脆弱性の影響を受ける製品
| CVE番号 | 製品 | バージョン | CVSS3.0 スコア | 深刻度 |
|---|---|---|---|---|
| CVE-2021-25228, 25231, 25233, 25234, 25238~25240, 25242~25245 | Biz | 9.5, 10 SP1 | 5.3 | 中 |
| CVE-2021-25236, 25241 | 5.3 | 中 | ||
| CVE-2021-25246 | 6.5 | 中 | ||
| CVE-2021-25248 | Biz | 9.5, 10 SP1 | 2.5 | 低 |
| VBBSS | 6.7 | 2.5 | 低 | |
| CVE-2021-25249 | Biz | 9.5, 10 SP1 | 7.8 | 高 |
| VBBSS | 6.7 | 7.8 | 高 |
脆弱性の概要
CVE-2021-25228, 25231, 25233, 25234, 25238~25240, 25242~25245: 不適切なアクセス制御による情報漏洩の脆弱性
ウイルスバスタービジネスセキュリティにおける不適切なアクセス制御により、認証されていないユーザがサーバやエージェントに関する情報(hotx情報、ログ、ホスト名など)を取得できる可能性があります。この脆弱性のCVSスコアは、5.3で深刻度は中です。
CVE-2021-25236,25241: サーバサイドリクエストフォージェリ(SSRF)の情報公開の脆弱性
ウイルスバスタービジネスセキュリティのサーバ側リクエストフォージェリ情報開示脆弱性により、認証されていないユーザがコマンドスクリプトを作成して、オンラインのエージェントを探し出しサーバが通信可能なネットワークトポロジーを推察できる可能性があります。この脆弱性のCVSスコアは、5.3で深刻度は中です。
注意:この脆弱性を利用するには、管理エージェントのリスニングポートを知っている必要があります。
CVE-2021-25246: 不適切なアクセス制御による情報漏洩の脆弱性
ウイルスバスタービジネスセキュリティに不適切なアクセス制御情報開示の脆弱性が存在し、認証されていないユーザが管理サーバ上に偽のエージェントを作成し、有効なクエリを実行できる可能性がありました。この脆弱性のCVSスコアは、6.5で深刻度は中です。
CVE-2021-25248: 領域外メモリ参照の脆弱性
ウイルスバスタービジネスセキュリティ、ウイルスバスタービジネスセキュリティサービスには、境界外の読み取り情報開示の脆弱性があり、名前付きパイプに関する情報を開示される可能性があります。この脆弱性のCVSスコアは、2.5で深刻度は低です。
注意:この脆弱性を利用するには、対象のシステム上で低い権限でコードを実行できる必要があります。
CVE-2021-25249: 境界外メモリ書き込みによる権限昇格の脆弱性
ウイルスバスタービジネスセキュリティ、ウイルスバスタービジネスセキュリティサービスには、境界外メモリ書き込みにより権限昇格できる脆弱性があり、インストール時にローカルの攻撃者が権限を昇格させてしまう可能性があります。この脆弱性のCVSスコアは、7.8で深刻度は高です。
注意:この脆弱性を利用するには、対象のシステム上で低い権限でコードを実行できる必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Biz | 10 SP1 | Patch 2274 | Readme |
| Biz | 9.5 | Biz 10.0 SP1 Patch 2274へのアップグレード | - |
| VBBSS | 6.7.1500 | 1/25 メンテナンスで修正済み | - |
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
ZDI-CAN-11594
ZDI-CAN-11595
ZDI-CAN-11607
ZDI-CAN-11633
ZDI-CAN-11640
ZDI-CAN-11685
ZDI-CAN-11691
ZDI-CAN-11737
ZDI-CAN-11745
ZDI-CAN-11746
ZDI-CAN-11749
ZDI-CAN-11760
ZDI-CAN-11765
ZDI-CAN-11841
ZDI-CAN-11895
ZDI-CAN-11896
更新情報
1月28日 公開