セキュリティ

SECURITY

公開：2024-11-15

【CVE-2024-47529】OpenC3 COSMOSにパスワードの平文保存の脆弱性が発見、バージョン5.19.0で修正完了

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• OpenC3 COSMOSがパスワードを平文で保存する脆弱性を確認
• ユーザーパスワードがブラウザのLocalStorageに暗号化なしで保存
• バージョン5.19.0でセキュリティ上の問題を修正完了

OpenC3 COSMOSのパスワード保存に関する脆弱性

OpenC3は組み込みシステムのコマンド送信とデータ受信機能を提供するOpenC3 COSMOSに関する重要な脆弱性情報を2024年10月2日に公開した。OpenC3 COSMOSがユーザーパスワードをWebブラウザのLocalStorageに暗号化せずに保存していることが判明し、クロスサイトスクリプティング攻撃によるパスワードの漏洩リスクが確認されている。^[1]

この脆弱性は【CVE-2024-47529】として識別されており、CWEによる脆弱性タイプは機密情報の平文保存（CWE-312）に分類されている。NVDの評価によるとローカルからの攻撃が可能であり、攻撃条件の複雑さは低く設定され、特権が必要とされる一方で利用者の関与は不要とされている。

この問題はOpenC3 COSMOSバージョン5.19.0で修正されており、オープンソース版のみに影響し、OpenC3 COSMOS Enterprise Editionには影響がないことが確認されている。セキュリティ研究者によって発見されたこの脆弱性は、GitHub Security Advisory（GHSA-4xqv-47rm-37mm）として報告されたものだ。

OpenC3 COSMOSの脆弱性詳細

機密情報の平文保存について

機密情報の平文保存とは、パスワードやトークンなどの重要な情報を暗号化せずにそのまま保存することを指す。以下のような特徴がある。

• 暗号化されていないため第三者による読み取りが容易
• クロスサイトスクリプティング攻撃の標的になりやすい
• 情報漏洩時の被害が甚大になる可能性が高い

OpenC3 COSMOSの事例では、ユーザーパスワードがブラウザのLocalStorageに平文で保存されていたことが問題視された。LocalStorageは他のJavaScriptコードからもアクセス可能なため、クロスサイトスクリプティング攻撃が成功した場合にパスワードが容易に窃取される可能性があったのだ。

OpenC3 COSMOSの脆弱性に関する考察

OpenC3 COSMOSの脆弱性対応は、組み込みシステムのセキュリティ管理における重要な教訓となった。LocalStorageにパスワードを平文で保存するという設計上の問題は、開発効率を優先するあまり基本的なセキュリティ対策が疎かになった典型的な事例と言えるだろう。

今後は同様の脆弱性を防ぐため、機密情報の保存方法に関するセキュリティガイドラインの整備が必要となる。特にブラウザのストレージ機能を利用する際は、データの暗号化やアクセス制御の実装を徹底的に行うことが重要だ。

OpenC3 COSMOSの事例を教訓として、他のオープンソースプロジェクトでもセキュリティ監査の強化が進むことが期待される。特にEnterprise Edition以外のオープンソース版においても、エンタープライズ級のセキュリティ対策を実装することが今後の課題となるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-47529, (参照 24-11-15).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧