#1011 FileZen に OSコマンドインジェクションの脆弱性、悪用した攻撃を確認済み

今回取り上げるニュースは、企業でのファイル転送に広く利用されているアプライアンス製品「FileZen」に関する緊急性の高い情報です。製品に重大な脆弱性が発見され、すでにそれを悪用した攻撃も確認されています。このニュースを通じて、特定の機能に潜むリスクや、ログイン権限を持つユーザーからの攻撃可能性、そしてベンダーから提供される修正パッチを迅速に適用することの重要性について、しっかりと理解を深めていきましょう。

今回のニュースは、株式会社ソリトンシステムズが提供するファイル転送アプライアンス「FileZen」に、外部から不正な操作が可能になる深刻な脆弱性が見つかったというものです。具体的には「OSコマンドインジェクション」と呼ばれる脆弱性で、影響を受けるのはバージョン5.0.0から5.0.10、および4.2.1から4.2.8までの製品です。特に注意が必要なのは、ウイルスチェックオプションが有効な場合に影響を受ける点と、開発者が既にこの脆弱性を悪用した攻撃を確認しているという事実です。攻撃者はログイン可能なユーザー権限を利用して、任意のOSコマンドを実行できる可能性があります。

これはウェブサイトやサーバーへの入力データとして、本来想定されていないOSへの命令文、つまりコマンドを紛れ込ませる攻撃手法です。例えば、ファイル名を入力する欄に、システムを操作する特殊な文字列を混ぜて送信します。もしプログラム側のチェックが不十分だと、そのコマンドがサーバー内部でそのまま実行されてしまいます。これにより、サーバー内の重要なファイルを盗み見たり、データを改ざんしたり、最悪の場合はサーバー自体を乗っ取って踏み台にしたりすることが可能になる、非常に危険な脆弱性です。

発表によりますと、FileZenの「ウイルスチェックオプション」という機能が有効になっている場合に、この脆弱性の影響を受けるとされています。このオプションは、アップロードされたファイルにウイルスが含まれていないかを自動で検査するセキュリティ機能ですが、皮肉なことにその処理の一部に隙があったようです。ただし、このオプションを無効にして運用している場合でも、念のため使用中のバージョンを確認し、該当するバージョンであればアップデートを検討することが推奨されます。

今回の脆弱性は、製品にログインしているユーザーによって悪用される可能性があるとされています。つまり、外部の全く無関係な第三者がいきなり攻撃できるわけではなく、正規のIDとパスワードを持った利用者、あるいは何らかの方法でアカウント情報を盗み出した攻撃者が、ログイン後の画面から攻撃を仕掛けるシナリオが想定されます。そのため、外部からの侵入対策だけでなく、内部のアカウント管理や、不審なログがないかの監視も重要になってきます。

開発元のソリトンシステムズから、この脆弱性を修正したファームウェア「FileZen V5.0.11」がリリースされていますので、早急にアップデートを行ってください。すでに実際の攻撃が観測されているため、悠長に構えている時間はありません。社内の検証環境で動作確認を急ぎ、メンテナンス時間を確保して、本番環境へ適用する必要があります。JVNや開発者の公式サイトで詳細な手順が公開されていますので、そちらを参照しながら作業を進めることが大切です。

やはり利用しているソフトウェアやハードウェアの脆弱性情報を、日頃から能動的に収集する姿勢が不可欠です。JVNのような情報サイトや、ベンダーからのメール通知をこまめにチェックしましょう。また、今回のように「悪用確認済み」という緊急情報が出た際には、通常の運用ルールを特例で変更してでも、即座にアップデート対応ができるような体制を整えておくことが、組織を守るための最大のリスク低減策になります。