HIGHCVE-2024-2390CVSS 7.8

ローカル権限昇格

プラットフォーム

other

コンポーネント

nessus-agent-plugin

修正版

#202403142053

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-2390は、Tenable社のNessus Agent Pluginに存在する特権昇格の脆弱性です。攻撃者は、スキャン対象ホストにおいて特定の権限を悪用し、ファイルシステムに悪意のあるバイナリを配置することで、特権を昇格させることが可能です。影響を受けるバージョンは0–#202403142053ですが、#202403142053へのアップデートでこの脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はスキャン対象ホスト上でより高い権限を取得し、機密情報の窃取、システムの改ざん、さらにはシステム全体の制御を奪う可能性があります。攻撃者は、脆弱なNessus Agent Pluginを悪用して、通常アクセスできないリソースにアクセスしたり、他のシステムへの攻撃の足がかりとして利用したりする可能性があります。この脆弱性の影響範囲は、攻撃者が取得した権限に依存しますが、最悪の場合、ネットワーク全体に波及する可能性があります。

悪用の状況

この脆弱性は、Tenable社の脆弱性開示プログラムを通じて発見され、2024年3月18日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、特権昇格の脆弱性であるため、攻撃者による悪用の可能性は否定できません。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Organizations utilizing the Nessus Agent Plugin for vulnerability scanning are at risk. This includes environments with less stringent file system access controls and those running older, unpatched versions of the plugin. Shared hosting environments where multiple users have access to the same system are particularly vulnerable.

検出手順翻訳中…

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*Nessus*'} | Select-Object TaskName, State

• linux / server:

ls -l /var/lib/nessus/ | grep -i nessus

• generic web: Check Nessus Agent Plugin version using curl -I <Nessus Agent URL> and compare with the fixed version.

攻撃タイムライン

2024-03-18Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.07% (22% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントnessus-agent-plugin

ベンダーTenable

影響範囲修正版

0 – #202403142053#202403142053

弱点分類 (CWE)

CWE-269

タイムライン

予約済み2024-03-11
公開日2024-03-18
更新日2024-08-21
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、Nessus Agent Pluginを#202403142053にアップデートすることを推奨します。アップデートが困難な場合は、一時的な回避策として、スキャン対象ホストのファイルシステムへの書き込み権限を制限することを検討してください。また、Nessus Agent Pluginのログを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、プラグインの動作を確認し、意図しない動作がないことを確認してください。

修正方法翻訳中…

Actualice el Nessus Agent a la versión #202403142053 o posterior. Esta actualización corrige la vulnerabilidad de escalada de privilegios. Consulte el aviso de seguridad de Tenable para obtener más detalles.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-2390 — 特権昇格 in Nessus Agent Pluginとは何ですか？

CVE-2024-2390は、Nessus Agent Pluginにおける特権昇格の脆弱性であり、攻撃者がスキャン対象ホスト上でより高い権限を取得する可能性があります。

CVE-2024-2390 in Nessus Agent Pluginの影響はありますか？

Nessus Agent Pluginのバージョンが0–#202403142053の場合は影響を受けます。

CVE-2024-2390 in Nessus Agent Pluginを修正するにはどうすればよいですか？

Nessus Agent Pluginを#202403142053にアップデートすることで修正できます。

CVE-2024-2390は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていません。

CVE-2024-2390に関するTenable社の公式アドバイザリはどこで入手できますか？

Tenable社の公式アドバイザリは、Tenableのウェブサイトで確認できます。