セキュリティ

SECURITY

公開：2024-11-21

【CVE-2024-0787】phpIPAM 1.5.1に認証回避の脆弱性、パスワード総当たり攻撃のリスクが判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• phpIPAM 1.5.1にIPブロック回避の脆弱性が発見
• X-Forwarded-Forヘッダーによるパスワード総当たり攻撃が可能
• バージョン1.7.0で修正済みのセキュリティ問題

phpIPAM 1.5.1の認証回避脆弱性

セキュリティ企業Protect AIは2024年11月15日、IPアドレス管理ソフトウェアphpIPAM 1.5.1に認証試行回数制限を回避できる脆弱性【CVE-2024-0787】を発見したと公開した。この脆弱性は、X-Forwarded-Forヘッダーを悪用することでIPブロックメカニズムをバイパスし、ユーザーアカウントに対するパスワードの総当たり攻撃を可能にする深刻な問題となっている。^[1]

脆弱性は、class.Common.phpファイルのget_user_ip()関数において、X-Forwarded-Forヘッダーの存在をチェックし、存在する場合にREMOTE_ADDRの代わりにそのヘッダー値を使用する実装に起因している。攻撃者はこの実装を悪用することで、管理者アカウントを含むすべてのユーザーアカウントに対して無制限の認証試行が可能になるのだ。

NVDの評価によると、この脆弱性のCVSSスコアは5.3（Medium）と評価されており、攻撃の前提条件が少なく実行が容易である点が指摘されている。phpIPAMの開発チームは既にバージョン1.7.0でこの問題を修正しており、影響を受けるバージョンを使用している管理者には早急なアップデートが推奨される。

phpIPAM 1.5.1の脆弱性概要

認証試行回数制限について

認証試行回数制限とは、不正アクセスを防ぐためのセキュリティ機能の一つで、一定回数以上のログイン失敗があった場合にアクセスをブロックする仕組みのことを指す。主な特徴として、以下のような点が挙げられる。

• 特定のIPアドレスからの過度な認証試行を防止
• ブルートフォース攻撃からアカウントを保護
• 一定期間経過後のブロック解除機能を実装可能

phpIPAM 1.5.1の脆弱性では、X-Forwarded-Forヘッダーを利用することで認証試行回数制限を回避できる問題が存在している。攻撃者がこのヘッダーを操作することで、システムは異なるIPアドレスからのアクセスと誤認識してしまい、結果として無制限の認証試行が可能になってしまうのだ。

phpIPAM 1.5.1の脆弱性に関する考察

phpIPAM 1.5.1の認証試行回数制限の脆弱性は、X-Forwarded-Forヘッダーの扱いに関する実装の甘さを浮き彫りにした重要な事例となっている。特にリバースプロキシを使用する環境では、クライアントIPアドレスの特定方法について慎重な設計が必要であり、単一のヘッダー値に依存することのリスクが改めて認識される結果となったのだ。

今後は同様の脆弱性を防ぐため、複数の認証要素の組み合わせやアクセス制御の多層化など、より堅牢な認証システムの実装が求められるだろう。特にX-Forwarded-Forヘッダーを使用する場合は、信頼できるプロキシからのリクエストのみを受け入れる仕組みや、ヘッダー値の検証プロセスの強化が必要となる。

また、オープンソースソフトウェアのセキュリティ品質向上には、コードレビューの強化やセキュリティテストの自動化が重要な役割を果たすと考えられる。phpIPAMの開発チームには、今回の経験を活かしたセキュリティ対策の強化と、ユーザーへの迅速な情報提供体制の確立が期待される。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-0787, (参照 24-11-21).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧