Software House C•CURE 9000に認証情報漏えいの脆弱性CVE-2024-0912が発覚、アップデートとワークアラウンドを提供

text: XEXEQ編集部

CVE-2024-0912に関する記事の要約

Johnson Controls製Software House C•CURE 9000に認証情報漏えいの脆弱性
特定条件下でIISがWindows認証情報をログに記録する可能性
開発者はアップデートとワークアラウンドを提供
影響を受けるのはC•CURE 9000 v3.00.2

Software House C•CURE 9000の新たな脆弱性「CVE-2024-0913」が発覚

2024年5月15日、Johnson Controls社のSoftware House C•CURE 9000に新たな脆弱性が発見された。この脆弱性は「CVE-2024-0912」として公開され、特定の状況下でMicrosoft IISがWindows認証情報をログファイルに記録してしまう問題だ。^[1]

この問題が発生するのは、C•CURE 9000 v3.00.2を使用している場合に限られる。攻撃者がこの脆弱性を悪用すると、ログファイルからWindows認証情報を取得できてしまう可能性がある。

Johnson Controls社はこの脆弱性に対処するためのアップデートを提供しており、回避策として一時的なワークアラウンドも示されている。システム管理者は速やかにアップデートを適用するか、ワークアラウンドを実施することが求められる。

考察

今回のSoftware House C•CURE 9000の脆弱性は、ログファイルを通じた認証情報の漏えいという点で深刻だ。特権的なアクセス権を持つWindowsアカウントの認証情報が流出すれば、攻撃者はシステムを乗っ取ることができてしまう。物理セキュリティシステムを管理するソフトウェアであるだけに、建物への不正侵入など現実世界でのセキュリティインシデントにつながりかねない。

ベンダーは脆弱性対策としてアップデートとワークアラウンドを提示しているが、ユーザー企業側も自社システムへの影響を見極める必要がある。C•CURE 9000を使っている場合、バージョンを確認し脆弱性の有無を調べなければならない。ログファイルに認証情報が残っていないか、監査を行うことも重要だ。セキュリティインシデントを防ぐには、ベンダーとユーザーの両者が協力して対策を進めていくことが欠かせない。今後は、ログの保護や暗号化、アクセス制御の強化など、多層防御の考え方に基づいたセキュリティ設計が求められるだろう。

参考サイト

^ JVN. 「JVNVU#98785365: Johnson Controls製Software House C•CURE 9000におけるログファイルからの情報漏えいの脆弱性」. https://jvn.jp/vu/JVNVU98785365/index.html, (参照 24-05-28).
Microsoft. https://www.microsoft.com/ja-jp

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。