セキュリティ

SECURITY

公開：2024-11-12

【CVE-2024-51739】Combodo iToPにユーザー列挙の脆弱性、パスワードリセット機能の応答メッセージを統一化し対策へ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Combodo iToPのRest APIにユーザー列挙の脆弱性
• パスワードリセット時のメッセージで情報漏洩の可能性
• バージョン2.7.11、3.0.5、3.1.2、3.2.0で修正

Combodo iToPのユーザー列挙脆弱性対策とアップデート

Combodo社は、IT Service Management向けツールiToPにおいて、Rest APIを介したユーザー列挙の脆弱性【CVE-2024-51739】を2024年11月5日に公開した。この脆弱性は未認証ユーザーによるユーザー列挙を可能にし、有効なアカウントに対するブルートフォース攻撃のリスクを高める深刻な問題となっている。^[1]

脆弱性の修正はバージョン2.7.11、3.0.5、3.1.2、および3.2.0で実施され、パスワードリセット時のメッセージがユーザーの存在を示さないよう変更された。アップグレードが困難なユーザーに対しては、拡張機能を通じて"UI:ResetPwd-Error-WrongLogin"の辞書エントリを汎用メッセージで上書きする回避策が提供されている。

CVSSスコアは7.5（High）と評価され、攻撃元区分はネットワーク、攻撃条件の複雑さは低く、特権は不要とされている。SSVCによると、自動化された攻撃の可能性があり、技術的な影響は部分的とされ、セキュリティ対策の早急な実施が推奨される。

iToPの脆弱性情報まとめ

iToPの脆弱性の詳細はこちら

ユーザー列挙について

ユーザー列挙とは、システム上に存在するユーザーアカウントを特定する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムの応答からユーザーの存在を判別可能
• ブルートフォース攻撃の前段階として使用される
• 認証システムの設計上の欠陥を突く攻撃手法

iToPの脆弱性では、パスワードリセット機能の応答メッセージからユーザーの存在が判別可能となっていた。この情報を基に攻撃者は有効なアカウントを特定し、ブルートフォース攻撃を効率的に実行できる可能性があるため、早急な対策が必要とされている。

iToPのセキュリティ対策に関する考察

iToPのセキュリティ強化には、パスワードリセット機能の応答メッセージの統一化だけでなく、多要素認証の導入やアカウントロックポリシーの実装が有効な対策となるだろう。特にブルートフォース攻撃対策として、ログイン試行回数の制限やIPアドレスベースのアクセス制御の実装も検討に値する。

今後は、セキュリティ監査ログの強化やリアルタイムの異常検知機能の実装が望まれる。特に未認証ユーザーによるAPIアクセスの制限や、セキュリティイベントの監視体制の確立が重要となるだろう。

また、セキュリティアップデートの適用を容易にするための自動更新機能や、脆弱性情報の通知システムの実装も検討すべきだ。継続的なセキュリティ評価と脆弱性診断の実施により、新たな脆弱性の早期発見と対策が可能になるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-51739, (参照 24-11-12).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧