セキュリティ

SECURITY

公開：2024-12-11

【CVE-2024-46906】WhatsUp GoldにSQL Injection脆弱性、低権限ユーザーから管理者権限への昇格が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WhatsUp GoldにSQL Injection脆弱性が発見された
• 低権限ユーザーから管理者権限への昇格が可能
• Version 2024.0.1で修正済みのセキュリティ更新を実施

WhatsUp Gold 2023.1.0-2024.0.1のSQL Injection脆弱性

Progress Software Corporationは、ネットワーク監視ツールWhatsUp Goldのバージョン2023.1.0から2024.0.1未満において、SQL Injectionの脆弱性【CVE-2024-46906】を確認したことを2024年12月2日に公開した。GetSqlWhereClauseにおけるSQL Injectionの脆弱性により、Report Viewer以上の権限を持つ認証済み低権限ユーザーが管理者権限に昇格できる深刻な問題が確認されている。^[1]

この脆弱性は共通脆弱性評価システムCVSSのバージョン3.1で基本評価値8.8を記録し、危険度は「HIGH」と評価された。攻撃元区分はネットワークで、攻撃条件の複雑さは低く、攻撃に必要な特権レベルは低いものの認証が必要とされており、影響の想定範囲に変更はないと評価されている。

Progress Software Corporationは対策として、WhatsUp Goldの最新バージョン2024.0.1へのアップデートを推奨している。バージョン2024.0.1は本脆弱性が修正された安全なバージョンとされ、影響を受けるすべてのユーザーに対して速やかなアップデートを呼びかけている。

WhatsUp Gold 2024.0.1の詳細情報まとめ

セキュリティ情報の詳細はこちら

SQL Injectionについて

SQL Injectionとは、Webアプリケーションのセキュリティ上の脆弱性の一つで、悪意のあるSQLコードを入力として与えることでデータベースを不正に操作する攻撃手法である。以下のような特徴がある。

• データベースの改ざんや情報漏洩を引き起こす可能性がある
• 入力値の適切な検証や無害化処理が行われていない場合に発生
• 認証回避や権限昇格に悪用される可能性がある

今回のWhatsUp GoldのSQL Injection脆弱性は、GetSqlWhereClauseにおける入力値の検証が不十分であることが原因とされている。この脆弱性を悪用されると、低権限ユーザーが管理者権限を不正に取得し、システム全体に深刻な影響を及ぼす可能性があるため、早急な対応が推奨される。

WhatsUp Gold脆弱性に関する考察

WhatsUp GoldのSQL Injection脆弱性が発見されたことは、ネットワーク監視ツールのセキュリティ管理における重要な警鐘となった。特に認証済みユーザーによる権限昇格が可能という点は、内部からの攻撃に対する防御の重要性を再認識させる機会となっている。今後は入力値の検証やアクセス制御の強化など、多層的な防御策の実装が求められるだろう。

また、この脆弱性の発見は、サードパーティ製品を利用する企業のセキュリティリスク管理の重要性も浮き彫りにしている。製品の選定段階からセキュリティ評価を徹底し、継続的なバージョン管理と迅速なアップデート適用の体制を整備することが不可欠だ。特に重要なインフラ監視ツールにおいては、より慎重なリスク評価が必要となるだろう。

今回の事例を踏まえ、ベンダー側には脆弱性の早期発見・修正体制の強化が求められる。特にSQL Injectionのような基本的な脆弱性が混入しないよう、開発プロセスにおけるセキュリティテストの強化と、発見された脆弱性に対する迅速な対応体制の構築が重要となっている。

参考サイト

1. ^ CVE. 「CVE-2024-46906 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-46906, (参照 24-12-11).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧