PoCs for critical Arcserve UDP vulnerabilities released
2023/11/29 HelpNetSecurity — Arcserve の Unified Data Protection (UDP) ソリューションに存在する、深刻な脆弱性 CVE-2023-41998/CVE-2023-41999/CVE-2023-42000 が修正された。Arcserve UDP は、エンタープライズにおけるデータ保護/バックアップ/ディザスタ・リカバリ・ソリューションとして普及し、ランサムウェア攻撃に対する耐性も向上させるものだ。
1つ目の脆弱性 CVE-2023-41998 は、同ソリューションのcom.ca.arcflash.rps.webservice.RPSService4CPMImpl インターフェースに存在するものである。その悪用に成功した未認証のリモートの攻撃者が、同インターフェース内の downloadAndInstallPath() ルーチンを介して、リモートから任意のファイル (およびコード) をアップロードし、実行する可能性がある。
Tenable の研究者たちは、「このメソッドを脅威アクターがトリガーすると、攻撃者が管理する URL から、ZIP ファイルをサービス内にダウンロードさせることができる。その後に、ZIP ファイルは解凍され、ZIP ファイルと同じファイル名の解凍された EXE ファイル (foo.zip に zip 圧縮された foo.exe) が実行さ れる」と説明している。
2つ目の脆弱性 CVE-2023-41999 は、ソリューションの管理コンソールに存在するものであり、悪用に成功した未認証のリモートの攻撃者に対して、有効な認証 UUID の取得とコンソールへのログインを許す可能性がある。
Tenable の研究者たちは「認証を通過した攻撃者たちは、通常では認証が必要なアクションを実行できるようになる。たとえば、管理者アカウントの認証情報の取得も可能になる」と指摘している。
3つ目の脆弱性 CVE-2023-42000 は、パス・トラバーサルを引き起こすものである。UDP エージェントがインストールされているファイル・システム上の任意の場所に、悪用に成功した未認証のリモートの攻撃者が、任意のファイルをアップロードする可能性がある。
これらの脆弱性は、Arcserve UDP の v9.2 以前のバージョンに影響する。
修正プログラム
これらの脆弱性は、Tenable の研究者たちにより発見され、2023年8月下旬に Arcserve に非公開で報告された。
Arcserve は、「Arcserve UDP 9.2 への早急なアップグレードを強く推奨する。ビルトインの自動更新機能または、9.2 RTM ビルドのダウンロード/展開が可能だ」と述べている。
なお、Arcserve UDP の旧バージョン (サポート対象) である 9.1/8.1/7.0 Update 2用の手動パッチも提供されている。ただし、各ノードで個別に実行する必要がある。
この記事で指摘されている3件の脆弱性ですが、お隣のキュレーション・チームに聞いてみたら、12月1日付でレポートしているとのことでした。また、Arcserve の Unified Data Protection を検索してみたら、NEC や NetWorld などから国内市場へ向けて提要されていることが分かりました。ご利用のチームは、お気をつけください。
IoT OT Security News 
You must be logged in to post a comment.