セキュリティ

SECURITY

公開：2024-11-13

【CVE-2024-51740】Combodo iTopにSSRF脆弱性が発見、低権限ユーザーによるサーバーサイド攻撃のリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Combodo iTopにSSRF脆弱性が発見される
• 低権限ユーザーがサーバー側でHTTPリクエストを実行可能
• 2.7.11、3.0.5、3.1.2、3.2.0で修正済み

Combodo iTop 2.7.11未満のSSRF脆弱性

Combodo社は同社のITサービス管理ツールiTopにおいて、サーバーサイドリクエストフォージェリ（SSRF）の脆弱性【CVE-2024-51740】を2024年11月5日に公開した。低権限のユーザーがサーバー側でHTTPリクエストを実行できる状態となっており、ユーザーポータルのフォームマネージャーがその派生クラスのみをインスタンス化するよう修正された。^[1]

この脆弱性は新バージョン2.7.11、3.0.5、3.1.2、3.2.0でパッチが適用され対策が施されている。CVSSスコアは4.3（MEDIUM）と評価されており、攻撃者は低権限の特権を必要とするものの、ユーザーの操作なしで攻撃を実行できる可能性が指摘されているのだ。

影響を受けるバージョンは2.7.11未満、3.0.0から3.0.5未満、3.1.0から3.1.2未満となっている。脆弱性に対する回避策は現時点で提供されていないため、早急なアップデートが推奨されており、システム管理者は直ちに最新バージョンへのアップグレードを実施する必要がある。

Combodo iTopの影響を受けるバージョン一覧

詳細はこちら

サーバーサイドリクエストフォージェリについて

サーバーサイドリクエストフォージェリ（SSRF）とは、攻撃者が脆弱なWebアプリケーションを介してサーバー側から任意のHTTPリクエストを送信できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 内部ネットワークへのアクセスが可能
• サーバー側の特権で実行される
• ファイアウォールをバイパスする可能性がある

iTopの脆弱性では、低権限ユーザーがユーザーポータルのフォームマネージャーを経由してサーバー側でHTTPリクエストを実行できる状態になっていた。この状況では攻撃者が内部システムへのアクセスや情報収集を試みる可能性があり、システムのセキュリティが大きく損なわれる可能性があった。

Combodo iTopの脆弱性に関する考察

今回の脆弱性対応では、ユーザーポータルのフォームマネージャーを派生クラスのみに制限することで、不正なクラスのインスタンス化を防ぐ対策が施された。この修正アプローチは、オブジェクト指向プログラミングの基本原則に沿った適切な対応であり、今後の機能拡張にも柔軟に対応できる設計になっているだろう。

しかし、低権限ユーザーによる攻撃の可能性は依然として残されており、アクセス制御の更なる強化が必要となる可能性がある。今後はWebアプリケーションファイアウォールの導入や、リクエスト先のホワイトリスト化など、多層的な防御策の実装を検討する必要があるだろう。

また、今回のような脆弱性は、オープンソースプロジェクトの品質管理の重要性を再認識させる機会となった。継続的なセキュリティ監査やペネトレーションテストの実施が、今後の課題として浮き彫りになっている。セキュアコーディングガイドラインの整備や、開発者向けのセキュリティトレーニングの強化も検討に値するだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-51740, (参照 24-11-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧