「SKYSEA Client View」において任意のコードが実行可能な脆弱性について(JVN#84995847):IPA 独立行政法人 情報処理推進機構
管理大好き企業さんたちが喜んで必死に導入しているIT資産管理ツールですが、管理側からなんでもできるようにPCを支配下に置くような仕組みになっています。
エージェントと言われる小さなツールを使用者のPCに導入し、エージェント経由で命令を送り込みます。古いソフトのバージョンアップをしなさい、PC内の情報を取得しなさい、余計なアプリの実行を禁止しなさい、などなど。エージェントは管理者の権限で動きますからなんでもできます。
さてこういうツールはシェアが伸びてきたら攻撃者にとってはとても美味しい穴になりますね。管理サーバのふりをして命令を送り込み、PCを支配下に…
これは狙いがいがありそうです。IT資産管理ツールのエージェントが動いているということはそこそこの規模の企業のPCですから、おいしい情報が入っているに違いありません。
IT資産管理ツールは企業内LANにあるPCを管理する想定で実装されているので強固な認証は比較的後回しになりがちなのかもしれません。
このようなツールを扱っている各社は今「ウチのは大丈夫か?」とヒヤヒヤしているかもしれません。