitrix24バージョン23.300.100において、SMTP設定における重大な脆弱性が2024年11月4日に公開された。SMTP認証情報が十分に保護されていないため、リモート管理者が任意のサーバーにSMTPアカウントのパスワードを送信できる状態になっている。^[1]

この脆弱性は【CVE-2024-34882】として識別されており、CWEによる脆弱性タイプは不十分な認証情報保護（CWE-522）に分類されている。NVDの評価によると、攻撃元区分はネットワークであり、攻撃条件の複雑さは低いとされているが、攻撃には管理者権限が必要となっている。

CVSSスコアは6.8（MEDIUM）と評価されており、特に機密性への影響が高いと判断されている。この脆弱性は自動化可能であり、部分的な技術的影響があるとされているため、早急な対応が必要とされている。

Bitrix24 23.300.100の脆弱性詳細

Bitrix24の詳細はこちら

不十分な認証情報保護について

不十分な認証情報保護とは、システムやアプリケーションにおいてパスワードやアクセストークンなどの重要な認証情報が適切に保護されていない状態を指す。主な特徴として、以下のような点が挙げられる。

• 暗号化されていない平文での認証情報の保存や転送
• 脆弱な暗号化アルゴリズムの使用
• 認証情報へのアクセス制御の不備

Bitrix24 23.300.100の事例では、SMTP設定における認証情報が十分に保護されておらず、管理者権限を持つ攻撃者が認証情報を任意のサーバーに送信できる状態となっている。この脆弱性は認証情報の漏洩リスクを高め、メールサーバーへの不正アクセスや情報窃取につながる可能性がある。

Bitrix24の脆弱性に関する考察

Bitrix24におけるSMTP設定の脆弱性は、企業のメールシステムセキュリティに重大な影響を及ぼす可能性がある。管理者権限が必要という点でリスクは限定的だが、内部犯行や権限昇格と組み合わさることで深刻な情報漏洩につながる可能性が存在するだろう。

今後は認証情報の暗号化やアクセス制御の強化、さらにはSMTP設定変更時の追加認証の導入が必要となるだろう。特に管理者権限を持つアカウントの監視体制の強化や、定期的な設定変更の監査が重要な対策となる。

また、クラウドサービスとしてのBitrix24においては、マルチテナント環境での認証情報の分離やコンテナ化による影響範囲の制限なども検討する必要がある。今後のアップデートでは、ゼロトラストセキュリティの考え方に基づいた認証基盤の再構築が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-34882, (参照 24-11-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧