JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月29日、「JVN#69304877: CLUSTERPRO X および EXPRESSCLUSTER X における複数の脆弱性」において、NECが提供している高可用性クラスタリングソフトウェアの「CLUSTERPRO X」およびその海外展開版である「EXPRESSCLUSTER X」に複数の脆弱性が存在すると伝えた。

対象の脆弱性を悪用されると、攻撃者によって影響を受けたシステムで任意のコード実行や細工された細工されたアップロードリクエストによる不正行為、任意のファイルの読み出しなどが行われる危険性がある。

今回報告された脆弱性に関する情報はNECによる次のページにまとめられている。

  • CLUSTERPRO X における複数の脆弱性

    CLUSTERPRO X における複数の脆弱性

影響を受ける製品およびバージョンは次のとおりとなっている。

  • CLUSTERPRO X 1.0 for Windows およびそれ以降
  • EXPRESSCLUSTER X 1.0 for Windows およびそれ以降

これらの製品には、次に挙げる脆弱性が存在することが確認されているとのこと。

  • CVE-2021-20700,CVE-2021-20701: Disk Agent機能におけるバッファオーバーフローの脆弱性
  • CVE-2021-20702,CVE-2021-20703: Transaction Server機能におけるバッファオーバーフローの脆弱性
  • CVE-2021-20704: 旧バージョン (Ver 8.0 以前) との互換API機能におけるバッファオーバーフローの脆弱性
  • CVE-2021-20705,CVE-2021-20706: WebManager機能における遠隔ファイルアップロードの脆弱性
  • CVE-2021-20707: Transaction Server機能におけるファイル読み取りの脆弱性

10月29日時点で、これら脆弱性への対策は提供されていないという。NECからは、ファイアウォールを有効にして不要な通信を遮断するという回避策が提示されている。脆弱性のうちの一部かはCVSS v3のベーススコアが9.8で深刻度「Critical(緊急)」に分類されており、早急に回避策を実施することが推奨される。