Apache Traffic Controlに重大なSQLインジェクションの脆弱性（CVE-2024-45387、CVSS 9.9）

nosa

2025.10.30

Apache Traffic Controlにおける重大なSQLインジェクションの脆弱性、CVSS 9.9と評価 — 今すぐパッチを

The Hacker News – Dec 25, 2024

Apache Software Foundation（ASF）は、Traffic Controlの重大なセキュリティ欠陥に対処するためのセキュリティアップデートをリリースした。この脆弱性はCVE-2024-45387（CVSSスコア9.9）として追跡されており、悪用されると攻撃者がデータベースで任意の構造化クエリ言語（SQL）コマンドを実行できるようになるという。

プロジェクト管理チームが発表したアドバイザリには次のように記された。「Apache Traffic Control <= 8.0.1、>= 8.0.0のTraffic OpsにおけるSQLインジェクションの脆弱性により、『admin』『federation』『operations』『portal』または『steering』のロールを持つ特権ユーザーが特別に細工されたPUTリクエストを送信することで、データベースに対して任意のSQLを実行できるようになる」

この脆弱性を発見し、報告したのはTencent YunDing Security Labの研究員Yuan Luo氏で、Traffic Controlのバージョン8.0.2で修正されている。Traffic Controlはコンテンツ配信ネットワーク（CDN）のオープンソースソフトウェアで、2018年6月にトップレベルプロジェクト（TLP）としてASFから発表された。

CVE-2024-9474が悪用される　パロアルト製デバイスにバックドア「LITTLELAMB.WOOLTEA」を発見

Securityonline[.]info – December 24, 2024

Northwave Cyber Securityは、高度なバックドア「LITTLELAMB.WOOLTEA」がパロアルトネットワークス製のファイアウォールを標的としているのを発見した。

攻撃者は、同社製ファイアウォールに影響を与えるPAN-OSの脆弱性CVE-2024-9474（権限昇格の脆弱性）を利用してデバイスに侵入し、「bwmupdate」という有害スクリプトを注入して当該バックドアをインストールしたという。

このバックドアは正規のlogdサービスを装っており、rc.localファイルを変更して、パッケージマネージャー「RedHat」の構成を変更することで永続性を実現する。これにより、システムがアップグレードされた後も存続することが可能になる。またnginxプロセスに動的ライブラリを注入してaccept()関数を乗っ取るようで、これにより48バイトのパターン「magic knock」を使用し、攻撃者自身のポートでなく既存のポートで秘密裏に通信を行うことができるそうだ。

このほか、LITTLELAMB.WOOLTEAはリモートでのコマンド実行をサポートするためにシェルアクセスを提供したり、密かにデータ転送を行うためにSOCKS5プロキシを設定したりするなどの機能も備えている模様。そして多用途の通信プロトコルも実装しているため、ノード間の通信から各オペレーターの接続を固有の識別子で区別し、感染したデバイスのネットワーク全体にわたって階層的なコマンド＆コントロールが可能になるという。

このバックドアの帰属はまだ確認されていないが、その複雑性から国家支援型アクターの手によるものとの可能性が示唆されている。