【ITニュース解説】Yonyou U8 Cloud RCE: File Upload Bypass Confirmed

Yonyou U8 Cloudにリモートからコードを実行できる脆弱性（RCE）が見つかった。これは、企業向けの基幹業務システム（ERP）であるU8 Cloudにおける、ファイルアップロードのセキュリティ上の欠陥を悪用したものだ。具体的には、7月28日に公開された修正パッチに不備があり、攻撃者が不正なファイルをシステムにアップロードし、結果としてサーバーを完全に制御できてしまう。

この脆弱性の深刻度は高く、攻撃者はシステムコマンドを自由に実行し、機密データを盗み出し、ERPシステムを停止させることも可能になる。特に注意が必要なのは、認証なしで、かつデフォルト設定のシステムが攻撃対象となる点だ。つまり、インターネットに公開された状態のU8 Cloudは、誰でも攻撃できる状態にあると言える。

技術的な詳細としては、7月28日のパッチはファイルアップロードの安全性を強化する目的で導入されたが、その対策が不完全だった。攻撃者はまず、Webサーバーの公開ディレクトリ以外の場所に不正なファイル（JSPファイルなど）をアップロードできる。次に、「リフレクション」と呼ばれるJavaの機能を利用して、このファイルをWebサーバーからアクセス可能な場所に移動させる。最後に、アップロードされたJSPファイルが実行され、サーバー上で任意のコードが実行される。

重要な点として、7月28日のパッチに含まれるトークン検証ロジック自体は突破されない。したがって、すでにこのパッチを適用済みのシステムは、この特定の脆弱性からは保護されている。しかし、パッチを適用していない場合は、直ちにアップデートする必要がある。

対策としては、Yonyouから提供されている最新のパッチ（20250728T101233）を適用することが最も重要だ。一時的な対策としては、U8 Cloudを直接インターネットに公開することを避け、ファイアウォールなどで厳格なアクセス制限を設けることが考えられる。

この脆弱性に対する製品サポートも提供されている。例えば、YunTuはU8 Cloudの識別（フィンガープリンティング）と攻撃の検証（PoC）検出をすでにサポートしている。また、DongJianからは検出パッケージが、QuanXiからは攻撃検出をサポートするルールアップデートが公開される予定だ。WuFengも、デフォルトでフィンガープリンティングとPoC検出をサポートしている。

今回の脆弱性の発見と対応の経緯は以下の通りだ。2025年8月29日にYonyou Security Centerが最初の情報を公開し、その後、Chaitin Security Response Centerが検証を行い、2025年9月3日に詳細な情報と対策を発表した。

今回の件から得られる教訓は、ソフトウェアの脆弱性に対する迅速な対応の重要性だ。特に、企業の情報システムの中核を担うERPシステムは、セキュリティ侵害の影響が大きいため、常に最新のセキュリティ情報を収集し、適切な対策を講じる必要がある。具体的には、ベンダーが提供するセキュリティパッチを迅速に適用し、ファイアウォールや侵入検知システムなどのセキュリティ対策を適切に設定することが重要となる。また、システムの脆弱性を定期的に診断し、セキュリティ上の弱点を早期に発見することも重要だ。