バグハンターがリモートから悪用可能なセキュリティ上の脆弱性を 4 つ発見したことを受け、バックアップとアーカイブの管理に Arcserve Unified Data Protection を実行している企業に対してソフトウェアの更新を勧めています。
Digital Defenseの研究者らは今月、フィッシング攻撃や悪意のあるWebページを介して悪用された場合、攻撃者がWebサービスコンポーネントを介して認証情報を盗み出したり、UDPデータアーカイブおよび回復システムに保存されているデータにアクセスしたりできる4つの脆弱性を特定した。
Digital Defense チームによると、このバグバンドルは、2 つの異なる情報漏洩の脆弱性 (1 つは /gateway/services/EdgeServiceImpl 内、もう 1 つは /UDPUpdates/Config/FullUpdateSettings.xml 経由)、クロスサイトスクリプティングの脆弱性 (/authenticationendpoint/domain.jsp 内)、および /management/UdpHttpService 経由でデータ漏洩を引き起こす可能性のある XML 外部エンティティの脆弱性で構成されているとのことです。
F5: 慌てる必要はありませんが、libssh の認証情報不要の「セキュリティ」機能のおかげで、脆弱なファイアウォールサーバーをすり抜けられる可能性があります
続きを読む
「この脆弱性により、認証情報へのアクセス、フィッシング攻撃、ハッカーがホスティングシステムから認証なしでファイルを読み取る能力を通じて、機密データが侵害される可能性がある」とデジタルディフェンスは説明した。
これらの脆弱性は、管理者がバックアップアーカイブにアクセスして管理するために使用する2つのツールであるUDPコンソールとUDPゲートウェイのWebサービスコンポーネントにのみ存在します。UDPリカバリポイントサーバーおよびUDPエージェントソフトウェアを実行しているマシンは影響を受けません。
Arcserveの顧客にとって幸いなことに、Digital Defenseはこの脆弱性を非公開で公開しており、Arcserveはすでにパッチを公開しています。UDP 6.5 Update 4およびUpdate 3をご利用の場合は、Arcserveから直接修正プログラムをダウンロードできますが、スタンドアロンゲートウェイでUDPをご利用の場合は、引き続き手動でパッチをインストールする必要があります。®
