-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2021-0009 JPCERT/CC 2021-02-16(新規) 2021-04-23(更新) <<< JPCERT/CC Alert 2021-02-16 >>> FileZenの脆弱性(CVE-2021-20655)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210009.html I. 概要 2021年2月16日、株式会社ソリトンシステムズからファイル・データ転送アプ ライアンスFileZenの脆弱性(CVE-2021-20655)に関する情報が公開されまし た。本脆弱性が悪用されると、当該製品のシステム管理者アカウントを取得した 遠隔の第三者が、任意のOSコマンドを実行する恐れがあります。 株式会社ソリトンシステムズ 【重要】FileZen設定内容確認のお願い https://www.soliton.co.jp/support/2021/004334.html ** 更新: 2021年4月23日追記 ******************************************** 2021年4月23日、Filezenに対するゼロデイ攻撃があったとの報道に対して、 株式会社ソリトンシステムズより、同製品の最新ファームウェアへのアッ プデートを求める情報が公開されました。さらに、2020年12月(CVE-2020-5639) および2021年2月(CVE-2021-20655)に公開された脆弱性について、これ までの注意喚起に関する「脆弱性対応の経緯」がアナウンスされており、 早急な対策の実施を推奨します。 株式会社ソリトンシステムズ 【FileZen】弊社製品に関する一部報道について https://www.soliton.co.jp/news/2021/004393.html 株式会社ソリトンシステムズ 【FileZen】脆弱性対応の経緯 https://www.soliton.co.jp/support_info/fz2104.html *********************************************************************** II. 対象 対象となる製品とバージョンは次のとおりです。 - FileZen V3.0.0からV4.2.7までのバージョン - FileZen V5.0.0からV5.0.2までのバージョン III. 対策 脆弱性に対応したバージョンは2021年2月16日の段階で提供されていません。 株式会社ソリトンシステムズによると、脆弱性に対応したバージョンを 2021年3月に提供する予定とのことです。 ** 更新: 2021年3月5日追記 ******************************************** 2021年3月5日、株式会社ソリトンシステムズより脆弱性(CVE-2021-20655)に ついて修正済みのバージョンが公開されました。修正済みバージョンの適用を ご検討ください。また、株式会社ソリトンシステムズはアップデートした場合 でも回避策の適用を推奨しています。詳細は「IV. 回避策」をご確認ください。 - FileZen V4.2.8 - FileZen V5.0.3 株式会社ソリトンシステムズ 【重要】FileZen設定内容確認のお願い https://www.soliton.co.jp/support/2021/004334.html *********************************************************************** IV. 回避策 対応したバージョンが提供されるまでの間、次の回避策を適用することで本脆 弱性の影響を緩和することが可能です。また、株式会社ソリトンシステムズは、 脆弱性に対応したバージョンにアップデートした場合においても、回避策の適 用をあわせて行うことを推奨しています。詳細は、株式会社ソリトンシステム ズが提供する情報をご確認ください。 - 初期管理者アカウント「admin」を無効化する - システム管理者アカウントのIDおよびPasswordを変更する - システム管理者アカウントに対し、インターネットからのログインができないよう設定する 株式会社ソリトンシステムズ 【重要】FileZen設定内容確認のお願い https://www.soliton.co.jp/support/2021/004334.html V. 参考情報 株式会社ソリトンシステムズ 【重要】FileZen設定内容確認のお願い https://www.soliton.co.jp/support/2021/004334.html 株式会社ソリトンシステムズ FileZen アップデートパック/マニュアル https://www.soliton.co.jp/support/soliton/hardware/filezen/ Japan Vulnerability Notes JVN#58774946 FileZen における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN58774946/ 情報処理推進機構(IPA) 「FileZen」における OS コマンドインジェクションの脆弱性について(JVN#58774946) https://www.ipa.go.jp/security/ciadr/vul/20210216-jvn.html 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ________ 改訂履歴 2021-02-16 初版 2021-03-05 「III. 対策」の更新 2021-04-23 「I. 概要」の更新 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJggkA6AAoJEKntH+qu5CT/8OEP/iecn6WvvU2dt+Pay03Dsj22 3cqdZSjibBljJUdC08zmBZ0zz6cb+wkhjglRk9w2liygSa4YFdrD+n/mRUY+JQMe vxmDqy8ALuuMv/yFeafm22iXjk0KdmeGlGu417Bc3kLBhyfvrWKxaQSWQjtzfvHC Td+pFFu49064ifmhq6ZtVh8WRcWYgI1XMY6xWjZH/0ZA5G5b2BCXq7S+bgFCd1y/ RaSl7ODHzSWrbuULyKGYGdf8Wkb+zbP9hyl6oUjbry3aFHWrQzXWSSSrecQMlZ7I xBJJlCBQBQG/vnj5GWpqvI97+qtTrBdEOA1Tn+gWC7kX4itmqLVnY3RUCBh/x+kd 8h2FEZsMrWzqHv3/EGHKz+Vu/chFqTo7AVJG4OxorwDTO6W0H6KK1J8qsqvPBlJp Su7c6QRDMQM/WCHGnihfjK7Deipiz49KXbDCqAzwZWhMyWPVaE9PFcyZZaz+T++e PH1xmLDW1157stnPau1ZfARD1h+7BPQMgR/ieaG2S2vvZFveMQMwnI4pWyfJq6JM P8zzf+6TlgsGyDdNEMkIewbbdf7ffZk0KvurXcoFSzzN1IYE8LV/UaugGy1o4vhe dSxe0ImfPlqyiwJRKsnSPxBmnkKsROTdp4MEydkdLlLJgDpXlj4bUg5kMmcvbg// +ppBU5tJpHD3P+4ARXp2 =Odwy -----END PGP SIGNATURE-----