セキュリティアドバイザリ:AppDynamics コントローラの承認バイパスの脆弱性
| アドバイザリ ID: | appd-sa-control-athzn-bp | CVE-2022-20736 CWE-939 | |
| 初版: |
2022 年 6 月 15 日 16:00 GMT | ||
| バージョン 1.0: | Final | ||
| 回避策: |
回避策はありません | ||
| Cisco バグ ID | CSCwa72853 | ||
| CVSSスコア: | Base 5.3 |
概要
Cisco AppDynamics コントローラソフトウェアのウェブベース管理インターフェイスにおける脆弱性により、認証されていないリモート攻撃者が、通常はアクセス権限を持たない構成ファイルや管理コンソールのログインページにアクセスできる可能性があります。
この脆弱性は、影響を受けるウェブベースの管理インターフェイスに送信される HTTP リクエストの承認チェックが不適切であることに起因します。攻撃者は、該当する AppDynamics コントローラのインスタンスに巧妙に細工された HTTP リクエストを送信することにより、この脆弱性をエクスプロイトする可能性があります。エクスプロイトが成功すると、攻撃者は管理コンソールのログインページにアクセスできるようになる可能性があります。
この脆弱性に対処するソフトウェア アップデートは、すでに AppDynamics からリリースされています。脆弱性に対処する回避策はありません。
このアドバイザリは、次のリンクから入手できます。https://docs.appdynamics.com/display/PAA/Security+Advisory%3A+AppDynamics+Controller+Authorization+Bypass+Vulnerability
影響を受ける製品
脆弱性が存在する製品
この脆弱性は、クラウドベースの AppDynamics コントローラ(SaaS)に影響します。
公開時点では、この脆弱性はオンプレミスの AppDynamics コントローラにも影響を及ぼしています。
公開時点で脆弱性が確認されているシスコソフトウェアのリリースについては、「Fixed Software」を参照してください。最も完全で最新の情報については、このアドバイザリの上部にあるバグ ID の詳細セクションを参照してください。
脆弱性がないことが確認された製品
このアドバイザリの「脆弱性のある製品」セクションに記載されている製品のみが、この脆弱性の影響を受けることが分かっています。
回避策
脆弱性に対処する回避策はありません。
修正済みソフトウェア
シスコの AppDynamics は、このアドバイザリに記載された脆弱性に対処するソフトウェアアップデートをリリースしました。お客様がインストールしたり、サポートを受けたりできるのは、最新のライセンスを保持し、有効なサポートとメンテナンス契約を持つソフトウェアバージョンとフィーチャセットのみです。当該のソフトウェアアップグレードをインストール、ダウンロード、アクセスまたはその他の方法で使用した場合、お客様は AppDynamics のライセンス条項に従うことに同意したことになります。セキュリティ ソフトウェア アップデートによって、お客様に新しいソフトウェアライセンスや追加のソフトウェア フィーチャ セットに対する権限が付与されることはありません。
最新のライセンスを持ち、有効なサポートおよびメンテナンス契約をお持ちのお客様は、既存の AppDynamics 配信サーバー ダウンロード アカウントからソフトウェアの修正バージョンをダウンロードできます。
いずれの場合も、アップグレードするデバイスに十分なメモリがあること、および現在のハードウェアとソフトウェアの構成が新規リリースで引き続き正しくサポートされていることを十分に確認してください。情報が明確でない場合は、AppDynamics Support システムでサポートチケットを開くことをお勧めします。
固定リリース
AppDynamics では、クラウドベースの SaaS 環境におけるこの脆弱性に対処してきました。AppDynamics コントローラの SaaS バージョンを使用しているお客様の場合、ユーザーアクションは必要ありません。
AppDynamics オンプレミスコントローラ
発行時点では、次の表に記載されているリリース情報は正確でした。最も完全で最新の情報については、このアドバイザリの上部にあるバグ ID の詳細セクションを参照してください。
左側の列には AppDynamics ソフトウェアリリース、右側の列にはリリースがこのアドバイザリに記載されている脆弱性の影響を受けるかどうか、およびこの脆弱性に対する修正を含むリリースが示されています。
| AppDynamics コントローラのリリース | First Fixed Release(修正された最初のリリース) |
|---|---|
| 21.4.6 以前 | 21.4.7 |
修正済みリリースは、AppDynamics ソフトウェアポータル(https://download.appdynamics.com)から入手できます。修正済みソフトウェアをダウンロードするには、お客様は AppDynamics アカウントを保有している必要があります。
シスコの Product Security Incident Response Team(PSIRT; プロダクト セキュリティ インシデント レスポンス チーム)は、このアドバイザリに記載されている該当するリリース情報と修正済みリリース情報のみを検証します。
不正利用事例と公式発表
AppDynamics では、本アドバイザリに記載されている脆弱性の不正利用事例とその公表は確認しておりません。
ソース
AppDynamics は、この脆弱性を報告してくださった Yoroi S.r.l. の Matteo Guastella 氏と Enrico Milanese 氏に感謝の意を表します。
URL
マニュアルの変更履歴
| Version | 説明 | セクション | ステータス | 日付 |
|---|---|---|---|---|
| 1.0 | 初回公開リリース | — | Final |
2022 年 6 月 15 日 16:00 GMT |
このセキュリティアドバイザリに記載されているすべてのソフトウェアまたはリリース(パッチ、アップグレード、およびホットフィックスを含みますが、これらに限定されません)は、一切の保証なしで「現状のまま」で提供されます。AppDynamics は、商品適格性および特定目的への適合性の保証を含め、明示的、黙示的、法定、またはその他のいかなる表明または保証も否認します。いかなる場合においても、AppDynamics、その関連会社、またはそのサプライヤは、相手方が当該損害の可能性を知らされていたとしても、直接的、間接的、付随的、結果的、事業利益の損失、または特別損害を含むいかなる損害についても責任を負わないものとします。一部の州では結果的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限はお客様に適用されない場合があります。
このセキュリティアドバイザリで提供される情報は情報提供のみを目的としており、脆弱性管理などに関して AppDynamics とエンドユーザーとの既存の契約上の義務を変更するものとして解釈されることはありません。エンドユーザーにはこの規定を読み、AppDynamics ソフトウェアの特定の構成および使用例に関して、情報の適用性と影響を独自に分析することが推奨されます。