セキュリティ

SECURITY

公開：2024-12-12

【CVE-2024-42494】Ruijie Reyee OS 2.206.xに重大な情報漏洩の脆弱性、クラウドアカウント情報の不正取得のリスクが発覚

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Ruijie Reyee OSに情報漏洩の脆弱性が発見
• バージョン2.206.x-2.320.xのクラウドアカウント情報が露出
• 第三者による機密情報の不正取得のリスクが存在

Ruijie Reyee OS 2.206.xの情報漏洩脆弱性

CISAは2024年12月6日、Ruijie Reyee OSのバージョン2.206.xから2.320.x未満に情報漏洩の脆弱性が存在することを公開した。この脆弱性は【CVE-2024-42494】として識別されており、サブアカウントや攻撃者がRuijieのサービスに登録された全てのクラウドアカウントから機密情報を閲覧および流出させる可能性がある機能の問題が指摘されている。^[1]

この脆弱性に関するCVSS（共通脆弱性評価システム）のスコアは、バージョン3.1では中程度の6.5、バージョン4.0では高い7.1と評価されている。Clarotyチームの研究者であるTomer GoldschmidtとNoam Mosheによって発見されたこの脆弱性は、ネットワークを介したアクセスが可能で攻撃の複雑さは低いとされている。

脆弱性の影響を受けるバージョンは2.206.xから2.320.x未満であり、それ以外のバージョンは影響を受けないことが確認されている。CISAの評価によると、この脆弱性の技術的影響は部分的であり、自動化された攻撃の可能性は現時点では確認されていないものの、適切な対策が必要とされている。

Ruijie Reyee OSの脆弱性詳細

CISAのアドバイザリー詳細はこちら

CVSSについて

CVSSとは「Common Vulnerability Scoring System（共通脆弱性評価システム）」の略称で、情報システムの脆弱性の深刻度を評価するための業界標準指標である。主な特徴として、以下のような点が挙げられる。

• 攻撃の複雑さや必要な特権レベルなどを数値化
• 0.0から10.0までのスコアで脆弱性の深刻度を評価
• ベースメトリクス、現状メトリクス、環境メトリクスの3つの基準で評価

本脆弱性のCVSSスコアは、バージョン3.1では中程度の6.5、バージョン4.0では高い7.1と評価されている。この評価は、ネットワークを介したアクセスが可能で攻撃の複雑さは低いものの、攻撃者に一定の特権レベルが必要とされることを示している。

Ruijie Reyee OSの脆弱性に関する考察

Ruijie Reyee OSの脆弱性は、クラウドサービスにおける情報セキュリティの重要性を改めて浮き彫りにする事例となった。特にサブアカウントを介した情報漏洩のリスクは、アクセス権限の適切な管理と制御の必要性を示唆している。クラウドサービスの普及に伴い、同様の脆弱性が今後も発見される可能性は否定できないだろう。

この問題への対応として、クラウドサービスプロバイダーには、より厳格なアクセス制御メカニズムの実装と定期的なセキュリティ監査の実施が求められる。特に、サブアカウントの権限管理については、最小特権の原則に基づいた設計が重要になってくるはずだ。また、ユーザー側でもセキュリティアップデートの迅速な適用と、定期的なセキュリティ設定の見直しが必要となるだろう。

今後は、AIを活用した脆弱性検出システムの導入や、ゼロトラストアーキテクチャの採用など、より先進的なセキュリティ対策の実装が期待される。クラウドサービスの安全性を確保するためには、技術的な対策だけでなく、運用面でのベストプラクティスの確立と共有も重要な課題となってくるはずだ。

参考サイト

1. ^ CVE. 「CVE-2024-42494 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-42494, (参照 24-12-12).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧