はじめに
人気のオープンソースIDおよびアクセス管理(IAM)プラットフォームであるApache Syncopeに、内部データベースの内容へのアクセスを攻撃者に許す可能性のある重要なセキュリティ脆弱性が発見されました。この脆弱性は、ユーザーのパスワードが保存されている場合に、データベースにアクセスした攻撃者によって複合化される恐れがあります。
脆弱性の詳細
この脆弱性は、
CVE ID: CVE-2025-65998
製品: Apache Syncope
コンポーネント: org.apache.syncope.core:syncope-core-spring
脆弱性の種類: ハードコードされた暗号化キー
影響を受けるバージョン:
- 2.1.0 ~ 2.1.14
- 3.0.0 ~ 3.0.14
- 4.0.0 ~ 4.0.2
深刻度: 重要
ドイツのダルムシュタット工科大学の研究者によって発見されたこの問題は、AES暗号化がパスワード保存に設定されている場合に、システムがソースコードに直接埋め込まれたハードコードされたデフォルトのAES暗号化キーを使用していることに起因します。
攻撃メカニズムと影響
Apache Syncopeでは、管理者が内部データベースに保存されているユーザーパスワードをAESで暗号化できます。しかし、このオプションのセキュリティ機能は、重大な設計上の欠陥によって損なわれています。
管理者に一意の暗号化キーを設定させる代わりに、システムはアプリケーションのソースコードにハードコードされたデフォルトキーを使用します。これは、攻撃者がデータベースへのアクセス権を取得した場合、パスワードの値を容易に取得し、複合化できることを意味し、システム内のすべてのユーザーアカウントが侵害される可能性があります。
対象範囲と注意点
この脆弱性は、管理者がパスワード保存のためにAES暗号化を明示的に設定しているシナリオでのみ影響します。デフォルトの設定では、この機能は有効になっていません。
また、AESで暗号化されたプレーン属性は、個別の保護メカニズムを維持しているため、この問題の影響を受けません。
解決策と推奨事項
Apache Syncopeセキュリティチームは2025年11月24日にこの脆弱性を発表し、重要な深刻度を付けています。プロジェクトは、このセキュリティ上の欠陥に対処するためのパッチ適用済みバージョンをリリースしました。
ユーザーは、自身のデプロイメントに適用されるバージョンに応じて、バージョン3.0.15またはバージョン4.0.3へのアップグレードを強く推奨されます。これらのアップデートには、ハードコードされた暗号化キーの脆弱性を排除し、パスワード暗号化のためのより強力なセキュリティプラクティスを実装する修正が含まれています。
謝辞
セキュリティ研究コミュニティは、 Clemens Bergmann氏およびダルムシュタット工科大学が、公開前に適切なチャネルを通じてこの脆弱性を特定し報告した責任ある開示努力を高く評価しています。