出典: Security NEXT – https://www.security-next.com/176888
NECのHAクラスタソフト「CLUSTERPRO X」に深刻な脆弱性が発覚
NECが提供する高可用性クラスタソフトウェア「CLUSTERPRO X」および「EXPRESSCLUSTER X」のLinux版に、リモートから認証不要で任意のOSコマンドが実行可能となる深刻な脆弱性が確認されました。本記事では、この脆弱性の詳細と対策について解説します。
主要なポイント
- 脆弱性の内容:「CLUSTERPRO X」および「EXPRESSCLUSTER X」のLinux版にOSコマンドインジェクションの脆弱性(CVE-2025-11546)が存在し、悪意ある攻撃者が細工したパケットを送信するだけでシステム権限で任意のコマンドを実行可能。
- 影響範囲:「SingleServerSafe」エディションを含む全てのLinux版が影響を受けるため、多くのユーザーがリスクにさらされています。
- 深刻度評価:共通脆弱性評価システムCVSSv3.0で9.8、CVSSv4.0で9.3と非常に高いスコアであり、ほぼ最大級の危険度と評価されています。
- 対策の提供:NECは脆弱性を修正したバージョン「5.3.0-1」および「4.3.4-1」をリリースし、アップデートと修正モジュールの適用を強く推奨しています。
- 回避策:アップデートが困難な場合は、ファイアウォールで特定ポートを遮断することで攻撃を防ぐ暫定的な対策が案内されています。
技術的な詳細や背景情報
今回の脆弱性は「OSコマンドインジェクション」と呼ばれる攻撃手法に分類されます。これは、ソフトウェアが外部から受け取った入力を適切に検証せずにOSのコマンドとして実行してしまう問題です。攻撃者は細工したネットワークパケットを送信するだけで、システムの管理者権限で任意のコマンドを実行できてしまいます。
「CLUSTERPRO X」は企業の重要システムの高可用性を支えるクラスタリングソフトウェアであり、システムの停止を防ぐために複数のサーバー間で負荷分散やフェイルオーバーを実現します。こうした基盤ソフトに脆弱性があると、システム全体の安全性が脅かされるため、特に注意が必要です。
影響や重要性
この脆弱性が悪用されると、攻撃者はシステムの完全な制御を奪い、データの改ざんやサービス停止、さらには内部ネットワークへの侵入拡大など多様な悪影響を及ぼす可能性があります。高可用性クラスタは企業のミッションクリティカルなシステムに利用されることが多いため、影響は甚大です。
また、認証を必要としないリモート攻撃が可能な点から、ネットワーク上の攻撃者にとって非常に攻撃しやすい脆弱性であることも問題です。迅速なアップデート適用と防御策の実施が不可欠です。
まとめ
NECの「CLUSTERPRO X」および「EXPRESSCLUSTER X」Linux版に存在するOSコマンドインジェクションの脆弱性は、非常に高い危険度を持つ深刻な問題です。企業の重要システムを守るため、提供された修正パッチの適用を速やかに行い、必要に応じてファイアウォールによるポート遮断などの回避策も併用しましょう。システム管理者は最新情報を常に確認し、セキュリティ対策を徹底することが求められます。
