JPCERT/CC では、各ベンダーが提供する複数のバックアップソフトウェアにおいて、OpenSSL コンポーネントが配置されるフォルダへのアクセス制限不備に起因する脆弱性が公開されていることを確認しています。本脆弱性が悪用されると、該当製品を利用する Windows システムにおいて、管理者権限を持たない第三者が、結果的に SYSTEM 権限で任意のコードを実行できる可能性があります。
OpenSSL コンポーネントが配置されるフォルダへのアクセス制限不備の問題は、今回確認されているバックアップソフトウェアに限らず、OpenSSL と連携するさまざまなソフトウェアで同種の問題が報告される可能性があります。利用製品の脆弱性情報の収集や対応体制をご確認の上、自組織へ影響がある場合は、アップデートなどの対策を推奨します。
I. Veritas 製 Veritas Backup Exec に権限昇格の脆弱性
2020年12月23日 (米国時間)、CERT/CC から Veritas が提供するバックアップソフトウェアの権限昇格の脆弱性 (CVE-2019-1552) に関する情報が公開されました。Veritas からも、同日に当該製品に関するセキュリティアドバイザリが公開されています。
Veritas が提供する情報を参照の上、修正バージョンの適用をご検討ください。なお、サポート終了したバージョンも影響を受ける可能性があるため、
Veritas Backup Exec version 16.xおよびそれ以前のバージョンを利用している場合、Veritas Bacup Exec 21.2 へのアップグレードが推奨されています。
Japan Vulnerability Notes JVNVU#93089606
Veritas 製 Veritas Backup Exec に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU93089606/
II. Macrium Software 製 Macrium Reflect に権限昇格の脆弱性
2020年10月14日 (米国時間)、Macrium Software が提供するバックアップソフトウェアの権限昇格の脆弱性 (CVE-2019-1552) に関する情報が公開されました。また、10月26日に CERT/CC からも当該製品に関するセキュリティアドバイザリが公開されています。
Macrium Software が提供する情報を参照の上、修正バージョンの適用をご検討ください。
Japan Vulnerability Notes JVNVU#90376567
Macrium Software 製 Macrium Reflect に権限昇格の脆弱性
https://jvn.jp/vu/JVNVU90376567/
III. Acronis 製の複数のバックアップソフトウェアに DLL 読み込みに関する脆弱性
2020年10月12日 (米国時間)、CERT/CC から Acronis が提供するバックアップソフトウェアの複数の脆弱性 (CVE-2020-10138、CVE-2020-10139、 CVE-2020-10140) に関する情報が公開されました。Acronis が提供する情報を参照の上、修正バージョンの適用をご検討ください。
Acronis製バックアップソフトウェアの複数の脆弱性について
https://www.jpcert.or.jp/newsflash/2020101301.html
Acronis 製の複数のバックアップソフトウェアに DLL 読み込みに関する脆弱性
https://jvn.jp/vu/JVNVU92288299/
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。 今回の件を含め、提供いただける情報がありましたら、JPCERT/CC までご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp