VU#706118: Workhorse Software ... ノート

VU#706118: Workhorse Software Services, Inc.のソフトウェア(バージョン1.9.4.48019より前)は、デフォルトのデプロイメントが複数の問題に対して脆弱です。

Workhorse Software Servicesの自治体会計ソフトウェア(バージョン1.9.4.48019以前)は、致命的な設計上の欠陥を抱えています。これらの欠陥により、不正アクセスによる機密の自治体データの漏洩やデータの流出が可能になります。主要な脆弱性として、アプリケーション実行ファイルと一緒にデータベース接続情報が平文で保存されていることが挙げられます。これにより、ディレクトリーの読み取りアクセス権を持つ者が、SQL認証を使用している場合、SQLの資格情報を回復することができます。また、ソフトウェアには、ログイン画面からアクセス可能な認証されていないデータベースバックアップ機能があります。このバックアップでは、パスワードなしで復元可能な暗号化されていないZIPアーカイブが作成されます。攻撃者は、これらの脆弱性を悪用し、例えば、ワークステーションに物理アクセスを取得するか、マルウェアを使用することで、データベース全体の流出を引き起こすことができます。これにより、機密の個人情報や包括的な自治体の財務記録が漏洩するおそれがあります。また、データの改ざん、監査トレイルの破損、および財務操作の妨害も大きなリスクです。CERT/CCは、直ちにバージョン1.9.4.48019にアップデートすることを強く推奨しています。追加の緩和戦略として、アプリケーションディレクトリーのアクセス制限や、Windows認証を使用したSQL Serverの暗号化を有効にすることも挙げられます。