Claroty Researchのセキュリティ研究者は、FileWave Management Suiteに重大な脆弱性を発見しました。FileWaveはすでに、この脆弱性を修正するための対応するソフトウェアアップグレードをユーザーに提供しています。
スイス、ウィル、2022年7月25日 - この脆弱性は、サイバーセキュリティ調査会社であるクラロティ・リサーチのTeam82によって発見されたものです。この調査会社は最近、ファイルウェーブのサービスについて包括的なセキュリティ評価を実施し、脆弱性を特定してファイルウェーブに報告しました。
この脆弱性は、バージョン 14.6.3 より前のすべてのソフトウェアバージョンと、バージョン 14.7.2 より前の 14.7.x バージョンに影響します。本脆弱性は、認証機構をバイパスして MDM プラットフォームおよび管理対象デバイスを完全に制御する機能 (CVE-2022-34907) と、前述のソフトウェアバージョンのハードコードされた暗号キー (CVE-2022-34906) に影響を及ぼします。
この脆弱性に対処するためにリリースされたセキュリティアップデートは、バージョン 14.6.3, 14.7.2 のパッチ付きソフトウェアアップグレード、および最新のソフトウェアリリース 14.8と将来のすべての後続バージョンに含まれています。影響を受けるすべてのソフトウェアユーザーは、2022年4月26日にFileWave社から最初に脆弱性について通知され、脆弱性に対処するためのソフトウェアアップグレードが提供されました。
ソフトウェアのセキュリティとユーザーのシステムおよびインフラの保護は、ファイルウェーブの最優先事項です。そのため、クラロティ・リサーチとの緊密な協力のもと、セキュリティの脆弱性を慎重に検討し、確認しました。脆弱性が判明した直後から、FileWaveソフトウェアのユーザーに解決策を提供するだけでなく、ユーザーがリスクを理解し、タイムリーにサーバーにソフトウェアのアップグレードをインストールできるよう、堅牢なプロトコルに従ってパッチ版の開発に向けた対策が取られました。パッチが適用されたソフトウェアのバージョンを導入することで、第三者による攻撃によって脆弱性が悪用されるリスクは排除されたはずです。脆弱性の特定後、現在までに FileWave が実際に悪用されたことはありません。しかしながら、今後、第三者による攻撃のリスクを回避するために、FileWaveサービスの利用者は、セキュリティアップデートが適切にインストールされ、最新の状態であることを再確認することをお勧めします。
Claroty Researchが発表した研究の詳細は、Clarotyのホームページでご覧いただけます。
FileWaveサービスのユーザーは、脆弱性を修正する方法についての詳細情報をFileWave Knowledge Baseで入手できます。
