JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月24日、トレンドマイクロが提供しているセキュリティ製品の「Deep Security」および「Cloud One Workload Security」に搭載されているLinux版Agentに複数の脆弱性が報告されていると伝えた。

これらの脆弱性を悪用されると、攻撃者によって影響を受けたシステムで任意のファイルを盗み出されたり、root権限で任意のコードを実行されたりするなどの被害を受ける危険性があるという。

該当する脆弱性に関する詳細は、トレンドマイクロによる次のセキュリティアドバイザリにまとめられている。

  • アラート/アドバイザリ:Deep Security および Cloud One Workload Security の Linux版Agentにおける ディレクトリトラバーサルおよびコードインジェクションの脆弱性について

    アラート/アドバイザリ:Deep Security および Cloud One Workload Security の Linux版Agentにおける ディレクトリトラバーサルおよびコードインジェクションの脆弱性について

今回報告されている脆弱性は次の2件で、いずれもCVSS v3のベーススコアは7.0、深刻度「高」に指定されている。

  • CVE-2022-23119: ディレクトリトラバーサルの脆弱性によって、対象の製品にログイン可能な第三者が任意のファイルを読み取ることができる
  • CVE-2022-23120: コードインジェクションの脆弱性によって、対象の製品にログイン可能な第三者が権限昇格してroot権限で任意のコードを実行できる

影響を受ける製品およびバージョンは次のとおり。

  • Deep Security Agent Linux バージョン10.0、11.0、12.0、20.0
  • Cloud One Workload SecurityのLinux/UnixベースのAgent

トレンドマイクロによると、Deep Security Agent Windowsはこの脆弱性の影響を受けないという。トレンドマイクロからは、各製品に対してこの脆弱性を回避するアップデートがリリースされている。