Symantec Endpoint Management Suite Vulnerability Allows Malicious Code Execution Remotely
2025/07/15 CyberSecurityNews — Broadcom が提供する Symantec Endpoint Management Suite に発見された、認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2025-5333 により、企業 IT インフラに深刻なリスクが生じている。この脆弱性の CVSS v4.0 スコアは 9.5 (Critical) と評価されており、広く使用されているエンドポイント管理ソリューションの複数バージョンに影響を及ぼす。セキュリティ専門家たちが強く推奨するのは、速やかな対策の実施である。
概要
- CVE-2025-5333 (CVSS 9.5) は、ポート 4011 を経由する認証不要のリモート・コード実行の脆弱性であり、Symantec Endpoint Management Suite 8.6.x~8.8 に影響を及ぼす。
- Altiris IRM コンポーネントにおける .NET オブジェクトの、安全が確保されないデシリアライズを悪用する攻撃者は、細工されたペイロードの送信により、任意のコード実行を達成するという。
- 通常の動作においてポート 4011 は不要であるため、ファイアウォールによるブロックが効果的な緩和策だと、Broadcom は指摘している。
- この脆弱性は 2025年5月に発見され、Broadcom PSIRT により確認されたものだ。今後のリリースでは、このエンドポイントのアクセスが、localhost のみに制限される予定だとされる。
RCE 脆弱性の技術的詳細
この脆弱性は、Altiris Inventory Rule Management (IRM) コンポーネントに存在し、”tcp://<host>:4011/IRM/HostedService” で公開されている、レガシー .NET Remoting エンドポイントの、標的化に悪用され得るという。
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
この CVSS ベクターが示すのは、脆弱性 CVE-2025-5333 のネットワーク経由での悪用が可能であり、ユーザーによる認証や操作が不要なことだ、影響を受ける製品バージョンには、Symantec Endpoint Management Suite 8.6.x/8.7.x/8.8 が含まれる。
TypeFilterLevel が Full に設定された BinaryServerFormatterSinkProvider による、安全が確保されないデシリアライズに、この脆弱性は起因する。この設定により、.NET オブジェクトのデシリアライズに対する制限が解除され、悪意の .NET オブジェクトを作成する攻撃者に対して、標的サーバ上で任意のコード実行が許されてしまう。
LRQA のセキュリティ研究者たちは、強化されたエンドポイントで公開されている脆弱なプロセスを、レッドチームによる評価で発見した後に、この欠陥を特定した。PowerShell による列挙コマンドを用いて、ポート 4011 が “0.0.0.0” にバインドされていることを特定し、グローバル・ネットワークからのアクセス可能であることを突き止めた。
さらに、DnSpy を用いた解析により RemotingConfiguration.RegisterWellKnownServiceType が確認され、レガシーな .NET Remoting 実装の使用が明らかとなった。また、James Forshaw の ExploitRemotingService ツールを使用する研究者たちは、以下のコマンドを介して、リモート・コード実行の実証に成功した:
ExploitRemotingService.exe –uselease tcp://<target>:4011/IRM/HostedService ls C:\
| Risk Factors | Details |
| Affected Products | Broadcom Symantec Endpoint Management Suite (Altiris) 8.6.x, 8.7.x, 8.8 |
| Impact | Unauthenticated Remote Code Execution (RCE) |
| Exploit Prerequisites | – Network access to target system- Port 4011 accessible- No authentication required- No user interaction needed |
| CVSS v4.0 Score | 9.5 (CRITICAL) |
緩和策と Broadcom の対応
Broadcom の PSIRT チームは、この協調的な情報開示に迅速に対応し、通常の動作においてポート 4011 が不要であることを公式に表明した。
現時点における主な緩和策は、以下のとおりである:
- Notification Servers のポート 4011 をファイアウォールでブロックし、リモートからの悪用を防止する。
- IRM_HostedServiceUrl のコア設定値を空にして、Altiris Inventory Rule Management Service を再起動する。
上記の緩和策に加えて、今後のリリースで Broadcom が計画するのは、.NET Remoting エンドポイントへのアクセスを localhost のみに制限することだ。
影響を受けるバージョンを使用している、すべての組織に対して強く推奨されるのは、ファイアウォール・コンフィグを直ちに確認し、推奨されるセキュリティ対策を実施することである。
Symantec Endpoint Management Suite の脆弱性 CVE-2025-5333 は、認証を必要としない攻撃者に対して、リモート・コード実行を許してしまう深刻なものです。.NET Remoting のためのレガシー仕様により、普段は使われないポート 4011 が狙われるため、ファイアウォールによるブロックが不可欠だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Symantec で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.