[至急]Proselfの脆弱性(CVE-2023-39415、CVE-2023-39416)による攻撃発生について(更新)

2023/07/20
2023/07/24 更新
2023/07/26 更新(軽微な文面調整)
2023/07/28 更新
2023/08/03 更新
2023/08/14 更新
2023/08/17 更新
2023/08/24 更新

本脆弱性に対しCVE番号が割り当てられましたため、お知らせの件名、内容を更新いたしました。

本脆弱性に対応したProself Ver5.62を2023/07/28に、Proself Gateway Edition Ver1.65を2023/08/14に、Proself Mail Sanitize Edition Ver1.08を2023/08/17にリリースいたしました。

アップデート手順につきましては以下URLで公開しているチュートリアルに記載しておりますので、ダウンロードの上ご確認ください。
https://www.proself.jp/manualtutorial/list/#version5
※Proself Ver.5 > 操作チュートリアルアップデート > 操作チュートリアルアップデート管理者編 が該当いたします。

平素はProselfをご利用いただき、誠にありがとうございます。

弊社製品であるProselfにおきまして、管理者権限での認証バイパス(CVE-2023-39415)及びOSコマンドインジェクション(CVE-2023-39416)のゼロディ脆弱性が発見されました。本脆弱性は以下のバージョンに含まれております。
  • Proself Ver5.61以下
  • Proself Gateway Edition Ver1.62以下
  • Proself Mail Sanitize Edition Ver1.07以下

既に本脆弱性が悪用されていることを確認しておりますため、Proselfをご利用のお客様につきましては大変お手数ではございますが以下についてご確認をお願いいたします。

なお、<ご確認いただきたい点>のどちらかまたは両方に該当する場合は影響有無の確認等を弊社で行いたく存じますので、大変恐れ入りますが「info@proself.jp」までご連絡いただくか、以下よりお問い合わせくださいますようお願いいたします。

<ご確認いただきたい点>
◆過去に脆弱性の悪用による攻撃を受けたかどうか
Proselfインストールフォルダ/logs配下にあるproself_error.log、及びproself_error.logYYYY-MM-DDに以下出力が記録されていないかをご確認ください。
※YYYY-MM-DDは「2023/07/24」等の年月日となります。
※Proselfインストールフォルダのパスにつきましては、以下FAQに記載している手順で確認できます。
https://www.proself.jp/support/faq433/

ExternalGetDownloadHistoryLogic - parameter is null.

本出力が記録されている場合は脆弱性の悪用による攻撃を受けた可能性が高いです。

◆現在脆弱性が悪用された攻撃を受ける状態かどうか
管理者権限での認証がバイパスされ、Proself管理画面 > システム設定 > システム > ウイルススキャン設定が以下内容で書き換えられていることが判明しております。

  • 「使用する」が"ON"
  • 「ウイルススキャンのコマンドライン」が未設定であったにも関わらず設定がされている、または元々設定していた内容と異なる内容が設定されている

ウイルススキャンと関係のないコマンドが設定されている場合は攻撃によって設定が書き換えらえている可能性が高いです。設定が書き換えられていた場合は「curl」「ping」等から始まる内容で設定されていることを確認しております。

上記に該当している場合、ファイルアップロード時に「ウイルススキャンのコマンドライン」に設定されたコマンドが実行されるようになり、コマンドの実行が成功した場合はそこからさらなる攻撃が行われる可能性がございます。

◆対応、回避策
  • 「◆現在脆弱性が悪用された攻撃を受ける状態かどうか」に該当している場合はお手数ですが以下を実施ください。

    • ウイルススキャン設定をご利用されていないお客様につきましては、 Proself管理画面 > システム設定 > システム > ウイルススキャン設定の「使用する」を"ON"から"OFF"に変更ください。
    • ウイルススキャン設定をご利用されているお客様につきましては Proself管理画面 > システム設定 > システム > ウイルススキャン設定の「ウイルススキャンのコマンドライン」を書き換え前の設定に戻してください。
    ※どちらも設定変更時にはセキュリティチェックダイアログが表示され、指定したファイルをサーバー上に配置いただく必要がございます。
  • 暫定回避策
    以下ファイルをProselfとは関係のない場所に移動、または削除ください。
    ※脆弱性が悪用されたどうかに関わらず全てのお客様が対象です。
    Proselfインストールフォルダ/webapps/proself/WEB-INF/xml/process/external/admin 配下の以下2ファイル
    • downloadhistory.xml
    • setclustermyid.xml
    ※他ディレクトリにある同名ファイルの移動、削除は必要ございません。
    ※Proselfのサービス再起動は不要です。
    ※Proselfインストールフォルダのパスにつきましては、以下FAQに記載している手順で確認できます。
    https://www.proself.jp/support/faq433/

    本ファイルを退避することにより管理者権限での認証バイパスが可能なプログラムを呼び出すURLを無効化することができます。
    なお、「downloadhistory.xml」 は過去のバージョンで使用していたファイルでして現在は使用しておらず、「setclustermyid.xml」 はクラスタリング設定に使用するファイルでして、構築時には使用するものの運用時には使用しませんため、移動または削除によるProselfへの動作影響はございません
  • 恒久策
    本お知らせ冒頭に記載しております通り、本脆弱性の対応を行ったProself Ver5.62、Proself Gateway Edition Ver1.65、Proself Mail Sanitize Edition Ver1.08をリリース済みですので、アップデートを実施くださいますようお願いいたします。

この度はご迷惑をおかけし、誠に申し訳ございません。

戻る

お知らせカテゴリー