公開日:2022年4月22日
最終更新日:2023年2月2日
概要
AssetView のサーバー通信モジュールに認証の欠如の脆弱性が存在することが判明しました。
この脆弱性を悪用された場合、サーバーへの偽装した通信による攻撃で、サーバーに接続されるクライアント端末に対して任意のコードを実行される可能性があります。
これらの問題の影響を受ける AssetView のバージョンを以下に示しますので、対策方法をご覧いただき、セキュリティ対策の適用をお願いいたします。
該当製品の確認方法
影響を受ける製品は以下の製品です。
製品名称: AssetView
※AssetView CLOUDは弊社にて対策を実施のため対象外です。
対象モジュール:アプリケーションサーバー
※管理コンソール、データベースサーバー、クライアントは対象外です。
該当バージョン:AssetView Ver.13.2.0未満
※Ver.11.0.0より前のバージョンは、保守期間が終了しており対策は提供されません。
Ver.11.0.0以上のバージョンにアップデートしてから対策を実施してください。
ご利用中のAssetViewのバージョンが不明な場合は、管理コンソールの『ヘルプ』からバージョン情報をご確認ください。
AssetView Ver.13.2.1(2023年1月30日リリース)以上のバージョンでは、本脆弱性が対策適応済みとなります。
脆弱性の説明
AssetViewは、サーバーに接続されるクライアント端末に対して、クライアント端末のソフトウェア更新を指示する機能を搭載しています。
サーバーの通信モジュールに認証の欠如の脆弱性が存在するため、外部の第三者からの偽装した通信により、任意のコードの実行をともなうクライアント端末のソフトウェア更新の指示を実行される脆弱性が存在します。
脆弱性がもたらす脅威
この脆弱性をついた攻撃が成功すると、悪意のある第三者によってサーバーに接続されるクライアント端末に対してクライアント端末上の管理者権限で任意のコードを実行される可能性があります。
対策方法
保守契約ユーザー様専用Webサイト(要ログイン)の「AssetView サーバー通信モジュール Hotfix(JVN#54857505)」にアクセスいただき、必要なパッチとマニュアルのファイルをダウンロードしていただきます。
※ログインには、ユーザーIDとパスワードが必要です。
ご入手いただいたマニュアルに従って、以下の対策を実施ください。
・「AssetView サーバー通信モジュール Hotfix」パッチのインストール
・「AssetView 通信セキュリティ強化(SSL化)」による通信セキュリティ強化の設定
回避策
この脆弱性を緩和する要素、回避策はございません。対策方法の実施をお願い申し上げます。
謝辞
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPAに報告し、JPCERT/CC が開発者との調整を行いました。
報告者:GMOサイバーセキュリティ byイエラエ デニス ファウストヴ ⽒、ルスラン サイフィエフ ⽒
更新履歴
2023.2.2 脆弱性の対応適用済みバージョンの情報を追加しました。
2022.4.22 この脆弱性情報ページを公開しました。
連絡先
【保守契約ユーザー様のお問い合わせ】
AssetView サポートグループ
電話:0120-994577(平日9:00~12:00、13:00~17:00 弊社休業日を除く)
海外・携帯電話・PHSからは 03-5291-6137
【保守契約が終了しているユーザー様のお問い合わせ】
EC営業部
電話:0120-922786(平日9:00~12:00、13:00~17:00 弊社休業日を除く)
海外・携帯電話・PHSからは 03-5291-6121
JVN#54857505 : AssetView サーバー通信モジュールの脆弱性
『JVN#54857505 : AssetView サーバー通信モジュールの脆弱性』のページです。 IT資産管理、ログ管理などのIT統合管理ソフトウェア『AssetView』はPCのセキュリティ対策や情報漏洩対策を強化し、業務効率化やPCのライフサイクル管理を支援します。 IT管理スタイルの数だけ、変幻自在。必要な機能やサービスをオーダーメイド感覚でご提供します。 多彩な機能から必要なもののみを選んで導入することができ、それぞれが安価なためコスト削減を実現します。