2023年4月4日
テクノブレスト株式会社
EnterpriseDT社が提供するCompleteFTPにおいて、セキュリティ脆弱性が発見されましたので、その内容と対応策についてお知らせします。
この脆弱性に対処するためには、2つの対応策があります。
1) アップグレードを必要としない一連のコンソールコマンドでの対応、もしくは、
2) 新しいリリースへのアップデート
上記の対応策のいずれかを適用することを強くお勧めします。
[影響を受けるバージョン]
CompleteFTP のプロフェッショナルおよびエンタープライズ MFT エディション (バージョン 7.2.0 (2013 年 3 月リリース) からバージョン 22.2.2 (2023 年 2 月) まで。
[脆弱性の前提条件]
脆弱性が存在するためには、次のすべてが当てはまる必要があります。
1. 攻撃者は、CompleteFTPで有効になっている Windowsユーザー アカウントの資格情報を既に取得している必要があります。(明示的に、もしくはAutomatic Windows ユーザーを介して)
2. HTTP/HTTPSを有効にする必要があります。
3. SFTPまたはFTPSを有効にする必要があります。
[脆弱性の説明]
上記の前提条件がすべて満たされている場合、攻撃者は侵害された Windows アカウントのアクセス許可で実行されるスクリプトをアップロードできる可能性があります。攻撃者は他のユーザーのファイルにアクセスすることはできませんが、CompleteFTP サーバーから同じネットワーク上の他のマシンに発信接続することが可能です。
[本件への対応策]
(1) 対応方法1
-問題解決のためにコンソールコマンドを実行する:
この脆弱性は、 以下の手順に従ってCompleteFTPソフトウェアを更新せずに修正できます。
1. 管理コマンドプロンプトを開きます(コマンドプロンプトアイコンを右クリックし、[管理者として実行]を選択します)。
2. 管理コンソールで次のコマンドを実行します (CompleteFTP データに別の場所を選択した場合は、スクリプトで指定する必要があります)。それらをWindowsにコピーし、Enterキーを押して1つずつ実行できます。
icacls “C:\ProgramData\Enterprise Distributed Technologies\Complete FTP” /inheritance:d
icacls “C:\ProgramData\Enterprise Distributed Technologies\Complete FTP” /remove:g *S-1-5-32-545
icacls “C:\ProgramData\Enterprise Distributed Technologies\Complete FTP” /grant:r *S-1-5-32-545:(OI)(CI)(RX)
(2) 対応方法2
– 最新のCompleteFTPソフトウェアにアップデートする:
この脆弱性は、CompleteFTPソフトウェアを更新することでも修正できます。最新バージョンの22.2.3 には、この脆弱性に対する修正が含まれています。アカウントの資格情報を使用して、以下URLから新しいリリースをダウンロードできます。
https://connect.enterprisedt.com/#/menu
[本件についてのお問い合わせ先]
テクノブレスト株式会社 製品販売部
URL: https://www.technoblest.com/
E-mail: sales@technoblest.com
TEL: 042-705-1890