【CVE-2024-45763】Dell Enterprise SONiC OSに重大な脆弱性、OSコマンドインジェクションの危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Dell Enterprise SONiC OSに重大な脆弱性が発見
リモートからのコマンド実行が可能な状態
バージョン4.1.xと4.2.xが影響を受ける

Dell Enterprise SONiC OSのOSコマンドインジェクション脆弱性

Dellは2024年11月8日、Enterprise SONiC OSのバージョン4.1.xおよび4.2.xにおいて重大な脆弱性【CVE-2024-45763】を公開した。この脆弱性は高い特権を持つリモートからの攻撃者によってOSコマンドインジェクションが可能となるものであり、深刻度は重大（CRIT ICAL）と評価されている。^[1]

CVSSスコアは9.1と非常に高く、攻撃の条件が複雑ではないことから早急な対応が必要とされている。この脆弱性を悪用された場合、システム上でコマンドが実行される可能性があり、機密性・完全性・可用性のすべてに高度な影響がある。

DellはEnterprise SONiC OSの利用者に対して、バージョン4.1.6以降、または4.2.2以降へのアップデートを推奨している。Tiangong TeamのQI-ANXIN Groupに所属するn3k氏によって発見されたこの脆弱性は、早急な対策が求められる状況だ。

Dell Enterprise SONiC OSの脆弱性詳細

項目	詳細
CVE番号	CVE-2024-45763
影響を受けるバージョン	4.1.x、4.2.x
脆弱性の種類	OSコマンドインジェクション
CVSSスコア	9.1（CRITICAL）
修正バージョン	4.1.6以降、4.2.2以降

Dell Enterprise SONiC OSの脆弱性情報の詳細はこちら

OSコマンドインジェクションについて

OSコマンドインジェクションとは、攻撃者が悪意のあるコマンドを実行するために入力データを操作する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

システムコマンドの不正実行が可能
入力値の検証不備が主な原因
権限昇格やシステム破壊のリスクあり

Dell Enterprise SONiC OSの脆弱性では、高い特権を持つリモートからの攻撃者によってOSコマンドインジェクションが可能となる深刻な状況が発生している。CVSSスコアが9.1と評価されており、攻撃の条件が複雑ではないことから、早急なアップデートによる対策が推奨されている。

Dell Enterprise SONiC OSの脆弱性に関する考察

Dell Enterprise SONiC OSの脆弱性対策として、バージョンアップデートによる修正が提供されたことは評価できる点である。しかし、ネットワーク機器のアップデート作業には慎重な計画と実行が必要であり、システムの停止時間を最小限に抑えながら安全にアップデートを完了させることが運用管理者にとって重要な課題となるだろう。

今後の課題として、脆弱性の早期発見と迅速な対応体制の構築が挙げられる。特にOSコマンドインジェクションのような重大な脆弱性は、発見から修正までの時間を短縮することが重要であり、セキュリティテストの強化やコードレビューの徹底が必要となるはずだ。

Enterprise SONiC OSの今後の展開としては、セキュリティ機能の強化が期待される。特に入力値の検証や権限管理の強化、監査ログの充実化など、セキュリティ面での改善が重要となっており、継続的なセキュリティアップデートの提供体制の確立が望まれる。