CISA Issues Alert on Active Exploitation of FileZen Vulnerability
2026/02/25 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、実環境でのアクティブな悪用の証拠を受けて、新たな脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。この OS コマンド・インジェクションの脆弱性 CVE-2026-25108 は、日本企業 Soliton Systems K.K. が開発したファイル共有/データ転送製品 FileZen に影響を及ぼすものだ。
この種の脆弱性を悪用する攻撃者は、対象システム上での任意の OS コマンド注入/実行を可能にし、その結果としてシステム全体の侵害が引き起こされる可能性がある。
OS コマンド・インジェクションの脆弱性は、エンタープライズ・ネットワークへの初期アクセス・ベクターとして頻繁に悪用されるものであり、高深刻度の脅威と見なされている。
| CVE ID | CVSS Score | Description |
|---|---|---|
| CVE-2026-25108 | N/A | Soliton Systems K.K. FileZen OS Command Injection Vulnerability |
CISA の KEV カタログは、すべての Federal Civilian Executive Branch (FCEB) 機関に対して、掲載された脆弱性を指定期限内に是正することを義務付けるものだ。
この指令の目的は、悪用済みの既知の脆弱性が、連邦ネットワークにもたらす重大なリスクを低減することにある。指定期間内にパッチを適用しない機関は、これらの脆弱性を狙うアクティブな脅威アクターに対して無防備な状態に置かれるため、BOD 22-01 による法的な拘束力が行使される。
その一方で CISA は、民間/公共のすべての組織に対して、KEV カタログに掲載された項目を、最優先の是正対象として扱うよう強く推奨している。アクティブに悪用されている脆弱性への迅速なパッチ適用は、サイバー攻撃に対する最も効果的な防御策の一つである。
FileZen を使用している組織は、直ちに CISA の KEV カタログを確認し、Soliton Systems K.K. が提供するパッチまたは緩和策を適用すべきである。その上で、未承認のコマンド実行によるアクティビティを中心に、侵害の兆候に対してシステム監査を実施すべきである。
KEV カタログの掲載項目を、日常的な脆弱性管理ワークフローに組み込むことが強く推奨される。
日本の Soliton Systems が開発するファイル共有ソリューション FileZen に、OS コマンド・インジェクションの脆弱性 CVE-2026-25108 が発見され、米国の CISA によりKEV カタログに登録されました。この脆弱性は、システムが外部からの入力を適切に処理せず、そのままオペレーティングシステムへの命令として実行してしまうという不備に起因します。攻撃者は、Webインターフェイスなどを通じて特定の入力を送り込むだけで、管理者権限で任意のコマンドを実行できるため、データの窃取やネットワーク内へのさらなる侵入といった、組織の根幹を揺るがす被害に直結する恐れがあります。ご利用のチームは、ご注意ください。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.