脆弱性の影響を受ける製品/コンポーネント/ツール

※Deep Security Agent は Cloud One - Endpoint and Workload Security および Vision One - Server & Workload Protection のAgentとしても使用されるためこれらの環境も影響を受けます。
※Deep Security Virtual Appliance (DSVA) 自体には影響はございません。
※DSVAによって保護されるWindows仮想マシンに導入されたDeep Security Notifier 20.0.0-8438未満のバージョンは影響を受けません。

脆弱性の概要

Trend Micro Deep Security Agent（Windows版、以下「Windows版DSA」と記載）および Deep Security Notifier において次の脆弱性の存在が確認されました。

CVE-2024-51503：手動検索コマンドインジェクション脆弱性によるリモートコード実行の脆弱性
ZDI-CAN-25215
(CVSSv3: 8.0: AV:A/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H)
Weakness: CWE-78: OSコマンドインジェクション
Windows版DSAの手動検索コマンドインジェクション脆弱性により、ローカルにアクセスした攻撃者が、権限を昇格し、任意のコードを実行できる可能性があります。
また、特定の状況下では、ドメインアクセス権を持つ攻撃者が、同じドメイン内の他のマシンにリモートでコマンドインジェクションを実行できる可能性があります。

注意: この脆弱性の悪用には、対象のシステム上で低い権限のコードを実行できる必要があります。また、他のマシンに影響を与えるにはドメインユーザ権限を持っている必要があります。

対処方法

※DSVA保護環境上のWindows向けの独立したNotifierパッケージについては20.0.1以降のバージョンはリリースされません。
　本脆弱性の対処としては Deep Security Notifier 20.0.0-8438 未満のビルドを使用するか、フルパッケージであるDeep Security Agent 20.0を導入することを検討してください。
　詳細については以下の製品Q&Aをご参照ください。
　Deep Security Agent 20.0 バージョン表記の改訂と制限事項
　->DSVAでWindows仮想マシンを保護している場合に使用するNotifierのインストールパッケージ
※上記ビルド情報は、本アラート/アドバイザリに記載されている脆弱性を修正する最小のビルド番号です。
※最新ビルドを利用いただくことを強く推奨します。
※DSA 20.0のバージョン表記について以下の製品Q&Aもご参考としてください。
　Deep Security Agent 20.0 バージョン表記の改訂と制限事項

軽減要素

この脆弱性を使用した攻撃を行うには攻撃者が対象システムにリモートまたは物理的にアクセスしログインできる必要があります。
攻撃に必要な不審なサーバアクセスは適切なアクセス管理を行う、もしくはファイアウォール機能、Webレピュテーション機能や侵入防御機能を使用したネットワークアクセスを使用した攻撃を防ぐ機能で軽減できます。
対象サーバにおいて、不審なユーザからリモートまたは物理的なアクセスがされないよう十分な対策を取られていることを確認してください。

なお、「対処方法」に記載されている内容は、掲載された脆弱性の対応に必要となる公表時点でのバージョン、ビルド番号です。
より新しいバージョン、ビルドが公開されている場合は、最新のものを適用してください。
弊社では、広く最新の脅威に対応するために、常に最新のバージョンの製品をご利用いただくことを推奨しています。
古いバージョンをお使いのお客様は定期的なメンテナンスなどで新しいバージョンへのアップグレードをご検討ください。

参照情報

CVE-2024-51503
ZDI-CAN-25215