【CVE-2024-45164】Akamai SIAのThreatAvert Policyに認証制御の脆弱性、セキュリティ設定の無効化が可能な状態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Akamai SIAでThreatAvert Policyページの認証制御に問題
認証済みユーザーがポリシー強制を無効化可能な状態
SPS 19.2.0とApps Portal 19.2.0.3以前に影響

Akamai SIAのThreatAvert Policyにおける認証制御の脆弱性

Akamai Technologies社は、SIA（Secure Internet Access Enterprise）のThreatAvertにおいて、重要な認証制御の脆弱性【CVE-2024-45164】を2024年11月4日に公開した。脆弱性はSPS（Security and Personalization Services）の19.2.0パッチ以前およびApps Portal 19.2.0.3または19.2.0.20240814以前のバージョンに存在しており、認証済みユーザーがThreatAvert Policyページの管理機能に直接アクセスできる状態になっていることが判明した。^[1]

脆弱性の深刻度はCVSS v3.1で4.3（MEDIUM）と評価されており、攻撃者は/#app/intelligence/threatAvertPoliciesのURIに直接アクセスすることでポリシー強制を無効化できる可能性がある。この脆弱性は認証された状態でのアクセスが必要となるものの、技術的な影響は部分的であると評価されている。

CISAによる評価では、この脆弱性は自動化可能な攻撃ベクトルを持たないとされているが、CWE-732（重要なリソースに対する不適切な権限割り当て）に分類される深刻な問題である。MITREの脆弱性データベースによると、ネットワークからのアクセスが可能で攻撃の複雑さは低いとされている。

ThreatAvert Policy脆弱性の影響範囲まとめ

項目	詳細
影響を受けるバージョン	SPS 19.2.0パッチ以前、Apps Portal 19.2.0.3/19.2.0.20240814以前
脆弱性ID	CVE-2024-45164
CVSS評価	4.3（MEDIUM）
CWE分類	CWE-732（重要なリソースに対する不適切な権限割り当て）
攻撃条件	認証済みユーザー、ネットワークアクセス可能

脆弱性の詳細はこちら

認証制御について

認証制御とは、システムやアプリケーションにおけるユーザーの権限を適切に管理し、アクセスを制限するためのセキュリティメカニズムのことを指す。主な特徴として、以下のような点が挙げられる。

ユーザーの識別と認証を行い、適切な権限を付与
重要なリソースへのアクセスを制限し、不正利用を防止
システムの機密性と完全性を維持するための重要な防御機構

Akamai SIAの事例では、ThreatAvert Policyページの管理機能に対する認証制御が不適切であることが問題となった。認証済みユーザーが直接URIにアクセスすることでポリシー強制を無効化できる状態となっており、本来付与されるべきでない権限が与えられてしまう深刻な脆弱性が存在している。

ThreatAvert Policyの認証制御脆弱性に関する考察

認証制御の脆弱性は、組織全体のセキュリティポリシーを無効化できる可能性があるという点で深刻な問題である。ThreatAvert Policyの管理機能へのアクセス制御が不十分であることにより、悪意のある内部ユーザーがセキュリティ設定を改ざんし、組織全体のセキュリティレベルを低下させる可能性が存在している。

今後は認証制御の実装において、URIベースのアクセス制御だけでなく、より堅牢な多層的な認証メカニズムの導入が必要となるだろう。特に重要な管理機能へのアクセスには、多要素認証や特権アクセス管理（PAM）の導入、また操作ログの詳細な監視と分析機能の実装が有効な対策となる。

将来的には、ゼロトラストアーキテクチャの考え方に基づき、すべてのアクセスを常に検証する仕組みの導入が望まれる。また、定期的なセキュリティ監査と脆弱性診断の実施により、同様の問題を早期に発見し対処する体制の確立が重要になってくるだろう。