脆弱性の影響を受ける製品
| CVE番号 | 製品 | バージョン | CVSS3.0 スコア | 深刻度 |
|---|---|---|---|---|
| CVE-2021-25228~25235, 25239, 25240, 25242 ,25243 | Apex One ウイルスバスターCorp. | 2019, SaaS XG SP1 | 5.3 | 中 |
| CVE-2021-25241 | 5.3 | 中 | ||
| CVE-2021-25246 | 6.5 | 中 | ||
| CVE-2021-25248 | 2.5 | 低 | ||
| CVE-2021-25249 | 7.8 | 高 | ||
| CVE-2021-25237 | Apex One | 2019, SaaS | 7.8 | 高 |
| CVE-2021-25236 CVE-2021-25238 | ウイルスバスターCorp. | XG SP1 | 5.3 | 中 |
脆弱性の概要
CVE-2021-25228~25235, 25237, 25238, 25239, 25240, 25242 ,25243: 不適切なアクセス制御による情報漏洩の脆弱性
Apex One、Apex One SaaS、ウイルスバスター Corp.における不適切なアクセス制御により、認証されていないユーザがサーバやエージェントに関する情報(hotx情報、ログ、ホスト名など)を取得できる可能性があります。この脆弱性のCVSスコアは、5.3で深刻度は中です。
CVE-2021-25236, CVE-2021-25241:サーバサイドリクエストフォージェリ(SSRF)の情報公開の脆弱性
Apex One、Apex One SaaS、ウイルスバスター Corp.のサーバサイドリクエストフォージェリ情報開示脆弱性により、認証されていないユーザがコマンドスクリプトを作成しオンラインのエージェントを探し出し、サーバが通信可能なネットワークトポロジーを推察できる可能性があります。この脆弱性のCVSスコアは、5.3で深刻度は中です。
注意:この脆弱性を利用するには、管理エージェントのリスニングポートを知っている必要があります。
CVE-2021-25246:不適切なアクセス制御による情報漏洩の脆弱性
Apex One、Apex One SaaS、ウイルスバスター Corp.に不適切なアクセス制御情報開示の脆弱性が存在し、認証されていないユーザが管理サーバ上に偽のエージェントを作成し、有効なクエリを実行できる可能性がありました。この脆弱性のCVSスコアは、6.5で深刻度は中です。
CVE-2021-25248:領域外メモリ参照の脆弱性
Apex One、Apex One SaaS、ウイルスバスター Corp.には、境界外の読み取り情報開示の脆弱性があり、名前付きパイプに関する情報を開示される可能性があります。この脆弱性のCVSスコアは、2.5で深刻度は低です。
注意:この脆弱性を利用するには、対象のシステム上で低い権限でコードを実行できる必要があります。
CVE-2021-25249: 境界外メモリ書き込みによる権限昇格の脆弱性
Apex One、Apex One SaaS、ウイルスバスター Corp.には、境界外メモリ書き込みにより権限昇格できる脆弱性があり、インストール時にローカルの攻撃者が権限を昇格させてしまう可能性があります。この脆弱性のCVSスコアは、7.8で深刻度は高です。
注意:この脆弱性を利用するには、対象のシステム上で低い権限でコードを実行できる必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex One | 2019 SaaS | CP9167 ※ 1月アップデート(b9322) | Readme Readme |
| ウイルスバスターCorp. | XG SP1 | CP6040 ※ | Readme |
※脆弱性への対応を強化するために、上記の修正パッチに加えて下記の補助ツールを実行する必要があります。このツールはオンプレミス版の管理サーバ上で実行するものです。
※重要:管理サーバでこのツールを実行する前に、すべてのエージェントが脆弱性対策がおこなわれたビルドになっているかどうかご確認ください。古いエージェントが残ったままの場合、そのエージェントは管理サーバとの通信に失敗する可能性がございます。
ツールの利用方法
- Apex One,ウイルスバスターCorp. 管理サーバにCritical Patchを適用します。
- ツールを ここ からダウンロードし、管理サーバ上に配置します。
- zipファイルを展開して、展開先のフォルダ上で次のコマンドを実行します。
EAFCUA.exe 0 - 設定の適用のため数十秒以内にIIS アプリケーションプールの再起動が自動的に実行されます(OSのリブートは不要です)。これにより管理コンソールに一時的に接続できない状態が発生します。
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
ZDI-CAN-11633
ZDI-CAN-11638
ZDI-CAN-11639
ZDI-CAN-11640
ZDI-CAN-11642
ZDI-CAN-11691
ZDI-CAN-11685
ZDI-CAN-11635
ZDI-CAN-11606
ZDI-CAN-11745
ZDI-CAN-11737
ZDI-CAN-11595
ZDI-CAN-11749
ZDI-CAN-11746
ZDI-CAN-11841
ZDI-CAN-11895
ZDI-CAN-11896
更新情報
2021年 1月28日 公開
2021年 1月28日 「脆弱性の影響を受ける製品」の表にて CVE-2021-25236, CVE-2021-25238 の CVSS3.0スコア/深刻度 に誤りがあったため、修正をおこないました。
2021年 2月5日 補助ツールについての情報を追記いたしました。
2021年 2月9日 補助ツールの説明の、ステップ4.にリブートにより一時的に管理コンソールに接続できなくなることを追記しました。