【CVE-2024-48838】Dell SmartFabric OS10 Softwareに脆弱性、外部からのファイルシステムアクセスが可能な状態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Dell SmartFabric OS10 Softwareに脆弱性が発見
外部からのファイルシステムアクセスが可能な状態
影響を受けるバージョンは10.5.3.x～10.5.5.x

Dell SmartFabric OS10 Software 10.5.3.x-10.5.5.xの脆弱性

Dellは2024年11月12日、SmartFabric OS10 Softwareの複数のバージョンにおいてFiles or Directories Accessible to External Partiesの脆弱性を公開した。影響を受けるバージョンは10.5.3.x、10.5.4.x、10.5.5.xであり、ローカルアクセス権限を持つ攻撃者によってファイルシステムへのアクセスが可能になる状態であることが判明している。^[1]

この脆弱性は【CVE-2024-48838】として識別されており、CWEによる脆弱性タイプはFiles or Directories Accessible to External Parties（CWE-552）に分類されている。CVSSスコアは3.1で深刻度はLowと評価されており、攻撃元区分はローカル、攻撃条件の複雑さは低いとされている。

現在、バージョン10.5.6.xではこの脆弱性が修正されており、影響を受けないことが確認されている。Dellは影響を受けるバージョンのユーザーに対して、最新バージョンへのアップデートを推奨している。早急な対応が必要だろう。

Dell SmartFabric OS10 Softwareの脆弱性情報まとめ

項目	詳細
CVE番号	CVE-2024-48838
影響を受けるバージョン	10.5.3.x、10.5.4.x、10.5.5.x
影響を受けないバージョン	10.5.6.x
CVSSスコア	3.1（Low）
CWE分類	CWE-552（Files or Directories Accessible to External Parties）
必要な権限	ローカルアクセス権限

脆弱性の詳細はこちら

Files or Directories Accessible to External Partiesについて

Files or Directories Accessible to External Partiesとは、システム内のファイルやディレクトリに対して、外部の攻撃者がアクセス可能な状態を指す脆弱性のことである。主な特徴として、以下のような点が挙げられる。

適切なアクセス制御がされていないファイルシステム
意図しない権限設定による情報漏洩のリスク
システムの整合性が損なわれる可能性

Dell SmartFabric OS10 Softwareの場合、ローカルアクセス権限を持つ低権限の攻撃者によってファイルシステムへのアクセスが可能になる状態にある。このような脆弱性は適切なアクセス制御の実装と定期的なセキュリティ監査によって防ぐことが重要である。

Dell SmartFabric OS10 Softwareの脆弱性に関する考察

Dell SmartFabric OS10 Softwareの脆弱性は、CVSSスコアこそ低いものの、ネットワーク機器のセキュリティという観点で見過ごすことのできない問題である。特にファイルシステムへのアクセスが可能になることは、設定ファイルや重要なシステム情報が漏洩するリスクを含んでおり、組織全体のセキュリティに影響を及ぼす可能性がある。

今後は同様の脆弱性を防ぐため、開発段階でのセキュリティレビューの強化が求められる。特にファイルシステムへのアクセス制御については、最小権限の原則に基づいた設計と実装が不可欠だ。定期的なセキュリティ監査とペネトレーションテストの実施も重要である。

また、セキュリティアップデートの配信体制についても改善の余地がある。早期の脆弱性検出と修正パッチの提供は、ユーザーの安全を確保する上で極めて重要な要素となる。Dellには今後も継続的なセキュリティ対策の強化を期待したい。