ManageEngine Exchange Reporter Plus の脆弱性 CVE-2025-3835 が FIX：RCE の恐れ

ManageEngine Exchange Reporter Plus Vulnerability Enables Remote Code Execution

2025/06/10 gbhackers — 広く普及しているメールに関する監視／報告のソリューション ManageEngine Exchange Reporter Plus に、重大なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、標的サーバ上での任意のコマンド実行の可能性を手にする。この脆弱性 CVE-2025-3835 の影響が及ぶ範囲は、バージョン 5721 以下の全ビルドであり、また、2025年5月29日にリリースされた、緊急セキュリティ・アップデートにより修正されている。

この脆弱性は、FPT NightWolf のセキュリティ研究者 Ngockhanhc311 により発見されたものであり、影響を受けるソフトウェア・バージョンを使用している組織にとって、重大なセキュリティ・リスクとなる。

この脆弱性 CVE-2025-3835 は、メール・データの検索と分析において、ユーザー組織が常用するコンポーネントである、ManageEngine Exchange Reporter Plus のコンテンツ検索モジュールに存在する。

この脆弱性は、バージョン 5721 以下の全ビルドに存在し、企業環境に導入されているインスタンスの大部分に影響し、システム全体の侵害につながる可能性があるため、重大度の高い問題だと評価されている。

この脆弱性は、サイバー・セキュリティチーム FPT NightWolf に所属する、セキュリティ研究者 Ngockhanhc311 により、責任あるかたちで開示された。

ManageEngine の説明によると、この脆弱性の悪用シナリオは “rare” と指摘されているが、深刻度は “Critical” であり、攻撃が成功した場合には、影響を受ける組織に壊滅的な結果をもたらす可能性があると示唆される。

懸念されるのは、この脆弱性が、コンテンツ検索モジュール内に存在している点である。通常において、このコンポーネントは、ユーザー入力を処理し、データクエリを処理するため、悪意のコード挿入を試行する攻撃者にとって魅力的な標的となる。

Exchange Reporter Plus の脆弱性

脆弱性 CVE-2025-3835 の悪用により、リモート・コード実行が引き起こされる。それにより攻撃者は、Exchange Reporter Plus がインストールされているサーバ上で、任意のカスタム・コマンド実行の可能性を手にする。

このレベルのアクセスにより攻撃者は、侵害を受けたシステムを完全に制御できるようになり、機密データの窃取／追加のマルウェアのインストール／永続的なアクセスの確立などに加えて、ネットワーク・インフラ内の他のシステムへの侵入も可能にする。

Exchange Reporter Plus をメール監視およびコンプライアンス・レポートに使用している組織は、これらのシステムから、企業の機密性の高い通信や、メタデータへのアクセスが可能となるため、重大なリスクに直面する。

この脆弱性によりシステムの整合性が損なわれ、データ漏洩／法令遵守違反／業務中断などにつながる可能性がある。

Exchange Reporter Plus は、メール・インフラへの特権アクセスが可能な、エンタープライズ環境に導入されることが多いため、この脆弱性が悪用されると、攻撃者にラテラル・ムーブメントや権限昇格攻撃のための、貴重な足掛かりを与える可能性も生じる。

この脆弱性は、メール・セキュリティ・ソリューションや、企業向けソフトウェア・プラットフォームに影響を与える、サプライチェーンの脆弱性への監視が強化されている時期に発生した。

対策手順

すでに ManageEngine は、緊急セキュリティ更新プログラムとしてビルド 5722 をリリースし、脆弱性 CVE-2025-3835 に対処している。この修正プログラムは、2025年5月29日に公開されている。この脆弱性の重大性を考慮する ManageEngine が、すべてのユーザーに強く推奨するのは、更新プログラムの速やかな適用である。

ManageEngine の公式配布チャネルを通じて、最新のサービス・パックの入手が可能となっている。適切な導入を確実に行うため、提供されているインストール手順に従ってほしい。この修復プロセスでは、最新のサービス・パックをダウンロードし、ドキュメント化された手順にしたがい、それを既存の製品インストールに適用する。

システム管理者が検討すべきことは、このアップデートを優先し、パッチ適用が完了するまでの間は、Exchange Reporter Plus システムへのアクセスを一時的に制限することだ。パッチ適用前にセキュリティ侵害が発生していないことを確認するために、パッチ適用後のセキュリティ評価の実施も、セキュリティ・チームとしては検討する必要がある。

Exchange Reporter Plus の RCE 脆弱性 CVE-2025-3835 は、特権アクセスが求められるメール監視基盤に影響を与えるため、きわめて深刻なものと指摘されています。攻撃成功時の影響が広範であるため、速やかなパッチ適用が必須とのことです。ご利用のチームは、ご注意ください。よろしければ、ManageEngine で検索も、ご参照ください。