ServerView Agentsに権限昇格の脆弱性 対応の要点

脆弱性・脅威情報

【更新 2026-07-10】本記事を見直し、修正しました。主な修正点:脆弱性の報告者名の誤記(「飯田真大氏」→正しくは「飯田雅裕氏」=株式会社ラック デジタルペンテスト部)を訂正しました。

エフサステクノロジーズ(旧・富士通のサーバ事業)のサーバ管理ソフト「ServerView Agents for Windows」に、ローカルの一般ユーザーがSYSTEM権限を奪取できる権限昇格の脆弱性(CVE-2026-27788/CVE-2026-32325)が公表されました。対象はV11.60.04 およびそれ以前。すでに修正版 V11.70.06 が提供されています。リモートから直接悪用できるものではありませんが、侵入後の「足場固め」に使われる典型的な穴です。PRIMERGYサーバを運用している組織は、管理エージェントのバージョンを一度確認してください。

この記事でわかること

  • 今回の脆弱性で何が起きるのか(SYSTEM権限奪取=ローカル権限昇格)
  • 影響を受ける製品・バージョンと修正版
  • 「リモートRCEではない」ことをどう評価し、優先度をどう決めるか
  • 見落とされがちな「サーバ管理エージェント」のパッチ管理の勘所

何が起きたのか

ServerView Agents for Windows は、サーバのハードウェア状態(温度・電源・ディスク・ファンなど)を監視・通知するための常駐ソフトウェアです。主にエフサステクノロジーズ製のサーバ(PRIMERGYなど)に導入されており、Windows Server上でサービスとして動作します。

今回公表されたのは、この製品が持つ重要なリソースへのアクセス権設定の不備(CWE-732)と、それに起因する権限昇格(CWE-268)です。JVNの説明では、「当該製品がインストールされたサーバにログイン可能な攻撃者によって、SYSTEM権限を取得される可能性がある」とされています。つまり、すでにそのサーバに一般ユーザーとしてログインできる状態の攻撃者が、Windowsで最も強いSYSTEM権限まで一気に昇格できてしまう、という内容です。

脆弱性の概要(一覧)

項目 内容
対象製品 ServerView Agents for Windows
影響を受けるバージョン V11.60.04 およびそれ以前
修正版 V11.70.06
CVE番号 CVE-2026-27788(CWE-732)/CVE-2026-32325(CWE-268)
CVSS基本値 v4.0:8.5 / v3.0:7.8(重要)
想定される影響 ローカルの攻撃者によるSYSTEM権限の取得(ローカル権限昇格)
公表日 2026年6月1日
調整 ラック 飯田雅裕氏が報告、JPCERT/CCが調整

「リモートRCEではない」をどう読むべきか

まず落ち着いて評価すべきポイントは、これがローカル権限昇格(LPE)であって、インターネット越しに単独で悪用できるリモートコード実行(RCE)ではない、という点です。攻撃者はまず「そのサーバにログインできる」状態を作る必要があります。

ではリスクが低いかというと、そう単純ではありません。近年の実際の攻撃は、フィッシングや別の脆弱性で最初の一歩(初期侵入)を取り、その後に権限昇格・横展開していくという多段構成が主流です。SYSTEM権限を取られると、そのサーバ上では実質的に何でもできる状態になり、認証情報の窃取、EDR/監視の停止、他サーバへの横展開の起点になります。「単独では踏み台が要る」=「攻撃チェーンの部品として狙われる」と読み替えるのが実務的な評価です。

優先度の考え方

  • そのサーバにログインできる人・アカウントが多いほど危険。共用サーバ、複数ベンダーが保守で入るサーバ、RDPを広く開けているサーバは優先度を上げる。
  • Active Directoryのドメインコントローラや、重要データを持つサーバ上に当該エージェントが載っている場合は、被害の連鎖が大きいので最優先で計画する。
  • 逆に、ログインできる人員が厳格に限定され、監視も効いているサーバは、通常のパッチ適用サイクルに乗せてよい。

現場目線の課題

今回のようなケースで地味に効いてくるのが、「サーバ管理エージェント」はパッチ管理の網から漏れやすいという現場のあるあるです。OSのWindows Updateや業務アプリの更新は仕組みで回っていても、ハードウェアベンダーが提供する監視エージェント・ドライバ類は、導入時に入れたきり誰もバージョンを追っていない、というサーバが少なくありません。

しかもこの種のソフトは高い権限(SYSTEMやサービスアカウント)で常駐するため、一度穴が見つかると権限昇格に直結しやすい。台数が多い、拠点に分散している、保守ベンダーに任せていてインベントリが手元にない——といった状況だと、「そもそも自社のどのサーバに、どのバージョンが入っているのか」を洗い出すところから始めなければならず、そこが一番時間を食います。今回を機に、ベンダー製常駐ソフトも資産管理台帳に含める運用を見直すきっかけにしたいところです。

情シスはどうすべきか

  1. 棚卸し:ServerView Agents for Windows の導入有無と、バージョン(V11.60.04以前か)を確認する。PRIMERGY等のエフサス製/富士通製サーバが対象になりやすい。
  2. 修正版の適用:V11.70.06 へアップデートする。すぐ適用できない場合はベンダー案内の回避策を検討する。適用にあたってはメーカーの正規手順・案内に従うこと。
  3. ログインできる範囲の見直し:当該サーバへのローカル/RDPログイン権限を必要最小限に絞る。保守用アカウントの棚卸しも合わせて行う。

権限昇格系の脆弱性は、単発の対応で終わらせず「最小権限」「アクセス経路の制限」という基本の徹底が効きます。対策の全体像は、自前で長いチェックリストを作るより、公的機関の指針を土台にするのが確実です。中小規模の組織はIPAの中小企業の情報セキュリティ対策ガイドラインが、権限管理・パッチ管理・資産管理の基本を体系的に押さえており、まずはこちらを参照するとよいでしょう。日々の運用では、地道な資産の可視化とユーザ教育・啓発の積み重ねが結局は近道になります。

まとめ

  • ServerView Agents for Windows(V11.60.04以前)に、SYSTEM権限を奪われる権限昇格の脆弱性(CVE-2026-27788/CVE-2026-32325)。修正版はV11.70.06
  • リモート単独では悪用できないが、侵入後の攻撃チェーンの部品として狙われる。ログイン可能者が多いサーバから優先的に対応を。
  • ベンダー製のサーバ管理エージェントはパッチ管理から漏れやすい。この機会に資産台帳への組み込みと最小権限の徹底を。

出典

タイトルとURLをコピーしました