セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-11654】EnGenius製品に重大な脆弱性、コマンドインジェクション攻撃の危険性が浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• EnGeniusの複数製品にコマンドインジェクションの脆弱性
• ENH1350EXT、ENS500-AC、ENS620EXTが影響を受ける
• 攻撃者による遠隔からの実行が可能な深刻な脆弱性

EnGenius製品の重大な脆弱性に関する警告

EnGenius社のENH1350EXT、ENS500-AC、ENS620EXTにおいて、深刻な脆弱性が2024年11月25日に公開された。この脆弱性は/admin/network/diag_traceroute6ファイルの不明な部分に存在しており、diag_traceroute6引数の操作によってコマンドインジェクションが可能となっている。^[1]

脆弱性はCVSS 4.0で5.1（中程度）、CVSS 3.1で4.7（中程度）のスコアが付与されており、攻撃者は遠隔から攻撃を実行することが可能となっている。特に深刻な点として、この脆弱性に関する情報は既に公開されており、悪用される可能性が高まっているため、早急な対応が求められる。

この脆弱性は2024年11月18日時点のファームウェアバージョンまでの製品に影響を及ぼすことが確認されている。VulDBによると、EnGeniusに対して早期に脆弱性の情報が開示されていたにもかかわらず、ベンダーからの応答は一切なかったとされている。

脆弱性の詳細情報まとめ

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドを実行可能なシステムに注入する脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• システムコマンドの不正実行による権限昇格の可能性
• データの改ざんや情報漏洩のリスクが存在
• 遠隔からの攻撃実行が可能な場合が多い

EnGeniusの製品で発見された脆弱性は、diag_traceroute6コマンドの処理に関連しており、攻撃者によって悪用される可能性が高い状態となっている。特に管理者権限で実行可能なコマンドに対する攻撃であり、システムの整合性や可用性に影響を与える可能性が指摘されている。

EnGenius製品の脆弱性に関する考察

EnGenius製品における今回のセキュリティ脆弱性は、ネットワーク機器のファームウェア管理における重要な課題を浮き彫りにしている。特にベンダーの対応が不十分であることは、製品のセキュリティライフサイクル管理における深刻な問題を示唆しており、ユーザーの信頼を損なう可能性が高まっている。

今後の対策として、ベンダーによる迅速なセキュリティアップデートの提供と、透明性の高い脆弱性対応プロセスの確立が求められる。特に遠隔からの攻撃が可能な脆弱性に関しては、発見から修正までの時間を最小限に抑えるための体制作りが不可欠となってくるだろう。

また、IoT機器のセキュリティ管理における課題として、脆弱性の報告から対応までのプロセスを標準化する必要性が高まっている。製品のセキュリティ品質を保証するためには、継続的なモニタリングと迅速な対応が可能な体制を整備することが望ましい。

参考サイト

1. ^ CVE. 「CVE-2024-11654 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-11654, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧