セキュリティ

SECURITY

公開：2024-12-20

【CVE-2024-12653】FabulaTech USB over Network 6.0.6.1にNULLポインタ参照の脆弱性、ベンダー未対応のまま公開に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• FabulaTech USB over Network 6.0.6.1に脆弱性が発見
• NULLポインタ参照による深刻な問題が特定
• ベンダーは報告に対して未対応のまま公開

FabulaTech USB over Network 6.0.6.1のNULLポインタ参照の脆弱性

2024年12月16日、FabulaTech USB over Network 6.0.6.1のIOCTハンドラーライブラリであるftusbbus2.sysにおいて、機能0x22040Cに関連するNULLポインタ参照の脆弱性が発見された。VulDBによって公開されたこの脆弱性は、ローカルアクセスによって攻撃が可能となる深刻な問題として分類されている。^[1]

この脆弱性はCVSSスコアによって評価され、CVSS 4.0では6.8（MEDIUM）、CVSS 3.1および3.0では5.5（MEDIUM）、CVSS 2.0では4.6とされている。セキュリティ研究者によって発見されたこの脆弱性は、ベンダーに早期に報告されたものの対応がなされないまま公開に至った。

脆弱性の影響範囲は、FabulaTech USB over Network 6.0.6.1のftusbbus2.sysライブラリに限定されている。CVE-2024-12653として識別されるこの問題は、CWE-476（NULLポインタ参照）およびCWE-404（サービス拒否）に分類され、システムの安定性に影響を与える可能性がある。

FabulaTech USB over Network 6.0.6.1の脆弱性詳細

NULLポインタ参照について

NULLポインタ参照とは、プログラムが無効なメモリアドレスにアクセスしようとする際に発生する脆弱性の一種である。以下のような特徴を持つ重大なセキュリティ上の問題として認識されている。

• プログラムのクラッシュやサービス拒否攻撃の原因となる
• メモリ管理の不適切な実装により発生する
• システムの安定性と可用性に影響を与える

NULLポインタ参照の脆弱性は、特にシステムドライバーやカーネルレベルのコードにおいて深刻な影響をもたらす可能性がある。FabulaTech USB over Network 6.0.6.1のケースでは、IOCTハンドラーライブラリのftusbbus2.sysにおいて、機能0x22040Cに関連するNULLポインタ参照が発見され、システムの安定性に影響を与える可能性が指摘されている。

FabulaTech USB over Network 6.0.6.1の脆弱性に関する考察

FabulaTech USB over Network 6.0.6.1の脆弱性が公開されたことは、製品のセキュリティ管理体制に課題があることを示唆している。特にベンダーが脆弱性報告に対して適切な対応を取らなかったことは、ユーザーのセキュリティリスクを高める結果となってしまった。今後は脆弱性報告に対する迅速な対応体制の構築が求められるだろう。

現状では、システム管理者がこの脆弱性に対して独自の対策を講じる必要があり、運用面での負担が増大することが予想される。USB over Networkの代替製品の検討や、影響を受ける機能の一時的な無効化など、暫定的な対策を検討する必要があるだろう。セキュリティパッチの提供までの間、システムの監視強化と異常検知の仕組みの導入が推奨される。

長期的には、FabulaTechがセキュリティインシデント対応プロセスを見直し、脆弱性報告から修正までの体制を強化することが期待される。特にローカルアクセスによる攻撃が可能な脆弱性は、内部関係者による悪用のリスクも考慮する必要があり、アクセス制御の強化やログ監視の徹底など、複数層での防御策の実装が望まれる。

参考サイト

1. ^ CVE. 「CVE-2024-12653 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-12653, (参照 24-12-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧