□セキュリティ勧告のお知らせ

Catoは、第三者のサイバーセキュリティベンダーと協力して行ったペネトレーションテストにより、Windowsクライアントソフトウェアにセキュリティ脆弱性があることを確認しました。
現時点で、これらの問題が実際に悪用された事例は確認されておりません。

Windowsクライアントの脆弱性が発見され次第、Catoは全てのサポートされているオペレーティングシステムのクライアントソフトウェアをレビューし、LinuxおよびAndroidクライアントにも同様の問題があることを確認しました。macOSおよびiOSクライアントは、報告されたセキュリティ問題に対して脆弱ではないことが確認されています。

Catoはサイバーセキュリティベンダーと緊密に協力し、これらの脆弱性に対する緊急の修正措置を提供し、検証しました。本日、該当するオペレーティングシステム用のCatoクライアントの新しいバージョンをリリースしました。

今後一週間以内に、Windows、Linux、およびAndroidクライアントを新しいバージョンにアップグレードすることを強くお勧めします。これにより、これらの脆弱性が完全に軽減されます。

本日、6月5日より、以下のリンクから最新のクライアントバージョンをダウンロードできます。

Windows MSI (バージョン 5.10.34.2284)
Windows EXE (バージョン 5.10.34.2284)
Linux DEB (バージョン 5.2.1.1)
Linux RPM (バージョン 5.2.1.1)
Android APK (バージョン 5.0.3.117)

6月6日（木）より、Cato管理アプリケーションのロールアウト（[Access] > [Client Rollout]）ページから同じWindowsおよびLinuxクライアントをダウンロードできます。AndroidクライアントはGoogle Playストアで入手可能です。WindowsおよびLinuxクライアントについて、Catoの自動アップグレードポリシーを使用している場合、クライアントのロールアウトはパイロットグループから自動的に開始され、完了まで約1週間かかります。

業界の標準的なベストプラクティスに従い、顧客が新しいCatoクライアントバージョンにアップグレードした後、脆弱性の詳細を公開します。

□Windows、Linux、およびAndroidクライアントに対する影響は何ですか？

以前のバージョンのWindows、Linux、およびAndroid Catoクライアントを使用しているマシンでは、特定の状況下で悪意のある攻撃者がエンドユーザーを騙し、特別に作成されたURLにリダイレクトしてリモートコード実行攻撃を行う可能性があります。攻撃者がデバイスにアクセスすると、ローカル特権昇格をSYSTEMアカウントに対して実行し、マシンを完全に制御することが可能です。

ただし、悪用されるリスクは非常に低く、現時点で影響を受けた顧客はいないと認識しています。

□何をすれば良いですか？

Catoは、以下の最新版のWindows、Linux、およびAndroidクライアントをダウンロードしてアップグレードプロセスを開始することを推奨します。

全てのWindowsクライアントをバージョン5.10.34.2284にアップグレード
全てのLinuxクライアントをバージョン5.2.1.1にアップグレード
全てのAndroidクライアントをバージョン5.0.3.117にアップグレード

macOSおよびiOSクライアントについては、特に対応の必要はありません。

□質問がある場合はどうすればよいですか？

詳細については、Knowledge BaseのFAQをご覧ください。

その他の質問については、SCSKサポート窓口までお問い合わせください。