#988 EATON UPS Companion に複数の脆弱性

サーバーやPCの電源を守るための装置、UPSをご存知でしょうか。今日はそのUPSを管理するためのソフトウェアに見つかった、深刻な脆弱性について取り上げます。こういったバックグラウンドで動くツールは、一度設定すると放置されがちですが、そこがセキュリティの落とし穴になることがあります。今回の解説を通じて、ソフトウェアのインストールパスに関する脆弱性の仕組みや、権限昇格のリスクについて理解を深めていただき、自社の管理体制を見直すきっかけにしていただければと思います。

今回のニュースは、Eaton社が提供している電源管理ソフト「EATON UPS Companion」に、セキュリティ上の弱点が見つかったというものです。具体的には、バージョン3.0より前の古いソフトを使っている場合、悪意のある第三者によって、PC上で勝手にプログラムを実行されてしまう危険性があります。原因は大きく分けて2つありまして、一つはインストーラがファイルを読み込む際の確認不足、もう一つはプログラムの保存場所を示すパスの記述に不備がある点です。これにより、本来は強い権限を持っていないユーザーであっても、システム全体を操作できる強い権限、いわゆるSYSTEM権限を奪取できてしまう可能性があります。JVNでは、開発者が提供する修正済みの最新版へアップデートするよう強く推奨しています。

まずUPSというのは「無停電電源装置」のことで、停電時にサーバーやPCを急に落とさないためのバッテリー装置です。このソフトは、PCとUPSをUSBケーブルなどでつなぎ、バッテリーの残量を監視したり、停電が長引いたときにPCを安全にシャットダウンさせたりするための管理ツールです。普段は画面の裏側で静かに動いているものですが、システムを安全に停止させるという重要な役割を担っています。

これはWindows特有の挙動を悪用されるものです。例えば、プログラムが「CドライブのProgram Files」というフォルダにあるとします。このパスの中に空白スペースが含まれているとき、正しく引用符、つまりダブルクォーテーションで囲っていないと、Windowsはスペースの前の「Program」という名前の実行ファイルを先に探してしまうことがあるんです。もし攻撃者がCドライブの直下に「Program.exe」というウイルスを置いておくと、本物のソフトの代わりにそのウイルスが実行されてしまいます。

ここが一番の問題点なのですが、この種の管理ソフトはPCをシャットダウンさせる必要があるため、Windowsの中で最も権限が強い「SYSTEM権限」で動いていることが多いのです。そのため、脆弱性を突かれて実行されたウイルスも、同じSYSTEM権限を持ってしまいます。こうなると、攻撃者はそのPC内のあらゆるデータを盗んだり、破壊したり、あるいはそのPCを踏み台にして社内ネットワークの他のサーバーへ攻撃を広げたりと、何でもできてしまう状態になります。

今回はメーカー自身ではなく、GMOサイバーセキュリティ byイエラエ株式会社のセキュリティ研究者である松本一真氏が発見し、報告を行いました。このように外部の専門家が脆弱性を見つけ、IPAなどの公的機関を通じてメーカーに伝え、対策が整ってから公表するという流れを「責任ある開示」と呼びます。この仕組みがあるおかげで、悪用される前に修正版を用意することができ、ユーザーの安全が守られているという背景があります。

対策は非常に明確で、EATON UPS Companionを最新のバージョン3.0以降にアップデートすることです。また、この脆弱性に限らず、Cドライブの直下など重要な場所に、一般ユーザーが勝手にファイルを書き込めないように権限設定を見直すことも、リスク低減策として有効です。UPSの管理ソフトは一度導入すると忘れられがちですので、この機会に社内のサーバーや管理用PCに古いバージョンが残っていないか、棚卸しをして確認することをお勧めします。