セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-46909】WhatsUp Gold 2024.0.1未満のバージョンに重大な脆弱性、認証不要のリモートコード実行が可能に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• WhatsUp Gold 2024.0.1より前のバージョンに脆弱性
• 認証不要のリモートコード実行が可能に
• CVSSスコア9.8のクリティカルな脆弱性

WhatsUp Gold 2024.0.1以前のバージョンで発見された重大な脆弱性

Progress Software Corporationは、同社のネットワーク監視ツールWhatsUp Goldにおいて、認証を必要としないリモートコード実行の脆弱性が2024年12月2日に報告された。この脆弱性は【CVE-2024-46909】として識別され、WriteDataFileのディレクトリトラバーサルに関連する問題であることが判明している。^[1]

この脆弱性はCVSSスコア9.8のクリティカルと評価されており、攻撃者はネットワークからアクセス可能で攻撃の複雑さも低く、特権や利用者の操作も不要とされている。脆弱性の影響範囲はWhatsUp Gold 2023.1.0から2024.0.1より前のバージョンまでの全てのWindowsプラットフォーム向け製品となっている。

脆弱性の発見者はTrend MicroのAndy Niuであり、Progress Software Corporationはこれらのセキュリティ上の問題に対処するためのアップデートを2024年12月2日に公開した。この問題はCWEの分類においてパストラバーサル（CWE-22）、外部ファイル名パス制御（CWE-73）、設定（CWE-16）の3つのカテゴリに分類されている。

WhatsUp Goldの脆弱性詳細

ディレクトリトラバーサルについて

ディレクトリトラバーサルとは、Webアプリケーションにおいて意図しないディレクトリにアクセスを許してしまう脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 相対パスや絶対パスを用いて制限外のディレクトリにアクセス可能
• 重要なシステムファイルの閲覧や改ざんのリスクがある
• 認証を回避して機密情報にアクセスされる可能性がある

WhatsUp GoldのWriteDataFile機能におけるディレクトリトラバーサルの脆弱性は、認証を必要とせずにリモートからコードを実行できる深刻な問題となっている。この種の脆弱性は適切なパスの検証や入力値のサニタイズによって防ぐことが可能だが、WhatsUp Goldの場合はサービスアカウントの権限でコードが実行される可能性があるため、特に注意が必要である。

WhatsUp Gold脆弱性に関する考察

WhatsUp Goldの脆弱性が認証を必要としないリモートコード実行を可能にする点は、ネットワーク監視ツールとしての信頼性に大きな影響を与える可能性がある。特にWindows環境で広く利用されているため、早急なアップデートの適用が求められるが、企業によってはシステム更新のタイミングや手順に制約があり、一時的にセキュリティリスクに晒される可能性も否定できないだろう。

今後の課題として、同様の脆弱性を未然に防ぐためのセキュリティテストの強化やコードレビューの徹底が必要になってくる。Progress Software Corporationには、製品のセキュリティ品質向上に向けた継続的な取り組みと、脆弱性が発見された際の迅速な対応体制の構築が望まれるだろう。

また、ネットワーク監視ツールという製品の性質上、システム全体に大きな影響を与える可能性のある脆弱性には特に注意が必要である。今回の事例を教訓として、権限管理の厳格化やアクセス制御の多層化など、より堅牢なセキュリティ対策の実装が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-46909 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-46909, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧