テクノブレスト株式会社
テクノブレスト株式会社

[セキュリティに関するお知らせ] CompleteFTPのセキュリティ脆弱性とその対応について

2023年4月4日
テクノブレスト株式会社

EnterpriseDT社が提供するCompleteFTPにおいて、セキュリティ脆弱性が発見されましたので、その内容と対応策についてお知らせします。

この脆弱性に対処するためには、2つの対応策があります。
1) アップグレードを必要としない一連のコンソールコマンドでの対応、もしくは、
2) 新しいリリースへのアップデート

上記の対応策のいずれかを適用することを強くお勧めします。

[影響を受けるバージョン]
CompleteFTP のプロフェッショナルおよびエンタープライズ MFT エディション (バージョン 7.2.0 (2013 年 3 月リリース) からバージョン 22.2.2 (2023 年 2 月) まで。

[脆弱性の前提条件]
脆弱性が存在するためには、次のすべてが当てはまる必要があります。

1. 攻撃者は、CompleteFTPで有効になっている Windowsユーザー アカウントの資格情報を既に取得している必要があります。(明示的に、もしくはAutomatic Windows ユーザーを介して)

2. HTTP/HTTPSを有効にする必要があります。

3. SFTPまたはFTPSを有効にする必要があります。

[脆弱性の説明]
上記の前提条件がすべて満たされている場合、攻撃者は侵害された Windows アカウントのアクセス許可で実行されるスクリプトをアップロードできる可能性があります。攻撃者は他のユーザーのファイルにアクセスすることはできませんが、CompleteFTP サーバーから同じネットワーク上の他のマシンに発信接続することが可能です。

[本件への対応策]
(1) 対応方法1

-問題解決のためにコンソールコマンドを実行する:

この脆弱性は、 以下の手順に従ってCompleteFTPソフトウェアを更新せずに修正できます。

1. 管理コマンドプロンプトを開きます(コマンドプロンプトアイコンを右クリックし、[管理者として実行]を選択します)。

2. 管理コンソールで次のコマンドを実行します (CompleteFTP データに別の場所を選択した場合は、スクリプトで指定する必要があります)。それらをWindowsにコピーし、Enterキーを押して1つずつ実行できます。

icacls “C:\ProgramData\Enterprise Distributed Technologies\Complete FTP” /inheritance:d

icacls “C:\ProgramData\Enterprise Distributed Technologies\Complete FTP” /remove:g *S-1-5-32-545

icacls “C:\ProgramData\Enterprise Distributed Technologies\Complete FTP” /grant:r *S-1-5-32-545:(OI)(CI)(RX)

(2) 対応方法2

 – 最新のCompleteFTPソフトウェアにアップデートする:

この脆弱性は、CompleteFTPソフトウェアを更新することでも修正できます。最新バージョンの22.2.3 には、この脆弱性に対する修正が含まれています。アカウントの資格情報を使用して、以下URLから新しいリリースをダウンロードできます。

https://connect.enterprisedt.com/#/menu

[本件についてのお問い合わせ先]
テクノブレスト株式会社 製品販売部
URL: https://www.technoblest.com/
E-mail: sales@technoblest.com
TEL: 042-705-1890