セキュリティ

SECURITY

公開：2024-12-12

【CVE-2024-52324】Ruijie Reyee OSに重大な脆弱性、MQTTメッセージを介した任意コード実行の危険性

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Ruijie Reyee OSに重大な脆弱性が発見
• 悪意のあるMQTTメッセージで任意のOS命令を実行可能
• バージョン2.206.x～2.320.x未満が影響を受ける

Ruijie Reyee OSの危険な関数使用による脆弱性を発見

CISAは2024年12月6日、Ruijie Reyee OSのバージョン2.206.x以降2.320.x未満に存在する重大な脆弱性【CVE-2024-52324】を公開した。Claroty Team82のTomer GoldschmidtとNoam Mosheによって報告されたこの脆弱性は、危険な関数の使用によって引き起こされることが判明している。^[1]

CVSSスコアは3.1では9.8、4.0では9.2と評価され、いずれもCriticalレベルの深刻度となっている。攻撃者は悪意のあるMQTTメッセージを送信することで、対象デバイスで任意のOS命令を実行できる可能性があるため、早急な対応が必要となるだろう。

この脆弱性はCWE-242に分類され、ネットワークからアクセス可能な状態で攻撃の複雑さは低いとされている。また特権は不要で、ユーザーの操作も必要としないため、攻撃が成功した場合の影響範囲は機密性、整合性、可用性のすべてにおいて高いレベルとなっている。

Ruijie Reyee OS脆弱性の詳細

CISAのアドバイザリーの詳細はこちら

MQTTについて

MQTTとは、Message Queuing Telemetry Transportの略で、IoTデバイスなどで広く使用される軽量なメッセージングプロトコルのことを指す。主な特徴として、以下のような点が挙げられる。

• publish/subscribeモデルによる効率的なメッセージング
• 限られたリソースや帯域幅での動作に最適化
• 信頼性の高いメッセージ配信を実現

今回の脆弱性では、MQTTメッセージを介して任意のOS命令を実行される可能性がある。Ruijie Reyee OSの脆弱なバージョンでは、MQTTメッセージの処理に危険な関数を使用しているため、攻撃者によって不正なコマンドが実行される危険性が存在するのだ。

Ruijie Reyee OS脆弱性に関する考察

今回の脆弱性が深刻とされる最大の理由は、ネットワークからのアクセスが可能で攻撃の複雑さが低いという点にある。特に認証情報やユーザーの操作が不要なため、攻撃者は比較的容易にシステムを危険にさらすことができるだろう。対象となるバージョンを使用している組織は、早急なアップデートの適用が求められている。

IoTデバイスのセキュリティ管理において、MQTTプロトコルの適切な実装と保護は重要な課題となっている。今後は同様の脆弱性を防ぐため、開発段階でのセキュリティレビューの強化と、定期的な脆弱性診断の実施が不可欠だ。特にIoTデバイスは一度導入すると更新が難しいケースも多いため、導入前の十分な検証が重要となるだろう。

また、IoTデバイスのセキュリティ強化には、ネットワークセグメンテーションやアクセス制御の適切な設定も欠かせない。Ruijie Reyee OSの事例を教訓として、IoTセキュリティの重要性が改めて認識される機会となることが期待される。

参考サイト

1. ^ CVE. 「CVE-2024-52324 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-52324, (参照 24-12-12).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧