最新の注目セキュリティニュースをまとめてチェック！【2024年12月1日週】

SailPoint社の「IdentityIQ」に深刻な脆弱性　修正パッチの早急の適用を

12月2日にアイデンティティ管理サービスを展開するSailPoint社がセキュリティアドバイザリを公開し、同社が提供する「IdentityIQ」に深刻な脆弱性があることが明らかとなった。

本脆弱性は、アクセス制御の不備により、アプリケーションディレクトリ内で保護されている静的コンテンツへアクセスできるようになっていたもの。共通脆弱性評価システム「CVSSv3.1」のベーススコアが最高値である「10.0」とレーティングされていることから、緊急の対応が求められる。

なお、同社からはすでに本脆弱性を解消するセキュリティパッチがリリースされているため、利用している場合には可及的速やかなパッチ適用が推奨される。

アイ・オー・データ機器製ハイブリッドLTEルーター「UD-LT1」「UD-LT1/EX」に複数の脆弱性すでに脆弱性の悪用の事実も

11月3日、アイ・オー・データ機器製のハイブリッドLTEルーター「UD-LT1」および「UD-LT1/EX」に複数の脆弱性が見つかったことが、同社の公式ウェブサイトで報告された。

その後、これらの脆弱性により、認証情報を含む情報の窃取や、管理者ユーザーとして第三者がログインし、任意のOSコマンドを実行される可能性があることが判明した。この追加情報は12月4日に公開され、同日、独立行政法人情報処理推進機構（IPA）からも注意喚起が行われた。

なお、同社は対策を施したファームウェアを2024年12月18日に公開する予定である。そのため、対象機器を利用している場合は、迅速な対応が推奨される。

「Veeam Service Provider Console」にCVSSv3.1 9.9の脆弱性　ファイルが削除されるおそれも

12月3日、データ保護及び監視ツールを開発するソフトウェアベンダー Veeam Software社は同社が提供する「Veeam Service Provider Console」に緊急度の高い脆弱性が確認されたと報告した。

内容としては、VSPCサーバに対してリモートよりコードの実行が可能となる脆弱性（CVE-2024-42448）や、VSPCサーバ上のファイルが削除されるおそれがある脆弱性（CVE-2024-42449）が確認され、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.9」と非常に高いことから注意を呼び掛けている。

すでに、脆弱性修正が可能なセキュリティアップデートが配布されていることから、利用している場合には早急な対応が求められる。

NEC製ルーター「UNIVERGE IXシリーズ」に複数の脆弱性を確認　脆弱性が修正可能なセキュリティパッチを配布済み

12月2日、NEC製ルーター「UNIVERGE IXシリーズ」に複数の脆弱性が確認されたことが報告された。

脆弱性情報のポータルサイトであるJVNによると、「UNIVERGE IXシリーズ」「UNIVERGE IX-Rシリーズ」「UNIVERGE IX-Vシリーズ」にコマンドインジェクションの脆弱性(CVE-2024-11013)、クロスサイトリクエストフォージェリ（CSRF）の脆弱性（CVE-2024-11014）が明らかになったとのこと。

すでに、脆弱性を修正可能なセキュリティパッチが配布されている。適用できない場合には、回避策としてWebGUIを無効にするよう紹介されている。