Check PointのHarmony SASE Windowsクライアントに存在する深刻な欠陥により、ローカル攻撃者がシステムレベルの権限を取得できてしまいます。
CVE-2025-9142として特定されたこの問題は、12.2未満のバージョンに影響し、証明書処理における不十分な検証に起因します。
この脆弱性は、SYSTEM権限で動作するPerimeter81サービスコンポーネントで発生します。ローカル攻撃者は、IPCまたはURIハンドラ経由で渡されるJWTトークン内のテナント名を操作し、ディレクトリトラバーサルを引き起こせます。
これにより、サービスは意図したフォルダの外側(例:C:\sleep)に対して、“../../../../../../../../../sleep”のようなパスを細工することで、ファイルの書き込みや削除を行えてしまいます。
Check Pointは本件を中程度の深刻度と評価しており、最終更新は2026年1月14日です。症状としては、ログインフロー中にPerimeter81.exeがperimeter81:// URIを介してブラウザから引き継ぐ際に、未承認のファイル操作が発生することが挙げられます。
クライアントはperimeter81.comやsase.checkpoint.comの派生など許可ドメインを確認しますが、JWT署名を適切に検証できていません。
認証ロジックには厳格な信頼境界が欠けています。SaferVPN.Core.Sdp.SdpCertificatesクラスは、署名チェックなしにJWTのtenantIdフィールドからユーザー提供のWorkingDirectoryを使用します。
CleanCertFolder()のような関数はこのパス内のファイルを列挙して削除し、GenerateAndLoadCertificates()は秘密鍵、CSR、証明書をSYSTEM権限でそこに書き込みます。
攻撃者は、かつて公開されていたp81-falcon.comのようなドメインを登録し、偽の認証サーバーをホストします。
彼らはトラバーサルのペイロードを含む署名済みに見えるJWTを作成し、それをURIにエンコードしてIPC呼び出しをトリガーします。するとサービスが不正なパスを処理し、削除や書き込みのプリミティブが可能になります。
悪用は正確な手順に従って行われます。まず、標的となるディレクトリを事前に作成します。改ざんしたJWTでURIハンドラを呼び出して証明書フローを開始し、不正サーバーのCSR応答を遅延させます。
Procmonのトレースを用いてシンボリックリンクの差し替えタイミングを合わせます。ディレクトリを、client.crtをC:\Windows\System32\newfile.dllのようなターゲットへ向けるRPC Controlベースのジャンクションに置き換えます。
攻撃者が制御するbase64の証明書コンテンツを提供します。SYSTEMサービスがそれを書き込み、Perimeter81の再起動時にhostafxr.dllのような悪意あるDLLが読み込まれる可能性があります。
Harmony SASE 11.5.0.2501でテストされ、12.2未満はすべて脆弱です。クライアントはsplinter.saseqa.checkpoint.comのようなQA環境を含む40以上の許可環境を列挙していますが、攻撃者は未検証のJWTによりこれを回避します。リモートでの悪用はなく、エージェントが動作していることを前提にローカルアクセスだけで十分です。
Check Pointは、sk182466を通じてHarmony SASE Windows Agentを12.2以降へアップグレードするよう助言しています。
SK記事(sk184557)には、症状、原因、修正内容が詳述されています。研究者はパッチ適用を支援するためp81-falcon.comを返却しました。TLS証明書により、不正サーバー構成の再作成は現在ブロックされています。
Check Pointサポートから直ちに更新を適用してください。perimeter81://の異常な呼び出しや、Perimeter81.Service.exeが想定外のパスにアクセスするProcmonのヒットを監視してください。
未使用であればURIハンドラを無効化してください。企業は、奇妙な証明書フォルダなどトラバーサル試行の兆候がないか、エージェント11.xのエンドポイントをスキャンすべきです。
この欠陥はSASEクライアントのリスクを浮き彫りにしています。特権サービスが検証なしにWeb由来の入力を処理すると、権限昇格を招きます。
翻訳元: https://cyberpress.org/check-point-sase-escalation-flaw/