セキュリティ

SECURITY

公開：2025-01-20

【CVE-2024-13180】Ivanti Avalancheに認証不要のPath Traversal脆弱性が発見、機密情報漏洩のリスクに

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• Ivanti Avalancheの認証なしPath Traversal脆弱性
• CVE-2024-13180として識別され深刻度は高レベル
• バージョン6.4.7で修正された脆弱性の問題

Ivanti Avalanche 6.4.6以前のPath Traversal脆弱性

2025年1月14日、IvantiはAvalanche 6.4.6以前のバージョンにおいて、リモートからの認証なしPath Traversal攻撃により機密情報が漏洩する脆弱性【CVE-2024-13180】を公開した。この脆弱性はCVE-2024-47011の修正が不完全だったことにより発生しており、CVSS v3.1のスコアは7.5と高い深刻度を示している。^[1]

IvantiのAvalancheは企業向けのモバイルデバイス管理ソリューションであり、バージョン6.4.7未満の環境では重要な機密情報が第三者に漏洩するリスクがある。この脆弱性は認証を必要としないため、インターネットに公開されているAvalancheサーバーは特に高いリスクにさらされている。

SSVCの評価によると、この脆弱性の自動化された攻撃の可能性は現時点では確認されていないものの、技術的な影響は部分的に存在する。また、CVSSベクトルから攻撃の実行が比較的容易で、ユーザーの操作を必要としないことが判明している。

Ivanti Avalancheの脆弱性評価まとめ

Ivantiのセキュリティアドバイザリの詳細はこちら

Path Traversalについて

Path Traversalとは、Webアプリケーションにおいてファイルパスを操作し、意図しないディレクトリにアクセスされる脆弱性のことを指す。主な特徴として、以下のような点が挙げられる。

• 不正なパス指定による機密ファイルへのアクセス
• システムファイルの改ざんや情報漏洩のリスク
• 認証回避による権限昇格の可能性

CWE-22として分類されるPath Traversal脆弱性は、ファイルパスの検証が不十分な場合に発生する重大なセキュリティ上の問題となる。特にIvanti Avalancheの事例では、認証を必要としないPath Traversal攻撃が可能であり、機密情報の漏洩につながる危険性が指摘されている。

Ivanti Avalancheの脆弱性に関する考察

Ivanti Avalancheの脆弱性対応において、以前の修正が不完全だったことが新たな脆弱性を生む結果となった点は、セキュリティパッチの品質管理の重要性を改めて示している。特に認証を必要としない攻撃が可能な点は、インターネットに接続された環境での運用においてより慎重な対応が必要となるだろう。

今後は類似の脆弱性を防ぐため、パッチ適用前の十分な検証プロセスの確立が求められる。また、モバイルデバイス管理ソリューションの特性上、機密情報の保護には特に注意を払う必要があり、多層的なセキュリティ対策の実装が望まれるだろう。

さらに、SSVCによる評価で自動化された攻撃の可能性が現時点で確認されていないことは救いだが、今後攻撃手法が確立される可能性も考慮に入れる必要がある。Ivantiには継続的なセキュリティ監査と、より迅速な脆弱性対応が期待される。

参考サイト

1. ^ CVE. 「CVE-2024-13180 | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-13180, (参照 25-01-20).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧