独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月1日、IT 資産管理ツール「SS1」および「らくらくPCクラウド」における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエのデニス ファウストヴ氏、ルスラン サイフィエフ氏が報告を行っている。影響を受けるシステムは以下の通り。
SS1 Ver.13.0.0.40 およびそれ以前
らくらくPCクラウド エージェント Ver.2.1.8 およびそれ以前
株式会社ディー・オー・エスが提供するIT 資産管理ソフト「SS1」、クラウド型 PC 資産管理サービス「らくらくPCクラウド」のエージェントには、遠隔の第三者によって下記の影響を受ける可能性がある複数の脆弱性が存在する。
・不適切なアクセス制御(CVE-2023-22335)
→当該製品が動作するディレクトリ内の任意のファイルをダウンロードされる
・パストラバーサル(CVE-2023-22336)
→細工されたファイルを任意のディレクトリにアップロードされる
・ハードコードされたパスワードの使用(CVE-2023-22344)
→デバッグツールのパスワードを窃取され、デバッグツールを実行される
また3つの脆弱性を組み合わせると、遠隔の第三者によって細工されたスクリプトを送信され、SYSTEM権限で任意のコードを実行される可能性がある。
JVNでは、開発者が提供する情報をもとに、最新版にアップデートするよう呼びかけている。なお「らくらくPCクラウド」のエージェントは、端末起動時に自動的にパッチが適用される。
