Fortra

Fortra社は、FileCatalyst Workflowのハードコードされたパスワードに重大な欠陥があり、攻撃者が内部データベースに不正にアクセスし、データを盗んだり管理者権限を取得したりする可能性があるとして警告しています。

このハードコードされたパスワードは、誰でもリモートから FileCatalyst Workflow HyperSQL (HSQLDB) データベースにアクセスするために使用することができ、潜在的に機密性の高い情報への不正アクセスを得ることができます。

さらに、データベースの認証情報を悪用して新しい管理者ユーザーを作成することができるため、攻撃者は FileCatalyst Workflow アプリケーションへの管理者レベルのアクセス権を取得し、システムを完全に制御することができます。

Fortra 社は、昨日発表したセキュリティ情報において、この問題は CVE-2024-6633(CVSS v3.1: 9.8、「重要」)として追跡されており、FileCatalyst Workflow 5.1.6 Build 139 およびそれ以前のリリースに影響を与えるとしています。ユーザーは、バージョン 5.1.7 以降にアップグレードすることが推奨される。

Fortra 社はアドバイザリの中で、HSQLDB はインストールプロセスを容易にするためだけに含まれており、ユーザーはインストール後に代替ソリューションをセットアップすることを推奨していると述べています。

「HSQLDBは、インストールを容易にするためだけに含まれており、非推奨となっています

「しかし、推奨される代替データベースを使用するように FileCatalyst Workflow を設定していないユーザーは、HSQLDB に到達できるあらゆるソースからの攻撃に対して脆弱です。

緩和策や回避策はないため、システム管理者は利用可能なセキュリティアップデートをできるだけ早く適用することが推奨される。

欠陥の発見と詳細

Tenable 社は、2024 年 7 月 1 日、すべての FileCatalyst Workflow デプロイメントで同じ静的パスワード「GOSENSGO613」を発見し、CVE-2024-6633 を発見しました。

Tenable 社は、ワークフロー内部の HSQLDB は、製品のデフォルト設定では TCP ポート 4406 経由でリモートアクセス可能であるため、この暴露は重大であると説明しています。

「HSQLDBにログインすると、攻撃者はデータベース内で悪意のある操作を行うことができます。例えば、攻撃者はDOCTERA_USERSテーブルに管理者レベルのユーザーを追加し、管理者ユーザーとしてワークフローWebアプリケーションにアクセスできるようにすることができます。”-Tenable

Tenable社は、エンドユーザは通常の方法ではこのパスワードを変更できないため、5.1.7以降にアップグレードすることが唯一の解決策であると指摘しています。

CVE-2024-6633 を悪用するサイバー犯罪者にとって、高度なアクセス、悪用の容易さ、および潜在的な利益により、この欠陥は FileCatalyst Workflow のユーザーにとって非常に危険なものです。

Fortra製品に重大な欠陥があると、複数の高価値の企業ネットワークが一度に大規模に侵害される可能性があるため、Fortra製品は常に攻撃者の標的となります。