脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2022年4月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2022年4月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
===================================
■■■ Google Chrome Desktop
2022年3月25日に、Google Chrome のゼロデイ脆弱性が FIXされました。緊急アップデートが配布されています。Google は、Chrome ブラウザに存在する深刻な脆弱性に対処するため、不定期のセキュリティ・アップデートを配布しました。この ゼロデイ脆弱性 CVE-2022-1096 は、V8 JavaScript エンジンに存在するタイプ・コンヒュージョンの欠陥に起因します。Google Chrome のユーザーには、潜在的な脅威を軽減するために、Windows/Mac/Linux の最新 Ver 99.0.4844.84 へのアップデートが強く推奨されています。また、Microsoft Edge/Opera/Vivaldi などの Chromium ベース・ブラウザのユーザーに対しても、修正プログラムが利用可能になり次第、適用することを推奨しています。
Google Chrome Desktop 98.0.4758.102 未満
CVE-2022-0609 CVE-2022-1096
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
https://iototsecnews.jp/2022/03/25/google-issues-urgent-chrome-update-to-patch-actively-exploited-zero-day-vulnerability/
===================================
■■■ Microsoft Windows Server/Watchguard Firebox
Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されている 66件の脆弱性の大規模なセットを、Known Exploited Vulnerabilities のカタログに追加しました。対象となっているものには、Microsoft Windows Serverや、Watchguard Fireboxなどがあります。これらの欠陥は、組織に対する現実のサイバー攻撃として観測されているため、システム管理者の意識を高め、セキュリティ更新プログラムを適用するための、公式勧告として公開されています。
Microsoft Windows Server 2008/2008 R2/2012/2012 R2/2016/2019/2022、Microsoft Windows 7/8.1/10/11
CVE-2022-26143 CVE-2022-21999 CVE-2022-26318 CVE-2022-21999
CVE-2022-26318
Watchguard Firebox 12.1.3_U8/12.5.9_U2/12.7.2_U2 未満、WatchGuard XTM 12.1.3_U8/12.5.9_U2/12.7.2_U2 未満
CVSS: 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21981
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21989
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21997
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21999
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22000
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22717
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22718
https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2022-patch-tuesday-fixes-48-flaws-1-zero-day/
https://vuldb.com/?id.194252
https://nvd.nist.gov/vuln/detail/CVE-2022-26318
https://iototsecnews.jp/2022/03/26/cisa-adds-66-vulnerabilities-to-list-of-bugs-exploited-in-attacks/
===================================
■■■ My Cloud NAS
Western Digital の My Cloud NAS の深刻な脆弱性 CVE-2021-44142 が FIX されました。Western Digital は、パッチが適用されていない My Cloud OS 5 デバイスにおいて、攻撃者に root 権限でのリモートコード実行を許してしまう、深刻な脆弱性を修正しました。この欠陥は、Samba vfs_fruit VFS モジュールにおける、境界外ヒープ Read/Write の脆弱性 CVE-2021-44142 です。この欠陥は、脆弱なファームウェア・バージョンを実行する、My Cloud デバイスを標的とした複雑度の低い攻撃において、未認証の脅威者による悪用が可能となります。
Samba 4.15.5 未満
CVE-2021-44142
CVSS: 9.9
https://www.samba.org/samba/history/samba-4.15.5.html
https://access.redhat.com/security/cve/cve-2021-44141
https://access.redhat.com/security/cve/cve-2021-44142
https://access.redhat.com/security/cve/cve-2022-0336
https://www.security-next.com/133774
https://www.bleepingcomputer.com/news/security/samba-bug-can-let-remote-attackers-execute-code-as-root/
https://iototsecnews.jp/2022/03/26/western-digital-fixes-critical-bug-giving-root-on-my-cloud-nas-devices/
===================================
■■■ Sophos UTM/Sophos Firewall
Sophos Firewall の深刻な脆弱性 CVE-2022-1040 が FIX されました。Sophos は、Sophos Firewall 製品に存在する、深刻なリモートコード実行 (RCE) の脆弱性を修正しました。この認証回避の脆弱性 CVE-2022-1040 は、Sophos Firewall の User Portal および Webadmin 領域に存在します。また、2022年3月25日に Sophos は、Sophos Firewall Ver 18.5 MR3 (18.5.3) 以前に影響する、リモートコード実行の深刻な脆弱性を開示し、それに対するホット・フィックスをリリースしました。
Sophos UTM 9.710 未満
Sophos Firewall 18.5 MR3 以下
CVE-2022-0386 CVE-2022-0652 CVE-2022-1040
CWE-89(SQL インジェクション)
CVSS: 8.8
https://vuldb.com/?id.195601
https://nvd.nist.gov/vuln/detail/CVE-2022-0386
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220321-utm-9710
https://iototsecnews.jp/2022/03/27/critical-sophos-firewall-vulnerability-allows-remote-code-execution/
===================================
■■■ SonicWALL SonicOS
SonicWall ファイアウォールにおける深刻な DoS 脆弱性 CVE-2022-22274 が FIX されました。セキュリティ・ハードウェア・メーカーである SonicWall は、オペレーティングシステム SonicOS に存在する、サービス拒否 (DoS) 攻撃やリモートコード実行 (RCE) を生じる可能性のある、深刻な脆弱性を修正したことを発表しました。このセキュリティ上の欠陥は、スタックベースのバッファ・オーバーフローの脆弱性であり、複数の SonicWall ファイアウォールに影響を及ぼします。
SonicWALL SonicOS
CVE-2022-22274
CVSS: 9.4
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0003
https://vuldb.com/?id.195817
https://nvd.nist.gov/vuln/detail/CVE-2022-22274
https://iototsecnews.jp/2022/03/28/critical-sonicwall-firewall-patch-not-released-for-all-devices/
===================================
■■■ Google Chrome Desktop/Microsoft Windows
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対し、野放し状態で積極的に悪用されている Google Chome のゼロデイの深刻な脆弱性に対して、3週間以内にパッチするよう命じました。2022年3月25日に公開された Google アドバイザリによると、Chrome のゼロデイ脆弱性 CVE-2022-1096 は、Chrome V8 JavaScript エンジンに存在するタイプ・コンフュージョンであり、脅威者に対して標的デバイス上で任意のコード実行を許す可能性があるとのことです。CISAのリストには、Microsoft Windows Server、Microsoft Windowsの CVE-2022-21999 などの項目も含まれています。
Google Chrome Desktop 99.0.4844.84 未満
Microsoft Windows Server 2008/2008 R2/2012/2012 R2/2016/2019/2022、Microsoft Windows 7/8.1/10/11
CVE-2022-1096
CVE-2022-21999
CVE-2022-26143
CVSS: 7.8
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21981
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21989
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21997
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21999
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22000
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22717
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22718
https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2022-patch-tuesday-fixes-48-flaws-1-zero-day/
https://iototsecnews.jp/2022/03/28/cisa-warns-orgs-to-patch-actively-exploited-chrome-redis-bugs/
===================================
■■■ Microsoft Defender for IoT
Microsoft Defender for IoT には深刻な脆弱性が存在し、PoC エクスプロイトが公開されています。継続的な NDR (Network Detection and Respons) 機能を備えた Defender for IoT は、さまざまな IoT/OT/ICS デバイスをサポートし、オンプレミスとクラウドの双方へのデプロイメントが可能です。その Defender for IoT における、2つの深刻な脆弱性 CVE-2021-42311/CVE-2021-42313 は CVSS 値 が 10 であり、2021年12月の Microsoft Patch Tuesday で対処されています。どちらも SQL インジェクションの脆弱性であり、リモートの攻撃者による認証なしの悪用が可能となり、任意のコード実行を許すことになります。トークン検証プロセスに存在する CVE-2021-42313 は、UUID パラメータのサニタイズの欠如に起因すると SentinelLabs は説明しています。
CVE-2021-37222
CVE-2021-42310
CVE-2021-42311
CVE-2021-42312
CVE-2021-42313
CVSS: 9.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42310
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42311
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42312
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42313
https://iototsecnews.jp/2022/03/29/critical-vulnerabilities-found-in-microsoft-defender-for-iot/
===================================
■■■ VMware vCenter Server
VMware vCenter Server の脆弱性 CVE-2022-22948 が FIXされました。2022年3月29日に VMware は、数多くの組織へ向けた攻撃で容易に悪用される、vCenter Server に存在する脆弱性に対処するパッチ提供を開始しました。この脆弱性 CVE-2022-22948 は、不適切なファイル・パーミッションに起因する情報漏洩の問題と説明されています。この欠陥は、組織のサイバー・リスクの削減を支援する Pentera により、VMware に対して報告されました。
VMware ESXi 6.5/6.7/7.0、
VMware ESXi ESXi650-202102101-SG/ESXi670-202102401-SG/ESXi70U1c-17325551
VMware vCenter Server 7.0/6.7/6.5
VMware vCenter Server 6.5 U3n/6.7 U3l/7.0 U1c
VMware Cloud Foundation 4.x/3.x
CVE-2021-21972
CVE-2021-22015
CVE-2022-22948
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
https://vuldb.com/?id.196026
https://nvd.nist.gov/vuln/detail/CVE-2022-22948
https://www.vmware.com/security/advisories/VMSA-2022-0009.html
https://iototsecnews.jp/2022/03/29/vmware-vcenter-server-vulnerability-can-facilitate-attacks-on-many-organizations/
===================================
■■■ Apache log4j
VMware Horizon Servers への Log4j 攻撃は衰えることなく継続しています。2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けています。今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表しました。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みでした。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されています。
Apache log4j 2.0-beta9~2.14.1 以下
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://access.redhat.com/security/cve/cve-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
https://www.bleepingcomputer.com/news/security/minecraft-rushes-out-patch-for-critical-log4j-vulnerability/
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/
https://iototsecnews.jp/2022/03/30/log4j-attacks-continue-unabated-against-vmware-horizon-servers/
===================================
■■■ QNAP NAS
QNAP は NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX しました。台湾の QNAP は、同社の NAS アプライアンスの一部が、先日公開されたオープンソース OpenSSL Cryptographic Library の影響を受けることを明らかにしました。同社は、2022年3月29日に発表したアドバイザリーで、「OpenSSL における無限ループの脆弱性が、特定の QNAP NAS に影響を及ぼすことが報告されている。この脆弱性が悪用された場合、攻撃者はサービス拒否攻撃を行うことが可能になる」と述べています。
OpenSSL 1.0.2zc/1.1.1m/3.0.1 以下/1.1.1n/3.0.2
CVE-2022-0778
CWE-404(リソースの不適切な解放)
CVSS: 5.3
https://www.openssl.org/news/vulnerabilities.html
https://www.openssl.org/news/secadv/20220315.txt
https://vuldb.com/?id.195123
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://iototsecnews.jp/2022/03/30/qnap-warns-of-openssl-infinite-loop-vulnerability-affecting-nas-devices/
===================================
■■■ VMware Spring Cloud Function
Spring Java Framework のゼロデイ脆弱性 CVE-2022-22963について。Framework Spring Core の新たなゼロデイ脆弱性 Spring4Shell が公開され、それを利用するアプリケーション上で、未認証のリモートコード実行が可能になることが明らかにされました。Spring は、エンタープライズ・レベルの機能を持つ Java アプリケーションを、迅速かつ容易に開発できるようにするため、ソフトウェア開発者にとって極めて人気の高いアプリケーション・フレームワークです。それらのアプリケーションは、必要な依存関係をすべて備えたスタンドアロン・パッケージとして、Apache Tomcat などのサーバーにディプロイできます。
VMware Spring Cloud Function 3.1.6/3.1.7/3.2.2 以下
CVE-2022-22963
CWE-94(コード・インジェクション)
CVSS: 9.8
https://vuldb.com/?id.196070
https://nvd.nist.gov/vuln/detail/CVE-2022-22963
https://tanzu.vmware.com/security/cve-2022-22963
https://iototsecnews.jp/2022/03/30/new-spring-java-framework-zero-day-allows-remote-code-execution/
===================================
■■■ Apple macOS Monterey
Apple の緊急アップデートがiPhone/iPad/Mac の2つのゼロデイ脆弱性に対応しました。Apple が、緊急のセキュリティ・パッチをリリースしました。具体的には、iPhone/iPad/Mac のハッキングに活発に利用されている、2つのゼロデイ脆弱性に対応するものです。1つ目のゼロデイ脆弱性 CVE-2022-22674 は、Intel Graphics Driver に存在し、悪意のアプリにカーネル・メモリ読み取りを許してしまう、境界外読取の問題です。Apple は、「この問題には、入力の検証を改善することで対処しました。Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」とアドバイザリに記しています。
Apple macOS Monterey 12.3.1/12.3.1 未満
CVE-2022-22674
CVE-2022-22675
CVSS: 7.8
https://support.apple.com/en-us/HT213220
https://vuldb.com/?id.196278
https://vuldb.com/?id.196279
https://iototsecnews.jp/2022/03/31/apple-issues-emergency-patches-to-fix-actively-exploited-zero-days/
===================================
■■■ OpenSSL
各ベンダーたちの現状についての、OpenSSL の脆弱性 CVE-2022-0778 の追跡調査です。3月の初めに発生した OpenSSL の脆弱性が、自社の製品やサービスに与える影響について、セキュリティ/クラウド/ストレージなどのベンダーたちが評価を進めています。OpenSSL プロジェクトが公開した更新プログラムでは、証明書の解析に関連する深刻度の高いサービス拒否 (DoS) 脆弱性に対してパッチが適用されています。このセキュリティ・ホールは、Google の脆弱性研究者である Tavis Ormandy が報告したものであり、CVE-2022-0778 として追跡され、OpenSSL の Ver 1.0.2/1.1.1/3.0 に影響を及ぼしています。このリリースにより、Ver 1.0.2zd/1.1.1n/3.0.2 で修正されています。
OpenSSL 1.0.2zc/1.0.2zd/1.1.1m/1.1.1n/3.0.1 以下/3.0.2
CVE-2022-0778
CWE-404(リソースの不適切な解放)
CVSS: 5.3
https://www.openssl.org/news/vulnerabilities.html
https://www.openssl.org/news/secadv/20220315.txt
https://vuldb.com/?id.195123
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://iototsecnews.jp/2022/03/31/cybersecurity-vendors-assessing-impact-of-recent-openssl-vulnerability/
===================================
■■■ Sophos ファイアウォール
Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対して、Sophos のファイアウォールの深刻なバグを含む、現時点で悪用されている8つの脆弱性に対して、3週間以内にパッチを適用するよう命じました。ほぼ1週間前に Sophos が明らかにしたように、脆弱性 CVE-2022-1040 を悪用する攻撃者は、User Portal または Webadmin インターフェイスを介して認証をバイパスし、リモートで任意のコードを実行できます。
Sophos Firewall 18.5 MR3 以下/18.5 MR4/19.0 GA
CVE-2022-1040
CWE-287(不適切な認証)
CVSS: 9.8
https://vuldb.com/?id.195780
https://nvd.nist.gov/vuln/detail/CVE-2022-1040
https://www.sophos.com/ja-jp/security-advisories/sophos-sa-20220325-sfos-rce
https://iototsecnews.jp/2022/03/31/cisa-orders-agencies-to-patch-actively-exploited-sophos-firewall-bug/
===================================
■■■ Zyxel Firewall/VPN 製品群
Zyxel の Firewall/VPN 製品群に深刻な認証バイパスの脆弱性があります。ネットワーク機器メーカーの Zyxel は、同社のビジネスグレード・ファイアウォールおよび VPN 製品のファームウェアをアップデートし、攻撃者による対象機器の管理者レベルへのアクセスという深刻な脆弱性に対処しました。Zyxel のセキュリティ勧告は、USG/ZyWALL/USG FLEX/ATP/VPN/NSG (Nebula Security Gateway) シリーズの製品を対象としています。
Zyxel USG、Zyxel ZyWALL
CVE-2022-0342
CWE-287(不適切な認証)
CVSS: 9.8
https://vuldb.com/?id.195897
https://nvd.nist.gov/vuln/detail/CVE-2022-0342
https://iototsecnews.jp/2022/03/31/zyxel-patches-critical-bug-affecting-firewall-and-vpn-devices/
===================================
■■■ GitLab
GitLab に深刻なアカウント乗っ取りの脆弱性が発見されました。GitLab は、ハードコードされたパスワードを使用するリモートの攻撃者に、ユーザー・アカウントの乗っ取りを許してしまう、深刻な脆弱性に対処しました。この脆弱性 CVE-2022-1162 は、GitLab Community Edition (CE) と Enterprise Edition (EE) の双方に影響をおよぼします。具体的には、GitLab CE/EE で OmniAuth ベースで登録を行う際の、誤って設定された静的なパスワードに起因しています。
GitLab Community Edition 14.9.2/14.8.5/14.7.7 未満、GitLab Enterprise Edition 14.9.2/14.8.5/14.7.7 未満
CVE-2022-1162
CVSS: 9.1
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/
https://iototsecnews.jp/2022/04/01/critical-gitlab-vulnerability-lets-attackers-take-over-accounts/
===================================
■■■ Trend Micro Apex
Trend Micro の Apex Central における RCE の脆弱性 CVE-2022-26871 が FIX されました。日本のサイバー・セキュリティ企業である Trend Micro は、製品管理コンソールである Apex Central に存在する、任意のリモート・コード実行を攻撃者に許してしまう、深刻度の高いセキュリティ不具合にパッチを適用しました。Apex Central とは、ネットワーク上に展開された Trend Micro 全体の製品およびサービスを、システム・アドミニストレータが管理するための Web ベース・コンソールです。このコンソールを使用すると、事前にスケジュールされたアップデートにより、各種のコンポーネントを展開することが可能になります。
Trend Micro Apex Central 2019、Trend Micro Apex Central (SaaS)
CVE-2022-26871
CVSS: 8.6
https://www.jpcert.or.jp/at/2022/at220008.html
https://success.trendmicro.com/jp/solution/000290660
https://iototsecnews.jp/2022/04/01/trend-micro-fixes-actively-exploited-remote-code-execution-bug/
===================================
■■■ Rockwell PLC
Rockwell の PLC に深刻な脆弱性が発見されました。Rockwell Automation の Programmable Logic Controller (PLC) を、研究者たちが分析したところ、オートメーション・プロセスを変更する方法を攻撃者に提供することで、産業工程を中断し、工場に物理的損害を与えるなどの、悪意の行動を許す可能性のある、2つの深刻な脆弱性が発見されました。それらの脆弱性を発見した Claroty Team82 の研究者たちによると、攻撃者は異常な動作を検知されることなく、PLC 上で悪意のコードを実行できることから、Stuxnet 的な性質があるとされます。
Rockwell Automation ControlLogix 5580 controllers、Rockwell Automation GuardLogix 5580 controllers、Rockwell Automation CompactLogix 5380 controllers、Rockwell Automation CompactLogix 5480 controllers、Rockwell Automation Compact GuardLogix 5380 controllers
CVE-2022-1159, CVE-2022-1161
CWE-94(コード・インジェクション)、CWE-829(信頼できない領域からの機能の取り込み)
CVSS: 10
https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-07
https://vuldb.com/?id.196259
https://nvd.nist.gov/vuln/detail/CVE-2022-1159
https://iototsecnews.jp/2022/04/01/vulnerabilities-in-rockwell-automation-plcs-could-enable-stuxnet-like-attacks/
https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-05
https://vuldb.com/?id.196258
https://nvd.nist.gov/vuln/detail/CVE-2022-1161
https://iototsecnews.jp/2022/04/01/vulnerabilities-in-rockwell-automation-plcs-could-enable-stuxnet-like-attacks/
https://iototsecnews.jp/2022/04/01/vulnerabilities-in-rockwell-automation-plcs-could-enable-stuxnet-like-attacks/
===================================
■■■ VMware Spring Boot
VMware は、同社のクラウドおよび仮想化の製品のいくつかに影響を及ぼす、深刻なリモートコード実行の脆弱性 (Spring4Shell) に対するセキュリティ・アップデートを公開しました。Spring4Shell の影響を受ける VMware 製品の一覧は、同社のアドバイザリで確認できます。修正プログラムが提供されていないケースのために、VMware は一時的な解決策としてワークアラウンドをリリースしています。記事の発行時点において、Spring4Shell の脆弱性は活発に悪用され、セキュリティ速報に記載されているアドバイスに従うことが極めて重要となります。
VMware Spring Boot 2.5.11/2.6.5 以下
CVE-2022-22965
CWE-74(インジェクション)
CVSS: 6.3
https://vuldb.com/?id.196076
https://github.com/BobTheShoplifter/Spring4Shell-POC
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://japan.zdnet.com/article/35185666/
https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html
https://iototsecnews.jp/2022/04/04/vmware-patches-spring4shell-rce-flaw-in-multiple-products/
https://iototsecnews.jp/2022/04/04/vmware-patches-spring4shell-rce-flaw-in-multiple-products/
https://iototsecnews.jp/2022/04/05/microsoft-detects-spring4shell-attacks-across-its-cloud-services/
https://iototsecnews.jp/2022/04/05/springshell-attacks-target-about-one-in-six-vulnerable-orgs/
https://iototsecnews.jp/2022/04/08/mirai-malware-now-delivered-using-spring4shell-exploits/
===================================
■■■ VMware Workspace ONE Access
VMware の Workspace ONE Access における深刻な脆弱性が FIX されました。2022年4月6日に VMware は、Workspace ONE Access などの製品群に影響を及ぼす、複数の深刻な脆弱性に対するパッチを発表しました。同社のアドバイザリでは、合計で8つのセキュリティ・ホールの詳細が説明され、VMware Workspace ONE Access/Identity Manager (vIDM/ Workspace ONE Access) /vRealize Automation (vRA)/Cloud Foundation/Suite Lifecycle Manager に影響を与えるとされています。一連の問題のうち5件は、深刻度が Critical と評価されています。VMware は、影響を受ける可能性のある全顧客に対して、利用可能なパッチまたは回避策を、可能な限り早急に適用することを推奨しています。
VMware Cloud Foundation 4.x/3.x
VMware Identity Manager 3.3.6/3.3.5/3.3.4/3.3.3
VMware Workspace ONE Access 21.08.0.1/21.08.0.0/20.10.0.1/20.10.0.0
VMware vRealize Automation 8.x/7.6
VMware vRealize Suite Lifecycle Manager 8.x
CVE-2022-22954, CVE-2022-22955, CVE-2022-22956, CVE-2022-22957, CVE-2022-22958
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
https://iototsecnews.jp/2022/04/07/vmware-patches-five-critical-vulnerabilities-in-workspace-one-access/
===================================
■■■ Watchguard Firebox/XTM
2022年4月7日に Cybersecurity and Infrastructure Security Agency (CISA) は、すべての連邦政府民間機関と米国組織に対して、WatchGuard Firebox および XTM Firewall 製品で積極的に悪用されているバグを修正するよう促しました。ロシアの軍事情報機関 GRU に属するとされる、国家に支援されたハッキング・グループ Sandworm も、この深刻度の高い特権昇格の脆弱性 CVE-2022-23176 を悪用し、感染させた WatchGuard Small Office/Home Office (SOHO) ネットワーク・デバイスを用いて、Cyclops Blink と呼ばれる新しいボットネットを構築しています。
Watchguard Firebox 11.7.2/12.1.3_U2/12.5.7_U2 以下、Watchguard XTM 11.7.2/12.1.3_U2/12.5.7_U2 以下
CVE-2022-23176
CWE-284(不適切なアクセス制御)
CVSS: 8.8
https://vuldb.com/?id.193702
https://nvd.nist.gov/vuln/detail/CVE-2022-23176
https://iototsecnews.jp/2022/04/11/cisa-warns-orgs-of-watchguard-bug-exploited-by-russian-state-hackers/
https://iototsecnews.jp/2022/04/11/cisa-warns-orgs-of-watchguard-bug-exploited-by-russian-state-hackers/
===================================
■■■ Microsoft Windows Server、Microsoft Windows
Microsoft 2022-04 月例アップデートは2件のゼロデイと 119件の脆弱性に対応しました。4月の Patch Tuesday では、2つのゼロデイ脆弱性 (1つは公表/1つは積極的な悪用) の修正が含まれています。Microsoft では、公式な修正プログラムがない脆弱性であり、一般に公開されているもの、積極的に悪用されているものを、ゼロデイ脆弱性と分類しています。
Microsoft Windows Server 2022/2019/2016/2012/2012 R2/2008 R2/2008、Microsoft Windows 11/10/8.1/7
CVE-2022-26904
CVSS: 7.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2022-patch-tuesday-fixes-119-flaws-2-zero-days/
Microsoft Windows Server 2022/2019/2016/2012/2012 R2/2008 R2/2008、Microsoft Windows 11/10/8.1/7
CVE-2022-24521
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
https://iototsecnews.jp/2022/04/12/microsoft-april-2022-patch-tuesday-fixes-119-flaws-2-zero-days/
===================================
■■■ HP Teradici PCoIP
HP は、Windows/Linux/macOS 向けの Teradici PCoIP クライアント/エージェントに存在する深刻な脆弱性が、1500万台のエンド・ポイントに影響を与える可能性があるとして、警告を発しています。先日公開された OpenSSL 証明書解析バグにより、Teradici に無限ループが生じることが発見されています。OpenSSL の DoS 脆弱性は広範囲に影響が及んでいるため、壊滅的な攻撃につながる欠陥ではないにしても、重大な問題であることに変わりはありません。既に、QNAP の NAS デバイスの大半が、CVE-2022-0778 に対して脆弱であると警告され、ユーザーに対して早急なアップデート適用が促されています。先週には、Palo Alto Networks の VPN/XDR/ファイアウォール製品の顧客に対して同様の警告が発せられ、セキュリティ・アップデートと緩和策が提供されました。
OpenSSL 1.0.2zc/1.1.1m/3.0.1 以下
CVE-2022-0778
CWE-404(リソースの不適切な解放)
CVSS: 5.3
https://www.openssl.org/news/vulnerabilities.html
https://www.openssl.org/news/secadv/20220315.txt
https://vuldb.com/?id.195123
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://iototsecnews.jp/2022/04/12/critical-hp-teradici-pcoip-flaws-impact-15-million-endpoints/
===================================
■■■ Citrix SD-WAN
Citrix SD-WAN 製品ポートフォリオの脆弱性 CVE-2022-27505 などが FIX されました。2022年4月11日の週に Citrix は、同社の SD-WAN 製品ポートフォリオ全体における、複数の深刻な脆弱性に対するパッチを発表しました。米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ユーザーおよび管理者に対して、Citrix のセキュリティ情報を確認し、利用可能なセキュリティ更新プログラムを適用することを推奨しています。CISA は、「攻撃者たちは、これらの脆弱性のいくつかを悪用して、影響を受けるシステムを制御できる」と指摘しています。
Citrix SD-WAN Standard/Premium Edition Appliance 11.4.3a 以下
Citrix SD-WAN Center Management Console 11.4.3 以下
Citrix SD-WAN Standard/Premium Edition Appliance 11.4.1 以下
Citrix SD-WAN Orchestrator for On-Premises 13.2.1 以下
CVE-2022-27505, CVE-2022-27506
CWE-79(クロスサイト・スクリプティング)、CWE-798(認証情報ハードコード)
CVSS: 6.8
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products
https://support.citrix.com/article/CTX370550
https://vuldb.com/?id.197312
Citrix StoreFront 1912 CU4/3.12 CU8 以下
CVE-2022-27503
CWE-79(クロスサイト・スクリプティング)
CVSS: 3.5
https://support.citrix.com/article/CTX377814
https://vuldb.com/?id.197319
https://nvd.nist.gov/vuln/detail/CVE-2022-27503
Citrix Endpoint Management XenMobile Server 10.14.0 rolling patch 4 以下/10.14.0 rolling patch 5 以下/10.13.0 rolling patch 7 以下/10.13.0 rolling patch 8 以下
CVE-2021-44519, CVE-2021-44520, CVE-2022-26151
CVSS: 8.8
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products
https://support.citrix.com/article/CTX370551
https://vuldb.com/?id.197146
https://iototsecnews.jp/2022/04/13/citrix-patches-vulnerabilities-in-several-products/
===================================
■■■ VMware Workspace ONE Access
VMware の脆弱性 CVE-2022-22954 が FIX されました。この脆弱性は、積極的な悪用が観察されています。VMware のリモートコード実行の脆弱性 CVE-2022-22954 を悪用し、コインマイナーをサーバーに感染させる攻撃に、すでに積極的に利用されている PoC エクスプロイトがオンラインで公開されました。この脆弱性は、広範囲で使用されている VMware Workspace ONE Access/VMware Identity Manager に影響をおよぼす Critical (CVSS:9.8) なリモートコード実行 (RCE) の欠陥です。
VMware Workspace ONE Access 21.08.0.1/21.08.0.0/20.10.0.1/20.10.0.0
VMware Identity Manager 3.3.6/3.3.5/3.3.4/3.3.3
VMware vRealize Automation 8.x/7.6
VMware Cloud Foundation 4.x/3.x
VMware vRealize Suite Lifecycle Manager 8.x
CVE-2022-22954
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
https://iototsecnews.jp/2022/04/13/hackers-exploit-critical-vmware-cve-2022-22954-bug-patch-now/
===================================
■■■ ASRock RGB Driver
米国政府機関の警告です。ICS/SCADA を標的とする危険なマルウェアが活動し始めました。4月22日に米国政府は、Industrial Control Systems (ICS) や Supervisory Control And Data Acquisition (SCADA) への不正なアクセスを維持するために、国家的な驚異アクターたちが特殊なマルウェアを展開していると警告を発しました。複数の米国機関はアドバイザリで「APT 行為者たちは、ICS/SCADA デバイスを標的とするカスタムメイドのツールを開発している。このツールにより、彼らは OT ネットワークへのイニシャル・アクセスを確立した後に、影響を受けるデバイスをスキャン/侵害/制御できるようになる」と述べています。
ASRock RGB Driver
CVE-2020-15368
CVSS: 5.5
https://vuldb.com/?id.157456
https://nvd.nist.gov/vuln/detail/CVE-2020-15368
https://iototsecnews.jp/2022/04/13/u-s-warns-of-apt-hackers-targeting-ics-scada-systems-with-specialized-malware/
===================================
■■■ Apache Struts
Apache Struts 2 の深刻な RCE 脆弱性が FIX されました。これは、以前のパッチにおける問題を修正するものです。圧倒的な支持を得ている Apache Struts プロジェクトの、すでに解決されたと考えられていた深刻な脆弱性において、完全には改善されていなかったことが判明し、新たな修正が提供されることになりました。そのため、Cybersecurity and Infrastructure Security Agency (CISA) も、パッチを適用した最新の Struts 2 へのアップグレードを急ぐよう、ユーザーと管理者に対して促しています。
Apache Struts 2.3.5 〜 2.3.31 および 2.5 〜 2.5.10
CVE-2017-5638
https://cwiki.apache.org/confluence/display/WW/S2-045
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
*
Apache Struts 2.0.0〜2.5.25
CVE-2020-17530
https://cwiki.apache.org/confluence/display/WW/S2-061
https://access.redhat.com/security/cve/cve-2020-17530
*
Apache Struts 2 2.0.0~2.5.29
CVE-2021-31805
CWE-917(言語構文の表現に使用される特殊な要素の不適切な無効化)
https://cwiki.apache.org/confluence/display/WW/S2-062
https://www.jpcert.or.jp/at/2022/at220011.html
https://vuldb.com/ja/?id.197260
https://nvd.nist.gov/vuln/detail/CVE-2021-31805
https://security.sios.com/vulnerability/struts-security-vulnerability-20220413.html
https://iototsecnews.jp/2022/04/14/critical-apache-struts-rce-vulnerability-wasnt-fully-fixed-patch-now/
===================================
■■■ VMware Cloud Director
VMware Cloud Director の深刻な RCE 脆弱性 CVE-2022-22966 が FIX されました。クラウドと仮想化の VMware は、同社の Cloud Director における極めて深刻なセキュリティ欠陥に対するパッチを提供し、また、パッチ未適用のシステムは、リモートコード実行の攻撃にさらされると警告しています。この脆弱性は、バグバウンティ・プログラムに参加しているセキュリティ研究者により非公開で報告されたものであり、その CVSS 値は 9.1 であり、すべての VMware Cloud Director ユーザーにとって優先度の高い更新と見なされています。
VMware Cloud Director 10.3.x/10.2.x/10.1.x
CVE-2022-22966
https://www.vmware.com/security/advisories/VMSA-2022-0013.html
https://vuldb.com/?id.197361
https://nvd.nist.gov/vuln/detail/CVE-2022-22966
https://iototsecnews.jp/2022/04/14/critical-code-execution-flaw-haunts-vmware-cloud-director/
===================================
■■■ Cisco Wireless LAN Controllers
Cisco Wireless LAN Controller の深刻な脆弱性 CVE-2022-20695 が FIX されました。Cisco は、同社の Wireless LAN Controller (WLC) ソフトウェアのアップデートを公開し、攻撃者に認証回避を許してしまう、深刻な脆弱性に対処したと発表しました。この脆弱性 CVE-2022-20695 (CVSS:10) は、パスワード検証アルゴリズムが適切に実装されていないという欠陥に起因するものです。それにより攻撃者は、細工した認証情報を用いて認証を回避し、脆弱なデバイスに管理者としてログインすることが可能になります。
Cisco 3504 Wireless Controller
Cisco 5520 Wireless Controller
Cisco 8540 Wireless Controller
Cisco Mobility Express、Cisco Virtual Wireless Controller
CVE-2022-20695
CWE-303(認証アルゴリズムの不正確な実装)
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wlc-auth-bypass-JRNhV4fF
https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
https://iototsecnews.jp/2022/04/14/cisco-patches-critical-vulnerability-in-wireless-lan-controller/
===================================
■■■ Google Chrome Desktop
Google Chrome に緊急パッチが提供されました。野放しで悪用されているゼロデイ脆弱性に対応するものです。Google は、同社の Web ブラウザ Chrome に存在する、2つのセキュリティ問題に対処するための緊急パッチを配布しました。この深刻な脆弱性 CVE-2022-1364 は、V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因すると説明されています。Google Threat Analysis Group の Clément Lecigne が、この欠陥を 2022年4月13日に報告したとされています。
Google Chrome Desktop 100.0.4896.127 未満
CVE-2022-1364
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html
https://iototsecnews.jp/2022/04/14/google-releases-urgent-chrome-update-to-patch-actively-exploited-zero-day-flaw/
===================================
■■■ Microsoft Windows Server
Microsoft の RPC 脆弱性 CVE-2022-26809 は危険です。PoC エクスプロイトの前にパッチを! Microsoft の最新 Patch Tuesday から3日が経過し、最も悪用される可能性が高い脆弱性として、CVE-2022-26809 が浮上してきました。その理由は明白で、未認証のリモート攻撃者によるシステムへの侵入や、その後の、同じネットワーク上の他システムへの侵入に悪用される可能性があるためです。また、脆弱なシステム上のユーザーが何もしなくても (ゼロクリック)、悪用される可能性もあります。
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008R2/2008
Microsoft Windows 11/10/8.1/7
CVE-2022-26809
CVSS: 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26809
https://iototsecnews.jp/2022/04/15/critical-microsoft-rpc-runtime-bug-no-poc-exploit-yet-but-patch-asap-cve-2022-26809/
===================================
■■■ VMware Workspace ONE Access
4/15のCISA 警告です。VMware や Chrome の脆弱性が悪用リストに追加されました。Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているバグのリストに、VMware の特権昇格の脆弱性および、Google Chrome のリモートコード実行のゼロデイ脆弱性などの、9件のセキュリティ欠陥を追加したことを発表しました。4月6日にパッチが適用された VMwareの脆弱性 CVE-2022-22960 は、サポートスクリプトの不適切なパーミッションにより、脆弱なサーバー上での root への特権昇格を攻撃者に許してしまうものです。
VMware Workspace ONE Access 21.08.0.1/21.08.0.0/20.10.0.1/20.10.0.0
VMware Identity Manager 3.3.6/3.3.5/3.3.4/3.3.3
VMware vRealize Automation 8.x/7.6
VMware Cloud Foundation 4.x/3.x
VMware vRealize Suite Lifecycle Manager 8.x
CVSS: CVE-2022-22960
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
Google Chrome Desktop 100.0.4896.127 未満
CVE-2022-1364
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html
*
D-Link DNS-320 ファームウェア 2.05.B10 以下
CVE-2019-16057
CWE-78(OSコマンド・インジェクション)
CVSS: 9.8
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-009283.html
https://nvd.nist.gov/vuln/detail/CVE-2019-16057
https://iototsecnews.jp/2022/04/15/cisa-orders-agencies-to-fix-actively-exploited-vmware-chrome-bugs/
===================================
■■■ Microsoft Windows Server
4/19の CISA 警告です悪用脆弱性リストに Windows Print Spooler バグなどが追加されました。Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されるバグのリストに、Windows Print Spooler におけるローカル権限昇格バグを含む、3つの新たなセキュリティ不具合を追加しました。この深刻度 High の脆弱性 CVE-2022-22718 は、Microsoft アドバイザリーによると、すべての Windows バージョンに影響を与えるものであり、February 2022 Patch Tuesday でパッチが適用されています。
Microsoft Windows Server 2008/2008 R2/2012/2012 R2/2016/2019/2022
Microsoft Windows 7/8.1/10/11
CVE-2022-22718
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22718
*
Synacor Zimbra Collaboration 8.8.6 未満
CVE-2018-6882
CWE-79(クロスサイト・スクリプティング)
CVSS: 6.1
https://vuldb.com/?id.115124
https://nvd.nist.gov/vuln/detail/CVE-2018-6882
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
*
Meta WhatsApp for Android 2.19.134 未満、Meta WhatsApp for iOS 2.19.51 未満、Meta WhatsApp for Windows Phone 2.18.348 未満、Meta WhatsApp for Tizen 2.18.15 未満、Meta WhatsApp Business for Android 2.19.44 未満、Meta WhatsApp Business for iOS 2.19.51 未満
CWE-122(ヒープバッファ・オーバーフロー)
CVE-2019-3568
CVSS: 9.8
https://vuldb.com/?id.134672
https://nvd.nist.gov/vuln/detail/CVE-2019-3568
https://www.facebook.com/security/advisories/cve-2019-3568
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://iototsecnews.jp/2022/04/19/cisa-warns-of-attackers-now-exploiting-windows-print-spooler-bug/
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。