2020年10月12日 (現地時間)、CERT/CCからAcronisが提供するバックアップソフトウェアの複数の脆弱性 (CVE-2020-10138、CVE-2020-10139、CVE-2020-10140) に関する情報が公開されました。同社からも、10月上旬に当該製品に関するセキュリティアドバイザリが公開されています。
Acronis
Acronis True Image 2021 Update 1 for Windows
https://www.acronis.com/ja-jp/support/updates/changes.html?p=42226
Acronis
Release notes for Acronis Cyber Backup 12.5 Update 5
https://dl.managed-protection.com/u/backup/rn/12.5/user/en-US/AcronisBackup12.5_relnotes.htm
Acronis
Release notes for Acronis Cyber Protect 15
https://dl.managed-protection.com/u/cyberprotect/rn/15/user/en-US/AcronisCyberProtect15_relnotes.htm
CERT/CC Vulnerability Note VU#114757
Acronis backup software contains multiple privilege escalation vulnerabilities
https://kb.cert.org/vuls/id/114757
Acronis Cyber Backup 12.5、Cyber Protect 15、Acronis True Image 2021にはDLL読み込みに関する複数の脆弱性があり、本脆弱性が悪用されると、当該製品がインストールされているWindowsシステムにおいて、管理者権限を持たない第三者がSYSTEM権限で任意のコードを実行する恐れがあります。本脆弱性の影響を受ける製品やバージョンなどの詳細については、Acronisが提供する情報を参照してください。
対策として、Acronisが提供する修正バージョンの適用が推奨されています。なお、本脆弱性はWindows向け製品においてのみ影響を受けます。
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター (JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp