セキュリティ

SECURITY

公開：2024-12-13

【CVE-2024-11653】EnGenius製品の複数機種でコマンドインジェクション脆弱性、製造元の対応の遅れが深刻な事態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• EnGenius社の3製品でコマンドインジェクション脆弱性を確認
• 複数の製品でdiag_tracerouteファイルに関する深刻な問題
• 業者は脆弱性の報告に対して未対応の状態が継続

EnGeniusの複数製品におけるコマンドインジェクション脆弱性

EnGeniusのENH1350EXT、ENS500-AC、ENS620EXTの複数製品において、2024年11月25日に深刻な脆弱性が報告された。この脆弱性は/admin/network/diag_tracerouteファイルの機能に関連しており、diag_tracerouteの引数操作によってコマンドインジェクションが可能になることが判明している。^[1]

この脆弱性はリモートからの攻撃が可能であり、既に一般に公開されているため悪用されるリスクが高まっている。EnGeniusは脆弱性に関する早期の通知を受けていたにもかかわらず、現時点で対応を行っていないことが明らかになった。

CVSSスコアによると、バージョン4.0で5.1（中程度）、バージョン3.1と3.0で4.7（中程度）の評価となっている。影響を受ける製品のバージョンは20241118までのものとされ、現在も脆弱性への対策が必要な状況が続いている。

脆弱性の詳細情報まとめ

コマンドインジェクションについて

コマンドインジェクションとは、攻撃者が悪意のあるコマンドを正規のコマンドに挿入して実行させる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• システムコマンドの不正実行による権限昇格の可能性
• リモートからの攻撃による情報漏洩のリスク
• システムの整合性や可用性への重大な影響

今回のEnGeniusの事例では、diag_tracerouteの引数を操作することでコマンドインジェクションが可能となる脆弱性が確認された。この種の脆弱性は、CWE-77（コマンドインジェクション）とCWE-74（インジェクション）に分類され、システムへの不正アクセスや権限昇格などのセキュリティリスクをもたらす可能性がある。

EnGenius製品の脆弱性に関する考察

EnGeniusの製品における今回の脆弱性は、ネットワーク機器のセキュリティ管理における重要な課題を浮き彫りにしている。特に深刻なのは、脆弱性が公開された後も対応が行われていない点であり、製品を使用している組織のセキュリティリスクが継続的に高まっている状況だ。

今後予想される問題として、既に公開されている脆弱性情報を悪用した攻撃の増加が考えられる。解決策としては、影響を受ける製品のファームウェアアップデートの迅速な提供と、ユーザー側でのネットワークセグメンテーションの実装による保護が有効だろう。

長期的には、製品開発段階でのセキュリティテストの強化と、脆弱性報告への迅速な対応体制の構築が不可欠だ。EnGeniusには、今回の事例を教訓として、セキュリティインシデント対応の改善と、より堅牢な製品開発プロセスの確立が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-11653 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-11653, (参照 24-12-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧