セキュリティ

SECURITY

公開：2024-11-08

【CVE-2024-34883】Bitrix24 23.300.100でDAVサーバー設定の脆弱性が発覚、プロキシサーバーのパスワード漏洩のリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Bitrix24 23.300.100でDAVサーバー設定の脆弱性を確認
• リモート管理者がプロキシサーバーアカウントのパスワードを読取可能
• HTTP GETリクエストによる認証情報の漏洩リスクが判明

Bitrix24 23.300.100の認証情報漏洩の脆弱性

1C-BitrixはBitrix24 23.300.100において、DAVサーバー設定における重大な脆弱性を2024年11月4日に公開した。この脆弱性は【CVE-2024-34883】として識別されており、プロキシサーバーのアカウントパスワードが適切に保護されていないという問題が確認されている。^[1]

脆弱性の深刻度はCVSS v3.1で6.8（MEDIUM）と評価されており、攻撃元区分はネットワーク経由であることが判明している。また、攻撃条件の複雑さは低く設定されているものの、特権レベルの要求が高く設定されているため、一般ユーザーによる攻撃のリスクは限定的となっている。

脆弱性の技術的な影響としては、HTTP GETリクエストを介してリモート管理者がプロキシサーバーアカウントのパスワードを読み取ることが可能となっている。この問題はCWE-522（Insufficiently Protected Credentials）に分類されており、認証情報の保護が不十分であることが指摘されているのだ。

Bitrix24 23.300.100の脆弱性詳細

Bitrix24の詳細はこちら

Insufficiently Protected Credentialsについて

Insufficiently Protected Credentialsとは、システムやアプリケーションにおいて認証情報が適切に保護されていない脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• パスワードや認証情報の暗号化が不十分
• 認証情報の保存方法に問題がある
• 認証情報へのアクセス制御が不適切

Bitrix24 23.300.100で発見された脆弱性では、DAVサーバー設定内のプロキシサーバーアカウントパスワードが適切に保護されていないことが問題視されている。HTTP GETリクエストを使用することで、リモート管理者がパスワードを読み取ることが可能となっており、認証情報の漏洩リスクが指摘されているのだ。

Bitrix24 23.300.100の脆弱性に関する考察

Bitrix24 23.300.100における認証情報の保護不足は、プロキシサーバーのセキュリティに深刻な影響を及ぼす可能性がある重大な問題となっている。特権レベルの要求が高く設定されているため一般ユーザーからの攻撃リスクは限定的であるものの、リモート管理者による不正アクセスの可能性は否定できないだろう。

今後の対策として、認証情報の暗号化強化やアクセス制御の見直しが急務となってくるはずだ。特にDAVサーバー設定における認証情報の取り扱いについては、より厳密なセキュリティ対策の実装が望まれており、HTTPSの強制適用やMulti-Factor認証の導入も検討する必要があるだろう。

Bitrix24の開発チームには、今回の脆弱性を教訓としてセキュリティ設計の見直しと強化を期待したい。特に認証情報の保護に関しては、業界標準のベストプラクティスに従った実装を行うとともに、定期的なセキュリティ監査の実施によって、新たな脆弱性の早期発見と対応が望まれるのだ。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-34883, (参照 24-11-08).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧