SE(しがないエンジニア)のブログ

IT技術ネタ(クラウド・セキュリティ周り)が中心です!他雑記(お馬さん 他いろいろ)もあり。

LanScope Cat / An における権限昇格の脆弱性(CVE-2019-6026)

珍しく出た LanScope 関連の脆弱性

12月頭に報告のあった脆弱性のニュースなのでやや古い感はありますが、権限昇格系なので情報共有致します。CVSS v3 では 7.8(重要) のレベルなので 9.0~ の緊急レベルではないですが、比較的高めです。

【重要なお知らせ】LanScope Cat/Anにおける権限昇格の脆弱性について(CVE-2019-6026) – MOTEX Inc.

脆弱性が悪用されることにより、「LocalSystem」権限で任意のコードが実行される可能性があるとのことでよろしくないですね。(internal でPCにログインできることが前提ではありますが。。)

サービスやタスクスケジューラで表示されるアカウントの違い

LanScope 製品を暫くの間、利用しておりますがこの手の脆弱性が出たのは初めてな気がします。

対策は?

保守に入っていることが前提ですが、アップデートのモジュールが配布されているのでマネージャー側に適用し、かつ、クライアントモジュールであるMRを全クライアントPCに配布する作業が必要となります。今回の脆弱性はクライアントPC側に起因するものなのでクライアント間でバージョンが統一されている必要があります。(9.2系であれば「9.2.0.4」になっていればOK)

マネージャー側からのアップグレードはクライアントPCの立ち上がるタイミングによっては適用されない場合もあるため、最悪は該当クライアントPCに最新のMRモジュールをコピーし適用することも視野に入れましょう。