セキュリティ

SECURITY

公開：2024-11-20

【CVE-2024-50313】Mendix Runtime V8-V10に認証バイパスの脆弱性、基本認証機構のセキュリティリスクが明らかに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Mendix Runtime各バージョンに認証回避の脆弱性
• 基本認証実装にレースコンディションの脆弱性
• アカウントロックアウト機能の回避が可能に

Mendix Runtime V8-V10の認証バイパスの脆弱性

Siemens社は2024年11月12日、Mendix Runtime V8からV10の基本認証機構においてレースコンディションの脆弱性【CVE-2024-50313】を公開した。この脆弱性は認証されていないリモート攻撃者がデフォルトのアカウントロックアウト対策を回避できる可能性があり、特にV8の全バージョンとV9の24.29未満のバージョンで影響を受けることが判明している。^[1]

Mendix Runtime V10シリーズにおいては、V10.16.0未満の全バージョン、V10.12.7未満のV10.12系列、V10.6.15未満のV10.6系列が影響を受けることが確認された。この脆弱性に対するCVSSスコアは3.1で5.3、4.0で6.9と評価されており、中程度の深刻度に分類されている。

この脆弱性は基本認証メカニズムを使用しているアプリケーションにのみ影響を与えることが特徴的だ。Siemens社は脆弱性の詳細情報をセキュリティアドバイザリSSA-914892として公開しており、影響を受けるバージョンのユーザーに対して適切なアップデートを推奨している。

Mendix Runtimeの脆弱性影響範囲まとめ

セキュリティアドバイザリの詳細はこちら

レースコンディションについて

レースコンディションとは、複数の処理が共有リソースに対して同時にアクセスする際に発生する同期の問題を指す。主な特徴として以下のような点が挙げられる。

• タイミングに依存した不具合が発生する可能性
• 並行処理における排他制御の不備が原因
• セキュリティ上の脆弱性につながる可能性

Mendix Runtimeの基本認証実装における今回の脆弱性では、アカウントロックアウト機能の処理においてレースコンディションが発生する可能性が確認された。この問題により認証されていないリモート攻撃者がデフォルトのアカウントロックアウト対策を回避できる状況が生まれ、システムのセキュリティが低下する可能性がある。

Mendix Runtimeの認証脆弱性に関する考察

基本認証機構におけるレースコンディションの脆弱性は、Mendix Runtimeの広範なバージョンに影響を与える重大な問題として認識すべきだ。特にV8の全バージョンが影響を受けることから、レガシーシステムを運用している組織にとって大きな課題となることが予想される。

今後の対策としては、影響を受けるバージョンからの迅速なアップグレードが不可欠となるだろう。基本認証以外の認証方式への移行も検討に値するが、既存システムの改修コストや運用への影響を考慮する必要がある。

長期的には認証機構の設計段階からレースコンディション対策を考慮することが重要となる。複数の認証試行を適切に制御し、タイミング攻撃に対する耐性を持たせた実装が求められるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-50313, (参照 24-11-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧