【CVE-2024-45759】Dell PowerProtect Data Domainに権限昇格の脆弱性、システムのサービス拒否のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Dell PowerProtect DDに権限昇格の脆弱性
バージョン8.1.0.0未満のシステムが影響を受ける
システムのサービス拒否につながる可能性あり

Dell PowerProtect Data Domainの権限昇格の脆弱性

Dellは2024年11月8日、PowerProtect Data Domainの複数のバージョンに権限昇格の脆弱性が存在することを発表した。この脆弱性は【CVE-2024-45759】として識別されており、低権限の攻撃者がシステム設定を不正に上書きできる可能性があることが判明している。^[1]

影響を受けるバージョンは、バージョン8.1.0.0、7.13.1.10、7.10.1.40、7.7.5.50より前のバージョンとなっており、権限の誤った割り当て（CWE-266）に分類される脆弱性が存在することが確認された。この脆弱性のCVSS（共通脆弱性評価システム）スコアは6.8（中程度）と評価されている。

ローカルからの攻撃が可能であり、攻撃の複雑さは低いとされているが、ユーザーの操作が必要となる特徴がある。この脆弱性が悪用された場合、特定のコマンドの不正実行やシステム設定の上書きが可能となり、最終的にサービス拒否攻撃につながる可能性が指摘されている。

Dell PowerProtect Data Domainの影響を受けるバージョン

項目	詳細
影響を受けるバージョン範囲	7.7.1から8.0.0.0まで
要更新バージョン1	7.13.1.10未満
要更新バージョン2	7.10.1.40未満
要更新バージョン3	7.7.5.50未満
CVSSスコア	6.8（中程度）
CWE分類	CWE-266（権限の誤った割り当て）

Dell PowerProtect DDの脆弱性に関する詳細はこちら

権限昇格の脆弱性について

権限昇格の脆弱性とは、攻撃者が本来与えられている権限以上の特権を不正に取得できる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

通常のユーザー権限から管理者権限への昇格が可能
システムの重要な設定や機能への不正アクセスが可能
セキュリティ機構の回避やシステムの制御が可能

今回のDell PowerProtect Data Domainの脆弱性では、低権限のユーザーが特定のコマンドを実行してシステム設定を変更できる状態にあることが問題視されている。この脆弱性は適切なアクセス制御が実装されていないことに起因しており、攻撃者がシステムのサービスを停止させる可能性があるため、早急な対応が推奨される。

Dell PowerProtect Data Domainの脆弱性に関する考察

Dell PowerProtect Data Domainの脆弱性対応には、バージョンアップによる根本的な解決が不可欠だ。しかし、データバックアップシステムのアップデートには慎重な計画と実行が必要となり、特に大規模環境での一斉アップデートには相当な準備期間を要することが予想される。運用中のシステムへの影響を最小限に抑えながら、セキュリティパッチの適用を進めていく必要があるだろう。

今後は権限管理の強化や監査ログの充実など、セキュリティ機能の拡充が期待される。特にクラウド環境との連携が進む中、従来のオンプレミス環境向けのセキュリティ対策に加えて、クラウドネイティブな環境でも有効な多層防御の実装が重要になってくるだろう。Dellには継続的なセキュリティアップデートの提供と、より強固なセキュリティ機能の実装を期待したい。

また、バックアップシステムの特性上、データの完全性と可用性の確保が極めて重要となる。権限昇格の脆弱性がバックアップデータそのものに影響を与える可能性も考慮し、データの暗号化やアクセス制御の二重化など、より包括的なセキュリティ対策の実装が望まれる。ベンダーとユーザー双方が、セキュリティリスクの最小化に向けて継続的な取り組みを行うことが重要だ。