セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-45722】Ruijie Reyee OSの認証情報脆弱性、MQTTクレデンシャルの不正計算のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Ruijie Reyee OSに認証情報の脆弱性が発見
• バージョン2.206.xから2.320.x未満が対象
• MQTTの認証情報が容易に計算可能な状態

Ruijie Reyee OSのMQTT認証情報に関する脆弱性

CISAは2024年12月6日、Ruijie Reyee OSにおける認証情報に関する重大な脆弱性【CVE-2024-45722】を公開した。この脆弱性は、バージョン2.206.xから2.320.x未満のReyee OSに影響を与えるもので、MQTT認証情報が容易に計算可能な状態にあることが明らかになっている。^[1]

本脆弱性のCVSS v3.1スコアは7.5、v4.0スコアは8.7と高い深刻度を示しており、攻撃者による遠隔からの不正アクセスが可能な状態となっている。この問題は認証情報の計算が容易であることに起因しており、攻撃者による不正アクセスのリスクが高まっているのだ。

Claroty Team82のTomer GoldschmidtとNoam Mosheによって発見されたこの脆弱性は、特別な権限や認証を必要とせずに攻撃が可能な状態となっている。CVSSベクトルによると、攻撃の複雑性は低く、システムの可用性に重大な影響を及ぼす可能性が指摘されているのだ。

Ruijie Reyee OSの脆弱性詳細

CISAのアドバイザリページはこちら

MQTTについて

MQTTとは、Message Queuing Telemetry Transportの略称で、IoTデバイスやモバイルアプリケーションで広く使用されている軽量なメッセージングプロトコルのことを指す。主な特徴として、以下のような点が挙げられる。

• publish/subscribeモデルによる効率的なメッセージング
• 低帯域幅での高速なデータ転送が可能
• 信頼性の高い双方向通信を実現

MQTTプロトコルは、認証情報の適切な管理が重要な要素となっており、脆弱な認証メカニズムはシステム全体のセキュリティを危険にさらす可能性がある。Ruijie Reyee OSの脆弱性では、MQTT認証情報の生成方法に問題があり、攻撃者による不正なアクセスを容易にしてしまう状態にあるのだ。

Ruijie Reyee OSの脆弱性に関する考察

Ruijie Reyee OSにおける認証情報の脆弱性は、IoTデバイスのセキュリティ管理における重要な課題を浮き彫りにしている。特にMQTTプロトコルを利用したシステムでは、認証情報の適切な保護が不可欠であり、今回の脆弱性は認証メカニズムの設計段階からのセキュリティ考慮の重要性を示唆しているのだ。

今後は、強力な暗号化アルゴリズムの採用や定期的なセキュリティ監査の実施など、より包括的なセキュリティ対策が必要となるだろう。特にIoTデバイスのセキュリティは、個人情報や重要なビジネスデータの保護に直結するため、製品開発段階からのセキュリティバイデザインの考え方を徹底することが求められる。

Ruijieには、早急なセキュリティパッチの提供と共に、今後のバージョンでは認証メカニズムの根本的な見直しが望まれる。IoT機器のセキュリティ強化は、今後のデジタルトランスフォーメーションにおいて不可欠な要素となることから、継続的な改善と監視体制の構築が重要になるだろう。

参考サイト

1. ^ CVE. 「CVE-2024-45722 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-45722, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧