今月より脆弱性TODAYのキュレーターからのコメントを掲載させていただくことになりました。
脆弱性トレンド情報 2022年3月度の記事と併せて是非ご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2022年3月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、こちらのスタッフブログに情報を開示していきます。
===================================
■■■ OpenSSL
3月17日にレポートした、OpenSSL (toolkit for the TLS and SSL protocols) におけるサービス運用妨害の脆弱性ですが、IoT OT Sec News が BleepingComputer の記事を提供したので、リンクなどを整理して再掲載しました。同誌によると、このバグについて OpenSSL は、すでに脅威アクターに利用されているとは発言していないとのことです。ただし、イタリア政府の CSIRT は、野放し状態で活発に悪用されていると述べているようです。ただし、同誌が OpenSSL チームに問い合わせたところ、現時点では積極的な悪用は確認されていないとのことです。ただし、悪用における複雑性は低く、公開された情報もあるため、それほど遠くない時点で、脅威アクターによる悪用が始まる可能性が指摘されています。
OpenSSL 1.0.2zc/1.1.1m/3.0.1 以下
OpenSSL 1.0.2zd/1.1.1n/3.0.2
CVE-2022-0778
CWE-404(リソースの不適切な解放)
CVSSv3基本値 5.3 → NVDは 7.5
https://www.openssl.org/news/vulnerabilities.html
https://www.openssl.org/news/secadv/20220315.txt
https://vuldb.com/?id.195123
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://iototsecnews.jp/2022/03/16/openssl-cert-parsing-bug-causes-infinite-denial-of-service-loop/
===================================
■■■ Node-ipc
この脆弱性については、インシデント情報を参照して、新たにレポートを作成しました。IoT OT Sec News が The Hacker News の記事を提供しています。それによると、Node-ipc は、Linux/macOS/Windows をサポートし、ローカルとリモートにおけるプロセス間通信で使用される著名な Node モジュールであり、毎週 110万件以上もダウンロードされているとのことです。Synk の研究者である Liran Tal は、「この NPM パッケージを呼び出したシステムが、ロシアまたはベラルーシのロケーションと一致する場合、非常に明確な不正利用と申告なサプライチェーン・セキュリティ・インシデントが発生する」と分析しているとのことです。
Node-ipc
Node-ipc 10.1.1/10.1.2 // BACKDOOR
CVE-2022-23812
CWE-94 Improper Control of Generation of Code ('Code Injection')
Base Score: 9.8 CRITICAL
https://vuldb.com/?id.195303
https://nvd.nist.gov/vuln/detail/CVE-2022-23812
https://iototsecnews.jp/2022/03/17/popular-npm-package-updated-to-wipe-russia-belarus-systems-to-protest-ukraine-invasion/
===================================
■■■ Microsoft Windows Print Spooler
2021/6/30付けでSoftware Engineering InstituteのCERT Coordination CenterがMicrosoft Windows Print Spoolerの脆弱性を報告しました。Microsoft Windows Print Spoolerサービスは、ユーザーがプリンターと関連ドライバーを追加できる機能へのアクセスを制限できません。これにより、リモート認証された攻撃者が脆弱なシステムでSYSTEM権限で任意のコードを実行できる可能性があります。マイクロソフトはこの脆弱性を2021/7/1付けで掲載し、2021/7/6にアップデートをリリースしています。また、不適切なレジストリ設定が存在するという警告もあり、詳細は下記のマイクロソフトの当該リンクの参照が必要ですよ。
Microsoft Windows Server 2019/2016/2012/2008、Microsoft Windows 10/8.1/7
CVE-2021-34527
CWE-284(不適切なアクセス制御)
CVSS:3.0 8.8 / 8.2
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://www.kb.cert.org/vuls/id/383432
===================================
■■■ MikroTik RouterOS
MikroTik RouterOS における不適切な認証の脆弱性は、NATIONAL VULNERABILITY DATABASEが2018/8/2に公開し、Japan Vulnerability Notesが2018/10/31に掲載しました。MikroTik RouterOS 6.42以下では、WinBoxインターフェイスのディレクトリトラバーサルの脆弱性により、認証されていないリモートの攻撃者が任意のファイルを読み取り、リモートで認証された攻撃者が任意のファイルを書き込むことができます。より新しいバージョンへのアップグレードが推奨されています。
MikroTik RouterOS 6.42以下
CVE-2018-14847
CWE-287(不適切な認証)
CVSS v3 7.5
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-008866.html
https://nvd.nist.gov/vuln/detail/CVE-2018-14847
===================================
■■■ Microsoft Windows、Microsoft Windows Server
Microsoft Windows および Microsoft Windows Server に含まれる MSHTML (browser rendering engine) のリモート・コード実行の脆弱性は、2021/9/8にマイクロソフトから公開され、2021/9/14にアップデートが提供されました。マイクロソフトは、特別に作成された Microsoft Office ドキュメントを使用してこの脆弱性を悪用しようとする標的型攻撃が存在するとしています。攻撃者は、ブラウザ・レンダリングエンジンをホストする Microsoft Office ドキュメントで使用される悪意のある ActiveX コントロールを作成する可能性があります。次に、攻撃者はユーザーに悪意のあるドキュメントを開くように説得する必要があります。システムでのユーザー権限が少なくなるようにアカウントが構成されているユーザーは、管理ユーザー権限で操作するユーザーよりも影響が少ない可能性があります。アップデートの適用が推奨されています。
Microsoft Windows 10/RT 8.1/8.1/7、Microsoft Windows Server 2022/2019/2016/2012/2008
CVE-2021-40444
CVSS v3 8.8
https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/microsoft-releases-mitigations-and-workarounds-cve-2021-40444
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://www.bleepingcomputer.com/news/security/microsoft-shares-temp-fix-for-ongoing-office-365-zero-day-attacks/
===================================
■■■ ISC BIND
ISC BIND バージョン 9.18.0 以下には不適切なアサーションチェックの脆弱性が存在します。この脆弱性は、2022年3月16日にISCにより公開されました。ISC は、これらの脆弱性を標的とした積極的な悪用は認識していません。米国の CISA は、ユーザーと管理者が ISC の勧告を確認し、可能な限り早急にバグに対処するよう呼びかけています。BIND 9.18.1 へのアップグレードが強く推奨されています。
ISC BIND 9.18.0 以下
CVE-2022-0635 CVE-2022-0667 CVE-2021-25220
CWE-617(到達可能なアサーション)、CWE-350(DNSの逆引きに依存したセキュリティ・クリティカル・アクション)
CVSS(v3): 8.6
https://kb.isc.org/docs/cve-2022-0635
https://security.sios.com/vulnerability/bind-security-vulnerability-20220317.html
https://iototsecnews.jp/2022/03/18/high-severity-vulnerabilities-patched-in-bind-server/
===================================
■■■ Microsoft Windows
Microsoft の MSHTML (browser rendering engine) にリモート・コード実行の脆弱性が存在することは、2021年9月7日に公表されています。MSHTML は Microsoft Windows に含まれ、Web技術で画面をレンダリングする様々なソフトから利用されています。この脆弱性は Windows Update で修正されますが、修正されていない場合は問題を引き起こすことが知られています。Google の Threat Analysis Group (TAG) は、ロシアのサイバー犯罪組織である Conti や Diavol などと密接に関係しているとされる、新たなイニシャル・アクセス・ブローカーの情報を公表しました。この Exotic Lily と名付けられた脅威アクターは、この脆弱性を悪用し、世界 の 650 の標的組織に対して、1日に 5000通以上のビジネス提案をテーマにした電子メールを送信するフィッシング・キャンペーンを広く展開していると確認されています。
Microsoft Windows 10/RT 8.1/8.1/7、Microsoft Windows Server 2022/2019/2016/2012/2008
CVE-2021-40444
CVSS(v3): 8.8
https://us-cert.cisa.gov/ncas/current-activity/2021/09/07/microsoft-releases-mitigations-and-workarounds-cve-2021-40444
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://www.bleepingcomputer.com/news/security/microsoft-shares-temp-fix-for-ongoing-office-365-zero-day-attacks/
https://iototsecnews.jp/2021/09/07/microsoft-shares-temp-fix-for-ongoing-office-365-zero-attacks/
https://iototsecnews.jp/2022/03/18/google-uncovers-initial-access-broker-working-with-conti-ransomware-gang/
===================================
■■■ Dell BIOS
2022年3月10日に Dell は、Alienware/Inspiron/Vostro などのノート PC を含む45機種の UEFI ファームウェア に存在する、System Management Model の脆弱性5件を修正するパッチを発表しました。不適切な入力検証の脆弱性により、ローカルで認証された攻撃者は、脆弱なシステム上で任意のコードを実行できます。2月中旬より Dell は、ノート PC/エッジ・ゲートウェイ/組み込み型ボックス PC などの、影響を受ける全てのデバイスに対して、UEFI のアップデートを提供するようにしています。そして顧客に対しては、可能な限り早急なアップデートの適用を推奨しています。
CVE-2022-24415/CVE-2022-24416/CVE-2022-24419/CVE-2022-24420/ CVE-2022-24421
CVSS(v3): 8.2
https://vuldb.com/?id.194801
https://vuldb.com/?id.194802
https://vuldb.com/?id.194803
https://vuldb.com/?id.194804
https://vuldb.com/?id.194805
https://nvd.nist.gov/vuln/detail/CVE-2022-24415
https://nvd.nist.gov/vuln/detail/CVE-2022-24416
https://nvd.nist.gov/vuln/detail/CVE-2022-24419
https://nvd.nist.gov/vuln/detail/CVE-2022-24420
https://nvd.nist.gov/vuln/detail/CVE-2022-24421
https://www.dell.com/support/kbdoc/ja-jp/000197057/dsa-2022-053
https://iototsecnews.jp/2022/03/22/high-severity-uefi-vulnerabilities-patched-in-dell-enterprise-laptops/
===================================
■■■ HP Print Products
2022年3月21日、HP は、同社のプリンタ・シリーズである LaserJet Pro/Pagewide Pro/OfficeJet/Enterprise/Large Format/DeskJet の数百モデルに影響を及ぼす、3つの深刻な脆弱性について公表し、その後アップデートを提供しました。これらの脆弱性についての詳細は、現時点では公表されていませんが、リモートでのコード実行や情報公開の影響は広範囲に及ぶため、深刻な状況に陥る可能性もあります。そのため、可能な限り早急にセキュリティ・アップデートを適用し、デバイスをネットワーク・ファイアウォールの背後に置き、リモートアクセス制限ポリシーを適用することが推奨されます。
HP Print 製品群
CVE-2022-24291 CVE-2022-24292 CVE-2022-24293 CVE-2022-3942
CVSS(v3): 9.8
https://support.hp.com/us-en/document/ish_5948778-5949142-16/hpsbpi03780
https://support.hp.com/us-en/document/ish_5950417-5950443-16/hpsbpi03781
https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/
https://support.hp.com/us-en/document/ish_5950417-5950443-16
https://www.zerodayinitiative.com/advisories/ZDI-22-533/
https://www.zerodayinitiative.com/advisories/ZDI-22-534/
https://www.zerodayinitiative.com/advisories/ZDI-22-535/
https://iototsecnews.jp/2022/03/22/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/
===================================
■■■ MikroTik RouterOS
NATIONAL VULNERABILITY DATABASEで2018年8月2日に情報が公開された MikroTik RouterOS における不適切な認証の脆弱性が悪用され、MicroTik ルーターの Botnet-as-a-Service 化が進行し、20万台以上が支配下にあるとされています。サイバー・セキュリティ研究者が、近年で最大級の Botnet-as-a-Service の1つと評価するものが形成されています。Avast が発表した新たな調査結果によると、新たな破壊型 Glupteba ボットネットと、TrickBot マルウェアを活用した、暗号通貨マイニング・キャンペーンの全てが、同一の Command and Control (C2) サーバーを使用して配布されたようです。Avast の Senior Malware Researcher である Martin Hron は、「この C2 サーバーは、約23万台の脆弱な MikroTik ルータを制御する Botnet-as-a-Service として機能しています。現時点では、Mēris ボットネットとの関連性が疑われている」と指摘しています。
MikroTik RouterOS 6.42以下
CVE-2018-14847
CWE-287(不適切な認証)
CVSS(v3): 7.5
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-008866.html
https://nvd.nist.gov/vuln/detail/CVE-2018-14847
https://iototsecnews.jp/2022/03/23/over-200000-microtik-routers-worldwide-are-under-the-control-of-botnet-malware/
===================================
■■■ Vmware Carbon Black App Control
NATIONAL VULNERABILITY DATABASEで2022年3月23日に情報が公開された VMware Carbon Black App Control の2つの深刻な権限昇格の脆弱性が修正されましたが、悪用は難しいとされます。アプリケーション許可リスト作成ソリューションの Carbon Black App Controlは、エンタープライズ・システムの不要な変更を防止するために、セキュリティ・チームによるロックダウンを実現するものです。継続的なコンプライアンスを維持するためのセキュリティ対策として利用できるものです。今回の2つのセキュリティ・ホールのうちの1つ、OS コマンド・インジェクションの脆弱性 CVE-2022-22951 は、リモート・コード実行の欠陥であり、不適切なユーザー入力検証に起因します。
Vmware Carbon Black App Control 8.5.13/8.6.5/8.7.3/8.8.1 以下
CVE-2022-22951 CVE-2022-22952
CWE-78(OS コマンド・インジェクション)
CVSS(v3): 9.1
https://www.vmware.com/security/advisories/VMSA-2022-0008.html
https://nvd.nist.gov/vuln/detail/CVE-2022-22951
https://iototsecnews.jp/2022/03/24/vmware-carbon-black-app-control-%e3%81%ae%ef%bc%92%e3%81%a4%e3%81%ae%e6%b7%b1%e5%88%bb%e3%81%aa%e8%84%86%e5%bc%b1%e6%80%a7%e3%81%8c-fix%ef%bc%9a%e6%82%aa%e7%94%a8%e3%81%af%e9%9b%a3%e3%81%97%e3%81%84/
===================================
■■■ Honda Civic 2012
研究者たちは、Honda と Acura の一部の車種に影響をおよぼすリプレイ攻撃の脆弱性を公表しました。NATIONAL VULNERABILITY DATABASEでは、2022年1月6日(CVE-2021-46145)および2022年3月23日(CVE-2022-27254)に情報が公開されています。この脆弱性により、車両の近くにいるハッカーは車のロックを解除し、エンジンを始動させることが可能になります。この攻撃は、キーフォブから車に送信される RF 信号を脅威者が捕捉し、その信号を再送信して車のリモート・キーレス・エントリー・システムを制御するものです。研究者たちによると、この脆弱性は、ほとんどの古いモデルでは修正されていないとのことです。しかし、ホンダのオーナーは、この攻撃から身を守るために、何らかの行動を起こすことが期待されています。
Honda Civic 2012
CVE-2021-46145 CVE-2022-27254
CVSS(v3): 5.8
https://vuldb.com/ja/?id.195685
https://vuldb.com/ja/?id.189784
https://nvd.nist.gov/vuln/detail/CVE-2021-46145
https://nvd.nist.gov/vuln/detail/CVE-2022-27254
https://iototsecnews.jp/2022/03/25/honda-bug-lets-a-hacker-unlock-and-start-your-car-via-replay-attack/
===================================
■■■ Google Chrome Desktop
2022年03月25日に Google は、Chrome ブラウザに存在する深刻な脆弱性に対処するため、不定期のセキュリティ・アップデートを配布しました。この ゼロデイ脆弱性 CVE-2022-1096 は、V8 JavaScript エンジンに存在するタイプ・コンヒュージョンの欠陥に起因します。Google Chrome のユーザーには、潜在的な脅威を軽減するために、Windows/Mac/Linux の最新 Ver 99.0.4844.84 へのアップデートが強く推奨されています。また、Microsoft Edge/Opera/Vivaldi などの Chromium ベース・ブラウザのユーザーに対しても、修正プログラムが利用可能になり次第、適用することを推奨しています。
Google Chrome Desktop for Mac/Linux/Linux 99.0.4844.84 未満
CVE-2022-0609 CVE-2022-1096
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
https://iototsecnews.jp/2022/03/25/google-issues-urgent-chrome-update-to-patch-actively-exploited-zero-day-vulnerability/
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら>>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。