セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-11652】EnGeniusの3製品にコマンドインジェクションの脆弱性、製品ベンダーの対応が課題に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• EnGenius製品にコマンドインジェクションの脆弱性が発見
• ENH1350EXT、ENS500-AC、ENS620EXTの3製品が影響
• 製品ベンダーは通知に対して未対応の状態

EnGenius製品の重大な脆弱性

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTに重大な脆弱性が2024年11月25日に報告された。この脆弱性は/admin/sn_package/sn_httpsファイル内の未知の機能に関連しており、https_enable引数の操作によってコマンドインジェクションが可能になることが判明している。^[1]

この脆弱性は遠隔から攻撃可能であり、既に一般に公開されているため悪用される可能性が高い状態となっている。脆弱性の深刻度はCVSS v4.0で5.1（Medium）、CVSS v3.1で4.7（Medium）と評価されており、特権が必要なものの、攻撃の複雑さは低いとされている。

EnGeniusは早期にこの脆弱性について通知を受けていたにもかかわらず、現時点で何らの対応も行っていない状況が続いている。影響を受ける製品のバージョンは20241118までのものとされており、ユーザーにとって深刻なセキュリティリスクとなっている。

CVE-2024-11652の詳細情報

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドを実行できる脆弱性の一種であり、主な特徴として以下のような点が挙げられる。

• 不正なコマンドを実行してシステムを制御可能
• 権限昇格や情報漏洩のリスクが存在
• 遠隔からの攻撃が可能な場合が多い

EnGeniusの製品で発見されたこの脆弱性は、/admin/sn_package/sn_httpsファイル内のhttps_enable引数を操作することでコマンドインジェクションが可能になる。この種の脆弱性は特権が必要とされるものの攻撃の複雑さが低く、既に公開されているため早急な対応が必要とされている。

EnGeniusの脆弱性対応に関する考察

EnGenius製品の脆弱性対応の遅れは、企業のセキュリティインシデント対応の重要性を浮き彫りにしている。特に製品がネットワークインフラストラクチャの一部として使用されている場合、脆弱性の存在は組織全体のセキュリティリスクとなる可能性が極めて高いことを示している。

今後の課題として、製品開発段階でのセキュリティテストの強化と、脆弱性報告に対する迅速な対応体制の確立が求められる。特にコマンドインジェクションのような基本的な脆弱性への対策は、製品設計段階から考慮されるべきであり、継続的なセキュリティアセスメントの実施が不可欠となるだろう。

長期的には、セキュリティ対応の透明性を高め、ユーザーとの信頼関係を構築することが重要となる。EnGeniusには、脆弱性への対応状況を定期的に公開し、影響を受けるユーザーに対して明確なガイダンスを提供することが期待される。

参考サイト

1. ^ CVE. 「CVE-2024-11652 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-11652, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧