Veritas Technologies NetBackupに権限奪取の恐れ、CVE-2020-37045の脆弱性判明

Veritas NetBackupのサービスパス脆弱性によるセキュリティリスク

Veritas Technologies のバックアップ製品「NetBackup」7.0において、深刻な脆弱性が確認され、利用者に注意が呼びかけられている。

問題となっているのは、NetBackup INET Daemonサービスのサービスパス設定不備で、ローカルユーザーがこれを悪用した場合、任意のコード実行が可能となる恐れがある。

本脆弱性は CVE-2020-37045 として登録されており、CVSS v4.0 基準で深刻度は 8.5 と評価されている。影響を受ける環境では、速やかな対策の実施が推奨される。

ローカルシステム権限侵害の可能性

問題の脆弱性は、Veritas Technologies NetBackup に含まれる
C:\Program Files\Veritas\NetBackup\bin\bpinetd.exe ファイルの不適切なサービスパス設定に起因する。

この欠陥を悪用した場合、攻撃者はローカル環境からシステム権限で任意のコードを実行できる可能性があるとされている。結果として、システム上の重要な権限が奪取され、他のアプリケーションや機密データへの不正アクセスにつながる恐れがある。

当該脆弱性は、ローカルユーザーによる権限昇格を許す点で影響範囲が大きく、影響を受ける環境では適切な対策の実施が求められる。

迅速なセキュリティ対策が求められる

セキュリティ専門家は、本脆弱性に対して速やかな対策の実施が必要だと指摘している。
Veritas Technologies NetBackup の利用者は、同社が提供する公式パッチを迅速に適用することが求められる。

また、定期的なパッチ適用およびソフトウェア更新を継続することで、同様のセキュリティリスクを最小限に抑えることが可能とされている。本件は、ITインフラに潜在する脅威を改めて浮き彫りにした事例であり、セキュリティ担当者に対し継続的な警戒と管理体制の強化を促すものとなっている。