Trusted Design

解説:

CVE-2024-20953に関する調査結果を以下に解説します。

---

1. 脆弱性の概要

CVE-2024-20953は、Oracle Agile Product Lifecycle Management (PLM) プラットフォームのExportコンポーネントに存在する、深刻な安全でないデシリアライゼーションの脆弱性（CWE-502）です。この脆弱性は、HTTP経由でネットワークアクセスを持つ低特権の攻撃者によって容易に悪用される可能性があります。

1.1 影響

この脆弱性が悪用されると、Oracle Agile PLMシステムが完全に侵害され、機密性、完全性、可用性に対する完全な制御が奪われる可能性があります。攻撃者は任意のコードを実行でき、機密性の高い製品ライフサイクルデータやサプライチェーン運用が危殆化する恐れがあります。

1.2 深刻度

• CVSS v3.1基本スコア: 8.8 (HIGH)
• CVSSベクトル: (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
  • 攻撃元区分 (AV): ネットワーク (Network)
  • 攻撃条件の複雑さ (AC): 低 (Low)
  • 必要な特権 (PR): 低 (Low)
  • ユーザーインタラクション (UI): 不要 (None)
  • スコープ (S): 変更なし (Unchanged)
  • 機密性への影響 (C): 高 (High)
  • 完全性への影響 (I): 高 (High)
  • 可用性への影響 (A): 高 (High)
• CISA（米国サイバーセキュリティ・社会基盤安全保障庁）の既知の悪用された脆弱性（KEV）カタログに登録されており、活発な悪用が確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

この脆弱性は特定のOSバージョンではなく、Oracle Agile PLMソフトウェア自体に影響します。影響を受けるOracle Agile PLMのバージョンは以下の通りです。

• Oracle Agile Product Lifecycle Management (PLM) バージョン 9.3.6

2.2 影響を受ける設定

• ネットワーク経由でHTTPインターフェースにアクセス可能なOracle Agile PLMの展開環境。
• 特にExportコンポーネントが影響を受けます。

3. 影響を受けた時の兆候

直接的な「兆候」は明示されていませんが、脆弱性が悪用された場合、以下の結果が生じる可能性があります。

• システムの完全な乗っ取り。
• 不正なアクセス。
• データの改ざんまたは削除。
• サービスの中断。
• 不審な低特権アカウントのアクティビティに関する認証ログの増加。

4. 推奨対策

4.1 本対策

• 2024年1月にリリースされたOracle Critical Patch Updateを直ちに適用してください。
• Oracle Agile PLMをバージョン9.3.7以降にアップグレードしてください。

4.2 暫定回避策（緩和策）

• Oracle Agile PLMシステムへのネットワークアクセスを、信頼できるネットワークとユーザーにのみ制限してください。
• パッチの適用が直ちに不可能な場合は、Export機能を一時的に無効にすることを検討してください。
• 不審な低特権アカウントのアクティビティがないか、認証ログをレビューしてください。

参照したサイト

• CVE-2024-20953: Oracle Agile PLM RCE Vulnerability - SentinelOne
• CVE-2024-20953 | INCIBE-CERT
• Urgent CISA Alert: Critical Security Flaws in Adobe and Oracle - Quorum Cyber
• CVE-2024-20953 Detail - NVD
• CISA Warns of Attacks Exploiting Oracle Agile PLM Vulnerability - SecurityWeek
• Vulnerability in the Oracle Agile PLM product of Oracle... · CVE-2024-20953 - GitHub
• CVE-2024-20953 Oracle Agile PLM Export 特権昇格 (Nessus ID 216910)
• CVE-2024-20953 - Red Hat Customer Portal
• CVE-2024-20953 Oracle Agile PLM Export privilege escalation (Nessus ID 216910)
• Vulnerability Summary for the Week of February 12, 2024 - CISA
• Critical CVEs: Fortinet, Oracle, PostgreSQL, WS_FTP Server and More - FireCompass
• 「Adobe ColdFusion」や「Oracle Agile PLM」の脆弱性悪用に注意喚起 - 米当局 - Security NEXT
• CISA Warns of a Critical Vulnerability in Oracle Agile PLM - UZCERT xizmati
• CVE-2024-20953: Easily exploitable vulnerability allows low privileged attacker with network access via HTTP to compromise Oracle Agile PLM. Successful attacks of this vulnerability can result in takeover of Oracle Agile PLM. in Oracle Corporation Agile PLM Framework - Live Threat Intelligence - Threat Radar | OffSeq.com
• CISA Warns of Oracle Agile Vulnerability Exploited in the Wild - Cyber Security News
• CISAが公開した制御システムの脆弱性情報（直近1ヶ月） - IPA
• Oracle Critical Patch Update Advisory - January 2024
• Oracle Java (2024 年 4 月 CPU) - Tenable
• CSV版のダウンロード - 既知の悪用された脆弱性カタログ（日本語版）