プラットフォーム
other
コンポーネント
akana-api-platform
修正版
2022.1.1 (CVE-2024-2796 Patch)
2022.1.2 (CVE-2024-2796 Patch)
2024.1.0
2022.1.3.2
Akana API Platformのバージョン0.0.0から2024.1.0までのバージョンにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されました。この脆弱性を悪用されると、攻撃者は内部ネットワークリソースへの不正アクセスや、外部サービスへの悪用が可能となり、機密情報の漏洩やシステムへの影響が懸念されます。2024.1.0でこの脆弱性は修正されています。
SSRF脆弱性は、攻撃者がサーバーを介して他の内部または外部リソースにリクエストを送信することを可能にします。Akana API Platformにおいては、この脆弱性を悪用することで、攻撃者は内部ネットワーク上の機密情報を含むサービスにアクセスしたり、外部の悪意のあるサーバーにリクエストを送信して、サービス拒否攻撃(DoS)やデータ窃取などの攻撃を実行する可能性があります。攻撃者は、内部ネットワークの構成情報や認証情報を取得し、さらなる攻撃に利用する可能性も考えられます。この脆弱性は、内部ネットワークのセキュリティ境界をバイパスし、機密情報へのアクセスを容易にするため、重大なリスクとなります。
この脆弱性は、Jakob Antonsson氏によって報告されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後PoCが公開される可能性があります。CISA KEVリストへの登録状況は確認されていません。NVD公開日は2024年4月18日です。
Organizations utilizing Akana API Platform for managing APIs, particularly those with sensitive data or integrations with internal systems, are at risk. Environments with older, unpatched versions of the platform (prior to 2022.1.3) are especially vulnerable.
disclosure
エクスプロイト状況
EPSS
0.29% (52% パーセンタイル)
CVSS ベクトル
Akana API Platformのバージョンを2024.1.0以降にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが困難な場合は、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定することを推奨します。また、API Platformのアクセス制御設定を見直し、不要な内部リソースへのアクセスを制限することも有効です。ネットワークセグメンテーションを実施し、内部ネットワークを分離することで、攻撃の影響範囲を限定することも重要です。
Akana API Platformをバージョン2024.1.0以降にアップデートしてください。直ちにアップデートできない場合は、バージョン2022.1.1および2022.1.2で利用可能なCVE-2024-2796パッチを適用してください。詳細な手順については、ベンダーのセキュリティアドバイザリを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-2796は、Akana API Platformのバージョン0.0.0~2024.1.0において、攻撃者がサーバーを介して他のリソースにリクエストを送信できるSSRFの脆弱性です。
Akana API Platformのバージョンが0.0.0~2024.1.0の場合は、この脆弱性に影響を受けます。バージョン2024.1.0以降を使用している場合は影響を受けません。
Akana API Platformのバージョンを2024.1.0以降にアップデートしてください。アップデートが難しい場合は、WAFの導入やアクセス制御の強化を検討してください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易であるため、今後悪用される可能性があります。
Akana API Platformの公式アドバイザリは、Akanaのウェブサイトまたはセキュリティ情報ページで確認できます。