セキュリティ

SECURITY

公開：2024-11-12

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱性、複数製品のアップデートで対応完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• NGINX OpenID Connectで重大な脆弱性が発見
• セッション固定の問題によりセキュリティリスク
• 複数のNGINX関連製品がアップデートで対応

NGINX OpenID Connectのセッション固定の脆弱性

F5 Networksは2024年11月6日、NGINX OpenID Connect実装において深刻なセッション固定の脆弱性【CVE-2024-10318】を公開した。この脆弱性は攻撃者が被害者のセッションを攻撃者が制御するアカウントに固定できる問題で、ログイン時にnonceチェックが行われないことに起因している。^[1]

この脆弱性はNGINX OpenID Connect、NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数の製品に影響を及ぼすことが判明した。CWE-384として分類されるこの問題は、CVSSスコアv3.1で5.4（MEDIUM）、v4.0で5.1（MEDIUM）と評価されている。

F5 Networksは各製品のアップデートを提供し、NGINX Instance Managerは2.17.4、NGINX API Connectivity Managerは1.9.3、NGINX Ingress Controllerは3.7.1へのアップデートで対応を完了した。攻撃者による悪用を防ぐため、影響を受ける製品の早急なアップデートが推奨される。

NGINX関連製品の影響範囲まとめ

詳細な情報はこちら

セッション固定について

セッション固定とは、Webアプリケーションにおける認証バイパス攻撃の一種であり、特定のセッションIDを強制的に固定化する手法のことを指す。主な特徴として以下のような点が挙げられる。

• 攻撃者が被害者のセッションを制御可能
• 正規のログイン処理をバイパス
• セッション管理の不備を突く攻撃手法

今回のNGINX OpenID Connect実装における脆弱性では、ログイン時のnonceチェックが行われないことにより、攻撃者が被害者のセッションを攻撃者の制御下にあるアカウントに固定することが可能となった。攻撃者は被害者としてログインすることはできないものの、セッションを攻撃者が制御するアカウントに関連付けることで、被害者のセッションを悪用する可能性がある。

NGINX OpenID Connectの脆弱性に関する考察

NGINX OpenID Connectの脆弱性対応は、セキュリティ強化の観点から迅速な対応が行われた点が評価できる。複数の製品に影響を及ぼす可能性があったにもかかわらず、各製品のアップデートが速やかに提供されたことで、ユーザーが早期に対策を講じることが可能となった。

しかし今後は、認証プロセスにおける基本的なセキュリティチェックの実装漏れが発生しないよう、開発段階でのセキュリティレビューの強化が必要となるだろう。特にOpenID Connectのような認証基盤においては、nonceチェックなどの重要な検証処理の実装状況を徹底的に確認する仕組みの構築が求められる。

また、類似の脆弱性が他の認証実装にも存在する可能性があることから、業界全体でのセキュリティベストプラクティスの共有と実装の標準化が望まれる。今回の事例を教訓に、認証基盤のセキュリティ強化に向けた取り組みが加速することを期待したい。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-10318, (参照 24-11-12).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧