VU#748485: Central Office Serv... ノート

VU#748485: Central Office Services の認証されていない設定変更の脆弱性 - コンテンツホスティングコンポーネント

DRC INSIGHTソフトウェアの構成管理エンドポイントにセキュリティ上の欠陥が存在します。同一ネットワーク上の認証されていないユーザーが、サーバーの構成ファイルを変更できてしまいます。この脆弱性はCVE-2026-5756として追跡されており、データ漏洩、トラフィックのリダイレクト、またはサービスの中断を引き起こす可能性があります。DRC INSIGHTのセントラルオフィスサービス(COS)コンポーネントは、テストコンテンツの配信に使用されますが、適切な認証なしに管理エンドポイントを公開しています。ネットワークアクセスを持つすべてのデバイスが、このエンドポイントにリクエストを送信できます。攻撃者はこれを利用して、テストの回答や音声録音などの生徒データを、悪意のある外部サービスにリダイレクトする可能性があります。また、悪意のあるプロキシ設定を挿入することで、HTTPSトラフィックを傍受する可能性もあります。不正な形式の構成変更は、サービスの中断につながり、サーバーの起動を妨げたり、アクティブな評価を妨害したりする可能性があります。現在、ベンダーからのパッチは提供されていません。組織は、COSサーバーへのネットワークアクセスを制限し、隔離されたネットワークセグメントに配置する必要があります。ファイアウォールは、構成エンドポイントへのアクセスを、理想的にはlocalhostまたは承認された管理IPに制限する必要があります。アウトバウンドトラフィックは、承認された宛先に制限し、疑わしいアクティビティを監視する必要があります。管理者は、構成エンドポイントへのリクエストと異常なトラフィックパターンについて、ロギングと監視を有効にする必要があります。