トレンドマイクロは10月28日、法人向けのセキュリティ対策製品「ウイルスバスター コーポレートエディション」にディレクトリトラバーサルの脆弱性が存在し、この脆弱性を悪用するサイバー攻撃を確認したと発表した。
同社によると今回の脆弱性「CVE-2019-18187」は、ウイルスバスター コーポレートエディション 11.0とXG、XG SP1に影響する。攻撃者は、この脆弱性を悪用して該当製品のサーバーに任意のzip形式のファイルをアップロードし、このファイルをサーバー上の特定フォルダの配下に展開できる。これにより、管理コンソールで使用しているウェブサービスのアカウントで任意コードを実行できるようになるという。
なお同社は、このアカウント権限がウェブプラットフォームに依存しているため、権限が限定的である場合があるほか、攻撃者が脆弱性を悪用する上で、事前に管理コンソールへのユーザー認証の情報を把握していることが前提になると説明。さらには、通常は管理サーバーが外部に公開されていないことから、攻撃者が前もって標的とする組織の内部ネットワークに侵入した上で、管理サーバーにアクセスできるクライアント端末を操作できることも条件だとし、攻撃者が外部から遠隔で直接的に該当製品のサーバーにあるファイルを変更できるものではないとしている。
同社は該当製品に対応する修正パッチを提供済みで、ユーザーに早期の適用を呼び掛けた。また、影響を受ける製品のうちウイルスバスター コーポレートエディション 11.0は11月27日で無償サポートが終了するとし、後継製品への移行も検討するよう呼び掛けている。
