Progress OpenEdge AdminServer Vulnerability Let Attackers Execute Remote Code
2025/09/08 CyberSecurityNews — ビジネス・アプリケーションの開発およびデプロイメントのプラットフォームである、Progress OpenEdge に発見された深刻なセキュリティ脆弱性は、複数のバージョンに影響を及ぼすものだ。この脆弱性 CVE-2025-7388 を悪用する攻撃者は、リモートコード実行 (RCE) を引き起こし、昇格したシステム権限で任意のコマンドを実行する可能性を手にする。
この脆弱性は、OpenEdge の AdminServer コンポーネントでリモート管理タスクに使用される、Java Remote Method Invocation (RMI) インターフェイスに存在する。
Progress のセキュリティ通知によると、この脆弱性を悪用する認証済みの低権限のユーザーが、コンフィグレーション・プロパティを操作する可能性が生じるという。それにより、”workDir” パラメータを介した OS コマンド・インジェクションが発生する可能性がある。
このコマンド・インジェクションにより、攻撃者は AdminServer プロセスの高レベルの権限を取得する。多くの場合において、この AdminServer プロセスは、Windows システムの NT AUTHORITY/SYSTEM として実行される。
Progress OpenEdge AdminServer の脆弱性
すでに Progress は、OpenEdge の Long-Term Support (LTS) アップデート 12.2.18/12.8.9 でパッチをリリースし、この脆弱性に対処している。
このリリースには、2つの主要な変更が含まれる。1つ目は、コマンド・インジェクションを防止するために、”workDir” パラメータの値を二重引用符で囲むサニタイズ処理である。2つ目は、攻撃対象領域を縮小するために、リモート RMI 機能をデフォルトで無効化することである。
この脆弱性 CVE-2025-7388 の影響を受けるのは、OpenEdge LTS リリース 12.2.17/12.8.8 以下である。パッチ未適用のシステムは脆弱であるため、攻撃者によるシステム全体への侵害の可能性があり、深刻なリスクにさらされている。
なお、バージョン 12.2.18/12.8.9 によるパッチを適用すると、リモート RMI はデフォルトで無効化される。したがって、この機能をリモート操作に使用していた管理者に問題が生じる。
このリモート RMI を再び有効化することは可能だが、セキュリティ・リスクが再び発生する可能性があるため、ユーザー自身の責任において使用するよう、Progress は警告している。
このアップデートを、速やかに適用できない組織のために、一時的な緩和策が推奨される。
その内容は、ファイアウォールを用いた AdminServer RMI ポート (デフォルト 20931) へのネットワーク・アクセスの制限/AdminServer プロセスの低権限での実行/使用されていない AdminServer プラグインの削除などにより、潜在的な攻撃ベクターを最小限に抑えることである。
ただし、これらの対策は、短期的な緩和策として捉えるべきだ。すべての顧客に対して Progress が強く推奨するのは、修正プログラムを適用したバージョンへのアップグレードにより、この脆弱性を完全に修正することだ。
なお、サポートが終了した OpenEdge バージョンを利用している顧客は、サポート対象のリリースへとアップグレードした上で、修正プログラムを受け取る必要がある。
Progress OpenEdge の AdminServer コンポーネントにある、RMI インターフェイスに脆弱性が発見されました。この問題の原因は、”workDir” パラメータの不適切なサニタイズにあり、それが悪用されると、OS コマンド・インジェクションに至ってしまいます。その結果として、攻撃者は管理プロセスと同等の高い権限を得てしまい、システム全体が危険にさらされると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Progress で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.