Trusted Design

CVE-2024-20767 の詳細

CVEの情報

説明:
ColdFusion versions 2023.6, 2021.12 and earlier are affected by an Improper Access Control vulnerability that could result in arbitrary file system read. An attacker could leverage this vulnerability to access or modify restricted files. Exploitation of this issue does not require user interaction. Exploitation of this issue requires the admin panel be exposed to the internet.

CVE更新日: 2024-03-18 12:15:06.870000

CVSSバージョン: 3.1

CVSSスコア: 7.4

KEVの情報

KEV更新日: 2024-12-16

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.940360000

EPSS更新日: 2026-04-16 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2024-20767は、Adobe ColdFusionに存在する深刻な脆弱性です。以下に、その詳細を解説します。

1. 脆弱性の概要

CVE-2024-20767は、Adobe ColdFusionの不適切なアクセス制御(Improper Access Control, CWE-284)に起因する脆弱性です。この脆弱性により、認証されていない攻撃者が ColdFusion サーバー上の任意のファイルを読み取ることが可能になります。

1.1 影響

本脆弱性が悪用されると、攻撃者はファイルシステム上の任意のファイルを読み取ることができます。これにより、機密データ、ソースコード、パスワード、データベース設定などの重要な情報が漏洩する可能性があります。また、攻撃者はセキュリティ対策を回避し、制限されたファイルの変更や任意のファイルシステムへの書き込みが可能になることもあり、結果としてシステムがさらに危険にさらされる可能性があります。

1.2 深刻度

この脆弱性の深刻度は「クリティカル (Critical)」と評価されています。共通脆弱性評価システム (CVSS) v3.1のベーススコアは、Adobeの評価では「8.2」、NVD/CNAの評価では「7.4 (HIGH)」です。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は特定のOSバージョンに限定されず、Adobe ColdFusionの製品バージョンに影響を与えます。

2.2 影響を受ける設定

以下のAdobe ColdFusionのバージョンが影響を受けます。 * ColdFusion 2023 Update 6 およびそれ以前のバージョン * ColdFusion 2021 Update 12 およびそれ以前のバージョン

この脆弱性の悪用には、ColdFusionの管理パネルがインターネットに公開されている必要があります。

3. 影響を受けた時の兆候

CVE-2024-20767は、既に実際の攻撃で悪用が確認されています。米CISAは、2024年12月にこの脆弱性を「既知の悪用された脆弱性カタログ (KEV)」に追加しました。

攻撃者は、まずColdFusionの管理パネル(/CFIDE/adminapi/_servermanager/servermanager.cfc?method=getHeartBeat)を通じてサーバーのUUIDを取得し、その後そのUUIDを利用して /pms?module=logging エンドポイントにあるPMSGenericServletコンポーネントを標的にすることが報告されています。これらのパスへの不審なアクセス試行は、脆弱性の悪用の兆候である可能性があります。

4. 推奨対策

4.1 本対策

  • Adobeが提供するセキュリティアップデートを適用してください。
  • ColdFusion 2023 を利用している場合は、Update 7 以降 (特にUpdate 12でさらなる対処がされています) にアップデートしてください。
  • ColdFusion 2021 を利用している場合は、Update 13 以降 (特にUpdate 18でさらなる対処がされています) にアップデートしてください。

4.2 暫定回避策(緩和策)

  • ColdFusionの管理者インターフェースやPerformance Monitoring Toolsetのような内部コンポーネントをパブリックインターネットに公開しないでください。
  • 管理者アクセスには、VPNやIPアドレスのホワイトリストを使用してください。
  • もし緩和策が利用できない場合は、製品の使用を中止することを検討してください。
  • ネットワークのセグメンテーション(分離)を実施することで、攻撃対象領域を減らすことができます。
  • Symantec Data Center Security (DCS) のデフォルトのロックダウンポリシーは、任意のコマンド実行を防ぎ、重要なファイルへのアクセスを制限することで、この脆弱性からシステムを保護できます。

その他解説すべき観点

  • 本脆弱性に対するProof-of-Concept (PoC) エクスプロイトコードが公開されており、悪用の可能性が高まっています。
  • この脆弱性は、セキュリティ研究者である「ma4ter」氏によって報告されました。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る