セキュリティ

SECURITY

公開：2024-12-06

【CVE-2024-46905】WhatsUp GoldにSQLインジェクションの脆弱性、管理者権限昇格のリスクが判明

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WhatsUp Gold 2024.0.1以前にSQLインジェクションの脆弱性
• Network Manager以上の権限で管理者権限の昇格が可能
• Progress SoftwareがCVE-2024-46905として公開

WhatsUp GoldのSQL インジェクション脆弱性

Progress Software社は、ネットワーク監視ツールWhatsUp Goldの2024.0.1より前のバージョンにSQLインジェクションの脆弱性が存在することを2024年12月2日に公開した。この脆弱性はGetOrderByClauseにおけるSQLインジェクションの問題で、Network Manager以上の権限を持つ認証済みの低権限ユーザーが管理者アカウントへの権限昇格を行える可能性があることが判明している。^[1]

Progress Software社によると、この脆弱性はCVE-2024-46905として識別されており、CVSSスコアは8.8と高い深刻度に分類されている。CVSSのベクトル文字列からは、ネットワーク経由での攻撃が可能で、攻撃の複雑さは低く、権限は必要だが、ユーザーの操作は不要であることが示されている。

この脆弱性は、Trend Micro Zero Day Initiativeと協力するSummoning TeamのSina Kheirkhah氏によって発見された。Progress Software社は2024.0.1のリリースでこの問題に対処しており、影響を受けるバージョンのユーザーに対して最新版への更新を推奨している。

WhatsUp Gold脆弱性の詳細まとめ

SQLインジェクションについて

SQLインジェクションとは、Webアプリケーションのセキュリティ上の脆弱性を悪用し、SQLコマンドを不正に実行する攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• データベースへの不正なSQLコマンドの挿入が可能
• データの改ざんや漏洩、権限昇格などのリスクがある
• 入力値の適切なバリデーションとエスケープ処理で防止可能

WhatsUp GoldのGetOrderByClauseにおけるSQLインジェクションの脆弱性は、Network Manager権限を持つユーザーが管理者権限を不正に取得できる深刻な問題となっている。この種の脆弱性は、適切な入力値のサニタイズ処理やパラメータ化クエリの使用によって防ぐことが可能である。

WhatsUp Gold脆弱性に関する考察

WhatsUp Goldの脆弱性は、Network Manager以上の権限を持つユーザーが管理者権限を取得できる点で、組織のセキュリティに深刻な影響を及ぼす可能性がある。特にネットワーク監視ツールは多くの重要なシステムへのアクセス権を持つため、権限昇格の脆弱性は機密情報の漏洩やシステムの改ざんにつながる危険性が高い。

今後は同様の脆弱性を防ぐため、SQLクエリの構築時におけるセキュリティチェックの強化が求められる。特にユーザー入力を含むSQL文の生成においては、プリペアドステートメントの使用やORM（オブジェクトリレーショナルマッピング）の活用など、より安全な実装方法の採用が望ましい。

また、権限管理の観点からも、必要最小限の権限付与の原則に基づいたアクセス制御の見直しが重要となる。Network Manager権限を持つユーザーの操作ログの監視強化や、重要な設定変更時の承認プロセスの導入なども、セキュリティ強化の有効な対策となるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-46905 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-46905, (参照 24-12-06).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧