FortraのAccess Managerに深刻な脆弱性、コマンドインジェクションのリスクが明らかに

広く利用されている特権アクセス管理ソリューション、Fortraの「Core Privileged Access Manager(BoKS)」に、OSコマンドインジェクションの深刻な脆弱性が公表されました。

CVE-2026-9862として追跡されており、CVSS v3.1スコアは9.8に評価されています。この脆弱性を悪用されると、認証不要のリモート攻撃者が影響を受けたシステム上で任意のコマンドを実行できる可能性があり、エンタープライズセキュリティツールにとって最悪のシナリオといえます。

Fortra社内アドバイザリ「FI-2026-007」として識別されるこの脆弱性は、BoKSエコシステム内でクライアントの自動登録を処理するデーモン「boks_autoregisterd」サービスに存在します。

この欠陥はCWE-78「OSコマンドで使用される特殊要素の不適切な無効化(OSコマンドインジェクション)」に分類されており、ユーザーが制御する入力がサニタイズされないままシステムシェルやコマンドインタープリタに渡される際に生じるバグの一種です。

2026年6月15日に公開されたアドバイザリによると、脆弱なサービスへのネットワークレベルのアクセスを持つリモート攻撃者は、自動登録プロセス中に悪意ある入力を細工することで、boks_autoregisterdサービスの権限でコマンドを実行させることが可能です。

事前認証が一切不要であることから、この脆弱性は最高の攻撃ベクトル評価(ネットワーク経由・低複雑性・権限不要・ユーザー操作不要:AV:N/AC:L/PR:N/UI:N)を得ているとFortraは述べています。

この脆弱性は2026年5月27日に初めて発見されており、公開までの約3週間、組織はリスクにさらされていたことになります。

Core Privileged Access Manager(BoKS)は、エンタープライズにおける認証・アクセス制御の中核に位置し、重要なUnix・Linuxインフラ全体で誰が何にアクセスできるかを管理しています。

このツールへの攻撃が成功した場合、単一のホストが侵害されるだけにとどまらず、組織全体の特権アクセス基盤の鍵を攻撃者に明け渡してしまう可能性があります。

PAMプラットフォーム上でのリモートコード実行は、エンタープライズセキュリティにおいて最も深刻な結果の一つであり、横移動(ラテラルムーブメント)・認証情報の窃取・ドメイン全体の侵害を直接引き起こしかねません。

Fortraが確認したところ、boks-server 8.1および9.0の両バージョンが影響を受けます。修正ビルドの提供が予定されているものの、現時点では2つの即時回避策が用意されています。

セキュリティチームは、直ちにこれらの緩和策を適用し、修正ビルドが提供され次第パッチ展開を優先するとともに、すべての環境においてポート6507のネットワーク露出状況を確認することが強く推奨されます。

翻訳元: https://cyberpress.org/critical-fortra-access-manager-flaw/

ソース: cyberpress.org