プラットフォーム
java
コンポーネント
pentaho-business-analytics-server
修正版
10.2.0.0
9.3.0.9
CVE-2024-37359は、Pentaho Business Analytics ServerにおけるHostヘッダーの検証不備に起因する脆弱性です。この脆弱性を悪用されると、攻撃者はアクセス制御を回避し、機密情報への不正アクセスやシステムへの影響を引き起こす可能性があります。影響を受けるバージョンは、1.0から9.3.0.8までです。9.3.0.9以降のバージョンで修正されています。
この脆弱性は、攻撃者がHTTP/HTTPSリクエストのHostヘッダーを操作することで、サーバーが意図しない宛先へリクエストを送信するように仕向けます。これにより、ファイアウォールなどのアクセス制御をバイパスし、本来アクセスできないリソースにアクセスしたり、機密情報を盗み出したりすることが可能になります。攻撃者は、内部ネットワークへの侵入や、他のシステムへの攻撃の足がかりとしてこの脆弱性を利用する可能性があります。特に、複数のアプリケーションが同じサーバー上で動作している場合、影響範囲が広がる可能性があります。
この脆弱性は、CISA KEV(Known Exploited Vulnerabilities)に掲載される可能性があります。現時点では、公開されているPoC(Proof of Concept)は確認されていませんが、Hostヘッダーの検証不備は、過去にも悪用事例が見られており、今後積極的に悪用される可能性があります。NVD(National Vulnerability Database)への登録日は2025年2月19日です。
Organizations using Pentaho Business Analytics Server in environments with strict network segmentation or firewalls are particularly at risk. Legacy configurations that rely heavily on Host header validation for access control are also vulnerable. Shared hosting environments where multiple tenants share the same server infrastructure should be carefully assessed.
• linux / server: Use tcpdump or wireshark to monitor HTTP/HTTPS traffic and identify requests with unusual or unexpected Host headers. Examine access logs for patterns indicating Host header manipulation attempts.
ttcpdump -i any -A 'host header contains "malicious.example.com"'• generic web: Use curl to test endpoint exposure with different Host headers. Check response headers for unexpected behavior.
curl -H "Host: malicious.example.com" https://your-pentaho-server/your-endpointdisclosure
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
CVSS ベクトル
最も効果的な対策は、Pentaho Business Analytics Serverを9.3.0.9以降のバージョンにアップデートすることです。バージョンアップが困難な場合は、WAF(Web Application Firewall)を導入し、不正なHostヘッダーを持つリクエストをブロックするルールを設定することを検討してください。また、サーバーのネットワーク構成を見直し、不要なポートを閉じたり、アクセス制御を強化したりすることも有効です。アップデート後、バージョンが正しく適用されていることを確認し、脆弱性が解消されていることを検証してください。
Hitachi Vantara Pentaho Business Analytics Serverをバージョン10.2.0.0または9.3.0.9、またはそれ以降のバージョンにアップデートしてください。これにより、受信するHTTP/HTTPSリクエストのHostヘッダーを正しく検証することで、サーバーサイドリクエストフォージェリ (SSRF) の脆弱性が修正されます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-37359は、Pentaho Business Analytics Server 1.0~9.3.0.8において、Hostヘッダーの検証不備により発生する脆弱性です。攻撃者はこの脆弱性を悪用し、アクセス制御を回避する可能性があります。
はい、Pentaho Business Analytics Serverのバージョン1.0から9.3.0.8を使用している場合は影響を受けます。9.3.0.9以降のバージョンにアップデートしてください。
Pentaho Business Analytics Serverを9.3.0.9以降のバージョンにアップデートすることで修正できます。バージョンアップが困難な場合は、WAFを導入してHostヘッダーの不正なリクエストをブロックしてください。
現時点では公開されているPoCは確認されていませんが、Hostヘッダーの検証不備は過去に悪用事例が見られており、今後積極的に悪用される可能性があります。
Hitachi Vantaraのセキュリティアドバイザリを参照してください。詳細は、Hitachi Vantaraのウェブサイトで確認できます。
pom.xml ファイルをアップロードすると、影響の有無を即座にお知らせします。