【CVE-2024-10924】Really Simple Security 9.0.0-9.1.1.1に認証バイパスの脆弱性、二要素認証機能に深刻な問題

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Really Simple SecurityにTwo-Factor認証の脆弱性が発見
管理者権限でのログインが可能な認証バイパスの問題
バージョン9.0.0から9.1.1.1が影響を受ける

Really Simple Security 9.0.0-9.1.1.1の認証バイパス脆弱性

WordPressプラグインであるReally Simple Securityの複数バージョンにおいて、二要素認証の認証バイパスの脆弱性が発見された。Two-Factor認証機能が有効化されている環境において、「check_login_and_get_user」関数の不適切なユーザーチェックエラー処理により、未認証の攻撃者が管理者権限でログインできる深刻な問題が報告されている。^[1]

この脆弱性は【CVE-2024-10924】として識別されており、影響を受けるバージョンは9.0.0から9.1.1.1までとなっている。CVSSスコアは9.8（CRIT ICAL）と評価され、攻撃者は特別な権限や条件を必要とせずにシステムへの侵入が可能となる深刻な状況だ。

Wordfenceのセキュリティレポートによると、この脆弱性は二要素認証のREST APIアクションにおけるユーザーチェックの不備に起因している。二要素認証設定が有効になっているサイトでは、未認証の攻撃者が既存のユーザーアカウントを使用してログインできる可能性が指摘されているのだ。

Really Simple Security脆弱性の影響範囲

項目	詳細
影響を受けるバージョン	9.0.0から9.1.1.1
対象製品	Really Simple Security Free/Pro/Pro Multisite
CVSSスコア	9.8（CRITICAL）
脆弱性の種類	認証バイパス（CWE-288）
攻撃条件	Two-Factor認証が有効化されている環境

認証バイパスについて

認証バイパスとは、システムの認証メカニズムを迂回して不正にアクセス権限を取得する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

正規の認証プロセスを回避して権限を取得
システムの設計上の欠陥や実装ミスが原因
管理者権限の不正取得につながる可能性

Really Simple Securityの事例では、Two-Factor認証機能のREST APIアクションにおけるユーザーチェックの不備が認証バイパスを引き起こしている。攻撃者は「check_login_and_get_user」関数のエラー処理の不備を突いて認証を回避し、既存ユーザーのアカウントを使用して管理者権限でログインできる可能性が指摘されているのだ。

Really Simple Securityの脆弱性に関する考察

Really Simple Securityの認証バイパス脆弱性は、二要素認証という重要なセキュリティ機能に潜んでいた問題であり、その影響は極めて深刻だ。プラグインのコア機能の一つであるTwo-Factor認証が、皮肉にもセキュリティホールとなってしまった点は、セキュリティ設計の難しさを示している。今後は実装段階での厳密なセキュリティレビューとペネトレーションテストの重要性が増すだろう。

この脆弱性の公開により、同様の認証機能を実装している他のプラグインやシステムでも、エラーハンドリングの見直しが必要となる可能性がある。REST APIの実装における認証処理は特に注意が必要で、エラー時の挙動やユーザーチェックのロジックについて、より厳密な検証が求められるだろう。セキュリティ機能自体が攻撃の糸口となる事例として、開発者コミュニティに警鐘を鳴らすものだ。

また、WordPressのプラグインエコシステムにおいて、セキュリティ関連プラグインの品質保証の在り方も問われている。プラグインの審査プロセスや脆弱性報告の仕組み、パッチ適用の迅速化など、エコシステム全体のセキュリティ向上に向けた取り組みが急務となっているのだ。今後はコミュニティ主導でのセキュリティレビューの強化が期待される。