「脆弱性TODAY」キュレーターによる2022年5月の振り返り

2022/06/17 18:00:00

脆弱性TODAYのキュレーターからのコメントを掲載します。

脆弱性トレンド情報 2022年5月度の記事と併せてぜひご覧ください。

脆弱性TODAYとは？

GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能（※有料オプション）で、効率的に脆弱性情報を収集することができます。

キュレーターからのコメント

2022年5月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。

これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。

===================================
■■■ Google Chrome Desktop

2022年3月25日に、Google Chrome のゼロデイ脆弱性が FIXされました。緊急アップデートが配布されています。Google は、Chrome ブラウザに存在する深刻な脆弱性に対処するため、不定期のセキュリティ・アップデートを配布しました。このゼロデイ脆弱性 CVE-2022-1096 は、V8 JavaScript エンジンに存在するタイプ・コンヒュージョンの欠陥に起因します。Google Chrome のユーザーには、潜在的な脅威を軽減するために、Windows／Mac／Linux の最新 Ver 99.0.4844.84 へのアップデートが強く推奨されています。また、Microsoft Edge／Opera／Vivaldi などの Chromium ベース・ブラウザのユーザーに対しても、修正プログラムが利用可能になり次第、適用することを推奨しています。

Google Chrome Desktop 98.0.4758.102 未満
CVE-2022-0609 CVE-2022-1096
https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
https://iototsecnews.jp/2022/03/25/google-issues-urgent-chrome-update-to-patch-actively-exploited-zero-day-vulnerability/

===================================
■■■ Microsoft Windows Server/Watchguard Firebox

Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されている 66件の脆弱性の大規模なセットを、Known Exploited Vulnerabilities のカタログに追加しました。対象となっているものには、Microsoft Windows Serverや、Watchguard Fireboxなどがあります。これらの欠陥は、組織に対する現実のサイバー攻撃として観測されているため、システム管理者の意識を高め、セキュリティ更新プログラムを適用するための、公式勧告として公開されています。

Microsoft Windows Server 2008/2008 R2/2012/2012 R2/2016/2019/2022、Microsoft Windows 7/8.1/10/11
CVE-2022-26143 CVE-2022-21999 CVE-2022-26318 CVE-2022-21999
CVE-2022-26318
Watchguard Firebox 12.1.3_U8/12.5.9_U2/12.7.2_U2 未満、WatchGuard XTM 12.1.3_U8/12.5.9_U2/12.7.2_U2 未満
CVSS: 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21981
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21989
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21997
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21999
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22000
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22717
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22718
https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2022-patch-tuesday-fixes-48-flaws-1-zero-day/
https://vuldb.com/?id.194252
https://nvd.nist.gov/vuln/detail/CVE-2022-26318
https://iototsecnews.jp/2022/03/26/cisa-adds-66-vulnerabilities-to-list-of-bugs-exploited-in-attacks/

===================================
■■■ My Cloud NAS

Western Digital の My Cloud NAS の深刻な脆弱性 CVE-2021-44142 が FIX されました。Western Digital は、パッチが適用されていない My Cloud OS 5 デバイスにおいて、攻撃者に root 権限でのリモートコード実行を許してしまう、深刻な脆弱性を修正しました。この欠陥は、Samba vfs_fruit VFS モジュールにおける、境界外ヒープ Read/Write の脆弱性 CVE-2021-44142 です。この欠陥は、脆弱なファームウェア・バージョンを実行する、My Cloud デバイスを標的とした複雑度の低い攻撃において、未認証の脅威者による悪用が可能となります。

Samba 4.15.5 未満
CVE-2021-44142
CVSS: 9.9
https://www.samba.org/samba/history/samba-4.15.5.html
https://access.redhat.com/security/cve/cve-2021-44141
https://access.redhat.com/security/cve/cve-2021-44142
https://access.redhat.com/security/cve/cve-2022-0336
https://www.security-next.com/133774
https://www.bleepingcomputer.com/news/security/samba-bug-can-let-remote-attackers-execute-code-as-root/
https://iototsecnews.jp/2022/03/26/western-digital-fixes-critical-bug-giving-root-on-my-cloud-nas-devices/

===================================
■■■ Sophos UTM/Sophos Firewall

Sophos Firewall の深刻な脆弱性 CVE-2022-1040 が FIX されました。Sophos は、Sophos Firewall 製品に存在する、深刻なリモートコード実行 (RCE) の脆弱性を修正しました。この認証回避の脆弱性 CVE-2022-1040 は、Sophos Firewall の User Portal および Webadmin 領域に存在します。また、2022年3月25日に Sophos は、Sophos Firewall Ver 18.5 MR3 (18.5.3) 以前に影響する、リモートコード実行の深刻な脆弱性を開示し、それに対するホット・フィックスをリリースしました。

Sophos UTM 9.710 未満
Sophos Firewall 18.5 MR3 以下
CVE-2022-0386 CVE-2022-0652 CVE-2022-1040
CWE-89(SQL インジェクション)
CVSS: 8.8
https://vuldb.com/?id.195601
https://nvd.nist.gov/vuln/detail/CVE-2022-0386
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220321-utm-9710
https://iototsecnews.jp/2022/03/27/critical-sophos-firewall-vulnerability-allows-remote-code-execution/

===================================
■■■ SonicWALL SonicOS

SonicWall ファイアウォールにおける深刻な DoS 脆弱性 CVE-2022-22274 が FIX されました。セキュリティ・ハードウェア・メーカーである SonicWall は、オペレーティングシステム SonicOS に存在する、サービス拒否 (DoS) 攻撃やリモートコード実行 (RCE) を生じる可能性のある、深刻な脆弱性を修正したことを発表しました。このセキュリティ上の欠陥は、スタックベースのバッファ・オーバーフローの脆弱性であり、複数の SonicWall ファイアウォールに影響を及ぼします。

SonicWALL SonicOS
CVE-2022-22274
CVSS: 9.4
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0003
https://vuldb.com/?id.195817
https://nvd.nist.gov/vuln/detail/CVE-2022-22274
https://iototsecnews.jp/2022/03/28/critical-sonicwall-firewall-patch-not-released-for-all-devices/

===================================
■■■ Google Chrome Desktop/Microsoft Windows

米国の Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対し、野放し状態で積極的に悪用されている Google Chome のゼロデイの深刻な脆弱性に対して、３週間以内にパッチするよう命じました。2022年3月25日に公開された Google アドバイザリによると、Chrome のゼロデイ脆弱性 CVE-2022-1096 は、Chrome V8 JavaScript エンジンに存在するタイプ・コンフュージョンであり、脅威者に対して標的デバイス上で任意のコード実行を許す可能性があるとのことです。CISAのリストには、Microsoft Windows Server、Microsoft Windowsの CVE-2022-21999 などの項目も含まれています。

Google Chrome Desktop 99.0.4844.84 未満
Microsoft Windows Server 2008/2008 R2/2012/2012 R2/2016/2019/2022、Microsoft Windows 7/8.1/10/11
CVE-2022-1096
CVE-2022-21999
CVE-2022-26143
CVSS: 7.8
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21981
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21989
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21997
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21999
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22000
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22717
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22718
https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2022-patch-tuesday-fixes-48-flaws-1-zero-day/
https://iototsecnews.jp/2022/03/28/cisa-warns-orgs-to-patch-actively-exploited-chrome-redis-bugs/

===================================
■■■ Microsoft Defender for IoT

Microsoft Defender for IoT には深刻な脆弱性が存在し、PoC エクスプロイトが公開されています。継続的な NDR (Network Detection and Respons) 機能を備えた Defender for IoT は、さまざまな IoT／OT／ICS デバイスをサポートし、オンプレミスとクラウドの双方へのデプロイメントが可能です。その Defender for IoT における、２つの深刻な脆弱性 CVE-2021-42311／CVE-2021-42313 は CVSS 値が 10 であり、2021年12月の Microsoft Patch Tuesday で対処されています。どちらも SQL インジェクションの脆弱性であり、リモートの攻撃者による認証なしの悪用が可能となり、任意のコード実行を許すことになります。トークン検証プロセスに存在する CVE-2021-42313 は、UUID パラメータのサニタイズの欠如に起因すると SentinelLabs は説明しています。

CVE-2021-37222
CVE-2021-42310
CVE-2021-42311
CVE-2021-42312
CVE-2021-42313
CVSS: 9.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42310
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42311
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42312
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42313
https://iototsecnews.jp/2022/03/29/critical-vulnerabilities-found-in-microsoft-defender-for-iot/

===================================
■■■ VMware vCenter Server

VMware vCenter Server の脆弱性 CVE-2022-22948 が FIXされました。2022年3月29日に VMware は、数多くの組織へ向けた攻撃で容易に悪用される、vCenter Server に存在する脆弱性に対処するパッチ提供を開始しました。この脆弱性 CVE-2022-22948 は、不適切なファイル・パーミッションに起因する情報漏洩の問題と説明されています。この欠陥は、組織のサイバー・リスクの削減を支援する Pentera により、VMware に対して報告されました。

VMware ESXi 6.5/6.7/7.0、
VMware ESXi ESXi650-202102101-SG/ESXi670-202102401-SG/ESXi70U1c-17325551
VMware vCenter Server 7.0/6.7/6.5
VMware vCenter Server 6.5 U3n/6.7 U3l/7.0 U1c
VMware Cloud Foundation 4.x/3.x
CVE-2021-21972
CVE-2021-22015
CVE-2022-22948
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
https://vuldb.com/?id.196026
https://nvd.nist.gov/vuln/detail/CVE-2022-22948
https://www.vmware.com/security/advisories/VMSA-2022-0009.html
https://iototsecnews.jp/2022/03/29/vmware-vcenter-server-vulnerability-can-facilitate-attacks-on-many-organizations/

===================================
■■■ Apache log4j

VMware Horizon Servers への Log4j 攻撃は衰えることなく継続しています。2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けています。今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表しました。攻撃の多くは、JavaX miner／Jin／z0Miner／XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みでした。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されています。

Apache log4j 2.0-beta9～2.14.1 以下
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://access.redhat.com/security/cve/cve-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
https://www.bleepingcomputer.com/news/security/minecraft-rushes-out-patch-for-critical-log4j-vulnerability/
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/
https://iototsecnews.jp/2022/03/30/log4j-attacks-continue-unabated-against-vmware-horizon-servers/

===================================
■■■ QNAP NAS

QNAP は NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX しました。台湾の QNAP は、同社の NAS アプライアンスの一部が、先日公開されたオープンソース OpenSSL Cryptographic Library の影響を受けることを明らかにしました。同社は、2022年3月29日に発表したアドバイザリーで、「OpenSSL における無限ループの脆弱性が、特定の QNAP NAS に影響を及ぼすことが報告されている。この脆弱性が悪用された場合、攻撃者はサービス拒否攻撃を行うことが可能になる」と述べています。

OpenSSL 1.0.2zc/1.1.1m/3.0.1 以下/1.1.1n/3.0.2
CVE-2022-0778
CWE-404(リソースの不適切な解放)
CVSS: 5.3
https://www.openssl.org/news/vulnerabilities.html
https://www.openssl.org/news/secadv/20220315.txt
https://vuldb.com/?id.195123
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://iototsecnews.jp/2022/03/30/qnap-warns-of-openssl-infinite-loop-vulnerability-affecting-nas-devices/

===================================
■■■ VMware Spring Cloud Function

Spring Java Framework のゼロデイ脆弱性 CVE-2022-22963について。Framework Spring Core の新たなゼロデイ脆弱性 Spring4Shell が公開され、それを利用するアプリケーション上で、未認証のリモートコード実行が可能になることが明らかにされました。Spring は、エンタープライズ・レベルの機能を持つ Java アプリケーションを、迅速かつ容易に開発できるようにするため、ソフトウェア開発者にとって極めて人気の高いアプリケーション・フレームワークです。それらのアプリケーションは、必要な依存関係をすべて備えたスタンドアロン・パッケージとして、Apache Tomcat などのサーバーにディプロイできます。

VMware Spring Cloud Function 3.1.6/3.1.7/3.2.2 以下
CVE-2022-22963
CWE-94(コード・インジェクション)
CVSS: 9.8
https://vuldb.com/?id.196070
https://nvd.nist.gov/vuln/detail/CVE-2022-22963
https://tanzu.vmware.com/security/cve-2022-22963
https://iototsecnews.jp/2022/03/30/new-spring-java-framework-zero-day-allows-remote-code-execution/

===================================
■■■ Apple macOS Monterey

Apple の緊急アップデートがiPhone／iPad／Mac の２つのゼロデイ脆弱性に対応しました。Apple が、緊急のセキュリティ・パッチをリリースしました。具体的には、iPhone／iPad／Mac のハッキングに活発に利用されている、２つのゼロデイ脆弱性に対応するものです。１つ目のゼロデイ脆弱性 CVE-2022-22674 は、Intel Graphics Driver に存在し、悪意のアプリにカーネル・メモリ読み取りを許してしまう、境界外読取の問題です。Apple は、「この問題には、入力の検証を改善することで対処しました。Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」とアドバイザリに記しています。

Apple macOS Monterey 12.3.1/12.3.1 未満
CVE-2022-22674
CVE-2022-22675
CVSS: 7.8
https://support.apple.com/en-us/HT213220
https://vuldb.com/?id.196278
https://vuldb.com/?id.196279
https://iototsecnews.jp/2022/03/31/apple-issues-emergency-patches-to-fix-actively-exploited-zero-days/

===================================
■■■ OpenSSL

各ベンダーたちの現状についての、OpenSSL の脆弱性 CVE-2022-0778 の追跡調査です。３月の初めに発生した OpenSSL の脆弱性が、自社の製品やサービスに与える影響について、セキュリティ／クラウド／ストレージなどのベンダーたちが評価を進めています。OpenSSL プロジェクトが公開した更新プログラムでは、証明書の解析に関連する深刻度の高いサービス拒否 (DoS) 脆弱性に対してパッチが適用されています。このセキュリティ・ホールは、Google の脆弱性研究者である Tavis Ormandy が報告したものであり、CVE-2022-0778 として追跡され、OpenSSL の Ver 1.0.2／1.1.1／3.0 に影響を及ぼしています。このリリースにより、Ver 1.0.2zd／1.1.1n／3.0.2 で修正されています。

OpenSSL 1.0.2zc/1.0.2zd/1.1.1m/1.1.1n/3.0.1 以下/3.0.2
CVE-2022-0778
CWE-404(リソースの不適切な解放)
CVSS: 5.3
https://www.openssl.org/news/vulnerabilities.html
https://www.openssl.org/news/secadv/20220315.txt
https://vuldb.com/?id.195123
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://iototsecnews.jp/2022/03/31/cybersecurity-vendors-assessing-impact-of-recent-openssl-vulnerability/

===================================
■■■ Sophos ファイアウォール

Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対して、Sophos のファイアウォールの深刻なバグを含む、現時点で悪用されている８つの脆弱性に対して、３週間以内にパッチを適用するよう命じました。ほぼ１週間前に Sophos が明らかにしたように、脆弱性 CVE-2022-1040 を悪用する攻撃者は、User Portal または Webadmin インターフェイスを介して認証をバイパスし、リモートで任意のコードを実行できます。

Sophos Firewall 18.5 MR3 以下/18.5 MR4/19.0 GA
CVE-2022-1040
CWE-287(不適切な認証)
CVSS: 9.8
https://vuldb.com/?id.195780
https://nvd.nist.gov/vuln/detail/CVE-2022-1040
https://www.sophos.com/ja-jp/security-advisories/sophos-sa-20220325-sfos-rce
https://iototsecnews.jp/2022/03/31/cisa-orders-agencies-to-patch-actively-exploited-sophos-firewall-bug/

===================================
■■■ Zyxel Firewall／VPN 製品群

Zyxel の Firewall／VPN 製品群に深刻な認証バイパスの脆弱性があります。ネットワーク機器メーカーの Zyxel は、同社のビジネスグレード・ファイアウォールおよび VPN 製品のファームウェアをアップデートし、攻撃者による対象機器の管理者レベルへのアクセスという深刻な脆弱性に対処しました。Zyxel のセキュリティ勧告は、USG／ZyWALL／USG FLEX／ATP／VPN／NSG (Nebula Security Gateway) シリーズの製品を対象としています。

Zyxel USG、Zyxel ZyWALL
CVE-2022-0342
CWE-287(不適切な認証)
CVSS: 9.8
https://vuldb.com/?id.195897
https://nvd.nist.gov/vuln/detail/CVE-2022-0342
https://iototsecnews.jp/2022/03/31/zyxel-patches-critical-bug-affecting-firewall-and-vpn-devices/

===================================
■■■ GitLab

GitLab に深刻なアカウント乗っ取りの脆弱性が発見されました。GitLab は、ハードコードされたパスワードを使用するリモートの攻撃者に、ユーザー・アカウントの乗っ取りを許してしまう、深刻な脆弱性に対処しました。この脆弱性 CVE-2022-1162 は、GitLab Community Edition (CE) と Enterprise Edition (EE) の双方に影響をおよぼします。具体的には、GitLab CE/EE で OmniAuth ベースで登録を行う際の、誤って設定された静的なパスワードに起因しています。

GitLab Community Edition 14.9.2/14.8.5/14.7.7 未満、GitLab Enterprise Edition 14.9.2/14.8.5/14.7.7 未満
CVE-2022-1162
CVSS: 9.1
https://about.gitlab.com/releases/2022/03/31/critical-security-release-gitlab-14-9-2-released/
https://iototsecnews.jp/2022/04/01/critical-gitlab-vulnerability-lets-attackers-take-over-accounts/

===================================
■■■ Trend Micro Apex

Trend Micro の Apex Central における RCE の脆弱性 CVE-2022-26871 が FIX されました。日本のサイバー・セキュリティ企業である Trend Micro は、製品管理コンソールである Apex Central に存在する、任意のリモート・コード実行を攻撃者に許してしまう、深刻度の高いセキュリティ不具合にパッチを適用しました。Apex Central とは、ネットワーク上に展開された Trend Micro 全体の製品およびサービスを、システム・アドミニストレータが管理するための Web ベース・コンソールです。このコンソールを使用すると、事前にスケジュールされたアップデートにより、各種のコンポーネントを展開することが可能になります。

Trend Micro Apex Central 2019、Trend Micro Apex Central (SaaS)
CVE-2022-26871
CVSS: 8.6
https://www.jpcert.or.jp/at/2022/at220008.html
https://success.trendmicro.com/jp/solution/000290660
https://iototsecnews.jp/2022/04/01/trend-micro-fixes-actively-exploited-remote-code-execution-bug/

===================================
■■■ Rockwell PLC

Rockwell の PLC に深刻な脆弱性が発見されました。Rockwell Automation の Programmable Logic Controller (PLC) を、研究者たちが分析したところ、オートメーション・プロセスを変更する方法を攻撃者に提供することで、産業工程を中断し、工場に物理的損害を与えるなどの、悪意の行動を許す可能性のある、２つの深刻な脆弱性が発見されました。それらの脆弱性を発見した Claroty Team82 の研究者たちによると、攻撃者は異常な動作を検知されることなく、PLC 上で悪意のコードを実行できることから、Stuxnet 的な性質があるとされます。

Rockwell Automation ControlLogix 5580 controllers、Rockwell Automation GuardLogix 5580 controllers、Rockwell Automation CompactLogix 5380 controllers、Rockwell Automation CompactLogix 5480 controllers、Rockwell Automation Compact GuardLogix 5380 controllers
CVE-2022-1159, CVE-2022-1161
CWE-94(コード・インジェクション)、CWE-829(信頼できない領域からの機能の取り込み)
CVSS: 10
https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-07
https://vuldb.com/?id.196259
https://nvd.nist.gov/vuln/detail/CVE-2022-1159
https://iototsecnews.jp/2022/04/01/vulnerabilities-in-rockwell-automation-plcs-could-enable-stuxnet-like-attacks/
https://www.cisa.gov/uscert/ics/advisories/icsa-22-090-05
https://vuldb.com/?id.196258
https://nvd.nist.gov/vuln/detail/CVE-2022-1161
https://iototsecnews.jp/2022/04/01/vulnerabilities-in-rockwell-automation-plcs-could-enable-stuxnet-like-attacks/
https://iototsecnews.jp/2022/04/01/vulnerabilities-in-rockwell-automation-plcs-could-enable-stuxnet-like-attacks/

===================================
■■■ VMware Spring Boot

VMware は、同社のクラウドおよび仮想化の製品のいくつかに影響を及ぼす、深刻なリモートコード実行の脆弱性 (Spring4Shell) に対するセキュリティ・アップデートを公開しました。Spring4Shell の影響を受ける VMware 製品の一覧は、同社のアドバイザリで確認できます。修正プログラムが提供されていないケースのために、VMware は一時的な解決策としてワークアラウンドをリリースしています。記事の発行時点において、Spring4Shell の脆弱性は活発に悪用され、セキュリティ速報に記載されているアドバイスに従うことが極めて重要となります。

VMware Spring Boot 2.5.11/2.6.5 以下
CVE-2022-22965
CWE-74(インジェクション)
CVSS: 6.3
https://vuldb.com/?id.196076
https://github.com/BobTheShoplifter/Spring4Shell-POC
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://japan.zdnet.com/article/35185666/
https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html
https://iototsecnews.jp/2022/04/04/vmware-patches-spring4shell-rce-flaw-in-multiple-products/
https://iototsecnews.jp/2022/04/04/vmware-patches-spring4shell-rce-flaw-in-multiple-products/
https://iototsecnews.jp/2022/04/05/microsoft-detects-spring4shell-attacks-across-its-cloud-services/
https://iototsecnews.jp/2022/04/05/springshell-attacks-target-about-one-in-six-vulnerable-orgs/
https://iototsecnews.jp/2022/04/08/mirai-malware-now-delivered-using-spring4shell-exploits/

===================================
■■■ VMware Workspace ONE Access

VMware の Workspace ONE Access における深刻な脆弱性が FIX されました。2022年4月6日に VMware は、Workspace ONE Access などの製品群に影響を及ぼす、複数の深刻な脆弱性に対するパッチを発表しました。同社のアドバイザリでは、合計で８つのセキュリティ・ホールの詳細が説明され、VMware Workspace ONE Access／Identity Manager (vIDM/ Workspace ONE Access) ／vRealize Automation (vRA)／Cloud Foundation／Suite Lifecycle Manager に影響を与えるとされています。一連の問題のうち５件は、深刻度が Critical と評価されています。VMware は、影響を受ける可能性のある全顧客に対して、利用可能なパッチまたは回避策を、可能な限り早急に適用することを推奨しています。

VMware Cloud Foundation 4.x/3.x
VMware Identity Manager 3.3.6/3.3.5/3.3.4/3.3.3
VMware Workspace ONE Access 21.08.0.1/21.08.0.0/20.10.0.1/20.10.0.0
VMware vRealize Automation 8.x/7.6
VMware vRealize Suite Lifecycle Manager 8.x
CVE-2022-22954, CVE-2022-22955, CVE-2022-22956, CVE-2022-22957, CVE-2022-22958
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
https://iototsecnews.jp/2022/04/07/vmware-patches-five-critical-vulnerabilities-in-workspace-one-access/

===================================
■■■ Watchguard Firebox/XTM

2022年4月7日に Cybersecurity and Infrastructure Security Agency (CISA) は、すべての連邦政府民間機関と米国組織に対して、WatchGuard Firebox および XTM Firewall 製品で積極的に悪用されているバグを修正するよう促しました。ロシアの軍事情報機関 GRU に属するとされる、国家に支援されたハッキング・グループ Sandworm も、この深刻度の高い特権昇格の脆弱性 CVE-2022-23176 を悪用し、感染させた WatchGuard Small Office/Home Office (SOHO) ネットワーク・デバイスを用いて、Cyclops Blink と呼ばれる新しいボットネットを構築しています。

Watchguard Firebox 11.7.2/12.1.3_U2/12.5.7_U2 以下、Watchguard XTM 11.7.2/12.1.3_U2/12.5.7_U2 以下
CVE-2022-23176
CWE-284(不適切なアクセス制御)
CVSS: 8.8
https://vuldb.com/?id.193702
https://nvd.nist.gov/vuln/detail/CVE-2022-23176
https://iototsecnews.jp/2022/04/11/cisa-warns-orgs-of-watchguard-bug-exploited-by-russian-state-hackers/
https://iototsecnews.jp/2022/04/11/cisa-warns-orgs-of-watchguard-bug-exploited-by-russian-state-hackers/

===================================
■■■ Microsoft Windows Server、Microsoft Windows

Microsoft 2022-04 月例アップデートは２件のゼロデイと 119件の脆弱性に対応しました。4月の Patch Tuesday では、２つのゼロデイ脆弱性 (１つは公表／１つは積極的な悪用) の修正が含まれています。Microsoft では、公式な修正プログラムがない脆弱性であり、一般に公開されているもの、積極的に悪用されているものを、ゼロデイ脆弱性と分類しています。

Microsoft Windows Server 2022/2019/2016/2012/2012 R2/2008 R2/2008、Microsoft Windows 11/10/8.1/7
CVE-2022-26904
CVSS: 7.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2022-patch-tuesday-fixes-119-flaws-2-zero-days/
Microsoft Windows Server 2022/2019/2016/2012/2012 R2/2008 R2/2008、Microsoft Windows 11/10/8.1/7
CVE-2022-24521
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24521
https://iototsecnews.jp/2022/04/12/microsoft-april-2022-patch-tuesday-fixes-119-flaws-2-zero-days/

===================================
■■■ HP Teradici PCoIP

HP は、Windows／Linux／macOS 向けの Teradici PCoIP クライアント／エージェントに存在する深刻な脆弱性が、1500万台のエンド・ポイントに影響を与える可能性があるとして、警告を発しています。先日公開された OpenSSL 証明書解析バグにより、Teradici に無限ループが生じることが発見されています。OpenSSL の DoS 脆弱性は広範囲に影響が及んでいるため、壊滅的な攻撃につながる欠陥ではないにしても、重大な問題であることに変わりはありません。既に、QNAP の NAS デバイスの大半が、CVE-2022-0778 に対して脆弱であると警告され、ユーザーに対して早急なアップデート適用が促されています。先週には、Palo Alto Networks の VPN／XDR／ファイアウォール製品の顧客に対して同様の警告が発せられ、セキュリティ・アップデートと緩和策が提供されました。

OpenSSL 1.0.2zc/1.1.1m/3.0.1 以下
CVE-2022-0778
CWE-404(リソースの不適切な解放)
CVSS: 5.3
https://www.openssl.org/news/vulnerabilities.html
https://www.openssl.org/news/secadv/20220315.txt
https://vuldb.com/?id.195123
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://iototsecnews.jp/2022/04/12/critical-hp-teradici-pcoip-flaws-impact-15-million-endpoints/

===================================
■■■ Citrix SD-WAN

Citrix SD-WAN 製品ポートフォリオの脆弱性 CVE-2022-27505 などが FIX されました。2022年4月11日の週に Citrix は、同社の SD-WAN 製品ポートフォリオ全体における、複数の深刻な脆弱性に対するパッチを発表しました。米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ユーザーおよび管理者に対して、Citrix のセキュリティ情報を確認し、利用可能なセキュリティ更新プログラムを適用することを推奨しています。CISA は、「攻撃者たちは、これらの脆弱性のいくつかを悪用して、影響を受けるシステムを制御できる」と指摘しています。

Citrix SD-WAN Standard/Premium Edition Appliance 11.4.3a 以下
Citrix SD-WAN Center Management Console 11.4.3 以下
Citrix SD-WAN Standard/Premium Edition Appliance 11.4.1 以下
Citrix SD-WAN Orchestrator for On-Premises 13.2.1 以下
CVE-2022-27505, CVE-2022-27506
CWE-79(クロスサイト・スクリプティング)、CWE-798(認証情報ハードコード)
CVSS: 6.8
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products
https://support.citrix.com/article/CTX370550
https://vuldb.com/?id.197312
Citrix StoreFront 1912 CU4/3.12 CU8 以下
CVE-2022-27503
CWE-79(クロスサイト・スクリプティング)
CVSS: 3.5
https://support.citrix.com/article/CTX377814
https://vuldb.com/?id.197319
https://nvd.nist.gov/vuln/detail/CVE-2022-27503
Citrix Endpoint Management XenMobile Server 10.14.0 rolling patch 4 以下/10.14.0 rolling patch 5 以下/10.13.0 rolling patch 7 以下/10.13.0 rolling patch 8 以下
CVE-2021-44519, CVE-2021-44520, CVE-2022-26151
CVSS: 8.8
https://www.cisa.gov/uscert/ncas/current-activity/2022/04/12/citrix-releases-security-updates-multiple-products
https://support.citrix.com/article/CTX370551
https://vuldb.com/?id.197146
https://iototsecnews.jp/2022/04/13/citrix-patches-vulnerabilities-in-several-products/

===================================
■■■ VMware Workspace ONE Access

VMware の脆弱性 CVE-2022-22954 が FIX されました。この脆弱性は、積極的な悪用が観察されています。VMware のリモートコード実行の脆弱性 CVE-2022-22954 を悪用し、コインマイナーをサーバーに感染させる攻撃に、すでに積極的に利用されている PoC エクスプロイトがオンラインで公開されました。この脆弱性は、広範囲で使用されている VMware Workspace ONE Access／VMware Identity Manager に影響をおよぼす Critical (CVSS：9.8) なリモートコード実行 (RCE) の欠陥です。

VMware Workspace ONE Access 21.08.0.1/21.08.0.0/20.10.0.1/20.10.0.0
VMware Identity Manager 3.3.6/3.3.5/3.3.4/3.3.3
VMware vRealize Automation 8.x/7.6
VMware Cloud Foundation 4.x/3.x
VMware vRealize Suite Lifecycle Manager 8.x
CVE-2022-22954
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
https://iototsecnews.jp/2022/04/13/hackers-exploit-critical-vmware-cve-2022-22954-bug-patch-now/

===================================
■■■ ASRock RGB Driver

米国政府機関の警告です。ICS／SCADA を標的とする危険なマルウェアが活動し始めました。4月22日に米国政府は、Industrial Control Systems (ICS) や Supervisory Control And Data Acquisition (SCADA) への不正なアクセスを維持するために、国家的な驚異アクターたちが特殊なマルウェアを展開していると警告を発しました。複数の米国機関はアドバイザリで「APT 行為者たちは、ICS/SCADA デバイスを標的とするカスタムメイドのツールを開発している。このツールにより、彼らは OT ネットワークへのイニシャル・アクセスを確立した後に、影響を受けるデバイスをスキャン／侵害／制御できるようになる」と述べています。

ASRock RGB Driver
CVE-2020-15368
CVSS: 5.5
https://vuldb.com/?id.157456
https://nvd.nist.gov/vuln/detail/CVE-2020-15368
https://iototsecnews.jp/2022/04/13/u-s-warns-of-apt-hackers-targeting-ics-scada-systems-with-specialized-malware/

===================================
■■■ Apache Struts

Apache Struts 2 の深刻な RCE 脆弱性が FIX されました。これは、以前のパッチにおける問題を修正するものです。圧倒的な支持を得ている Apache Struts プロジェクトの、すでに解決されたと考えられていた深刻な脆弱性において、完全には改善されていなかったことが判明し、新たな修正が提供されることになりました。そのため、Cybersecurity and Infrastructure Security Agency (CISA) も、パッチを適用した最新の Struts 2 へのアップグレードを急ぐよう、ユーザーと管理者に対して促しています。

Apache Struts 2.3.5 〜 2.3.31 および 2.5 〜 2.5.10
CVE-2017-5638
https://cwiki.apache.org/confluence/display/WW/S2-045
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
*
Apache Struts 2.0.0〜2.5.25
CVE-2020-17530
https://cwiki.apache.org/confluence/display/WW/S2-061
https://access.redhat.com/security/cve/cve-2020-17530
*
Apache Struts 2 2.0.0～2.5.29
CVE-2021-31805
CWE-917(言語構文の表現に使用される特殊な要素の不適切な無効化)
https://cwiki.apache.org/confluence/display/WW/S2-062
https://www.jpcert.or.jp/at/2022/at220011.html
https://vuldb.com/ja/?id.197260
https://nvd.nist.gov/vuln/detail/CVE-2021-31805
https://security.sios.com/vulnerability/struts-security-vulnerability-20220413.html
https://iototsecnews.jp/2022/04/14/critical-apache-struts-rce-vulnerability-wasnt-fully-fixed-patch-now/

===================================
■■■ VMware Spring Boot

2022年4月20日、Oracle は、April 2022 Critical Patch Update (CPU) をリリースし、認証なしでリモートから悪用できる脆弱性である約 300件を含む、合計で 520件のセキュリティ修正に対処しました。一連のパッチのうち約 75件は Critical と評価され、その中の３件は CVSS 値が 10 であり、また、40件以上は CVSS 値 8〜9 となっています。
当月の Critical Patch Update (CPU) には、Spring Framework における深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-22965 (Spring4Shell／SpringShell) に対処するパッチも含まれます。また、これらのパッチには、Spring Cloud Function の深刻な RCE 脆弱性 CVE-2022-22963 への対応も含まれます。

VMware Spring Boot 2.5.11/2.6.5 以下
CVE-2022-22965
CWE-74(インジェクション)
CVSS: 6.3
VMware Spring Cloud Function 3.1.6/3.2.2 以下
CVE-2022-22963
CWE-94(コード・インジェクション)
CVSS: 9.8
https://vuldb.com/?id.196076
https://github.com/BobTheShoplifter/Spring4Shell-POC
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement
https://japan.zdnet.com/article/35185666/
https://www.cyberkendra.com/2022/03/springshell-rce-0-day-vulnerability.html
https://vuldb.com/?id.196070
https://nvd.nist.gov/vuln/detail/CVE-2022-22963
https://tanzu.vmware.com/security/cve-2022-22963
https://iototsecnews.jp/2022/04/20/oracle-%e3%81%ae-april-2022-critical-patch-update%ef%bc%9a520-%e4%bb%b6%e3%81%ae%e8%84%86%e5%bc%b1%e6%80%a7%e3%81%ab%e5%af%be%e5%bf%9c/

===================================
■■■ Cisco Umbrella Virtual Appliance

Cisco Umbrella の SSH 認証メカニズムに存在する脆弱性 CVE-2022-20773 が FIX されました。Cisco Umbrella Virtual Appliance (VA) に対するセキュリティ・アップデートがリリースされ、未認証の攻撃者がリモートで管理者認証情報を盗むという、深刻な脆弱性への対応が行われました。Cisco Umbrella VA のキーベース SSH 認証メカニズムにおける脆弱性 CVE-2022-20773 を発見したのは、Pinnacol Assurance の Fraser Hess です。

Cisco Umbrella Virtual Appliance 3.2 以下/3.3
CVE-2022-20773
CWE-321(暗号化鍵ハードコーディング)
CVSS: 7.5
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-uva-static-key-6RQTRs4c
https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
https://iototsecnews.jp/2022/04/21/cisco-umbrella-default-ssh-key-allows-theft-of-admin-credentials/

===================================
■■■ Log4Shell Hot Patch

Amazon の Log4Shell ホットパッチに問題がありました。コンテナ・エスケープと権限昇格が生じる可能性があります。Amazon Web Services (AWS) がリリースした Log4Shell 脆弱性に対するホットパッチですが、コンテナ・エスケープや権限昇格に悪用され、基盤となるホスト制御の乗っ取りを許してしまう問題があるようです。Palo Alto Networks Unit 42 の研究者である Yuval Avrahami は、今週に発表したレポートにおいて、「コンテナの問題以外にも、このパッチを悪用することで非特権プロセスを特権昇格させ、root コードを実行させることが可能だ」と述べています。

CVE-2021-3100
CWE-250(不要な権限昇格の実行)
CVSS: 8.8
Hotdog 1.0.1 未満
CVE-2021-3101
CWE-250(不要な権限昇格の実行)
CVSS: 8.8
Hotdog 1.0.2 未満
CVE-2022-0070 CVE-2022-0071
CWE-250(不要な権限昇格の実行)
CVSS: 8.8
https://unit42.paloaltonetworks.com/aws-log4shell-hot-patch-vulnerabilities/
https://thehackernews.com/2022/04/amazons-hotpatch-for-log4j-flaw-found.html
https://alas.aws.amazon.com/AL2/ALAS-2021-1732.html
https://alas.aws.amazon.com/ALAS-2021-1554.html
https://nvd.nist.gov/vuln/detail/CVE-2021-3100
https://iototsecnews.jp/2022/04/21/amazons-hotpatch-for-log4j-flaw-found-vulnerable-to-privilege-escalation-bug/
https://unit42.paloaltonetworks.com/aws-log4shell-hot-patch-vulnerabilities/
https://thehackernews.com/2022/04/amazons-hotpatch-for-log4j-flaw-found.html
https://nvd.nist.gov/vuln/detail/CVE-2021-3101
https://iototsecnews.jp/2022/04/21/amazons-hotpatch-for-log4j-flaw-found-vulnerable-to-privilege-escalation-bug/
https://unit42.paloaltonetworks.com/aws-log4shell-hot-patch-vulnerabilities/
https://thehackernews.com/2022/04/amazons-hotpatch-for-log4j-flaw-found.html
https://nvd.nist.gov/vuln/detail/CVE-2022-0070
https://nvd.nist.gov/vuln/detail/CVE-2022-0071
https://iototsecnews.jp/2022/04/21/amazons-hotpatch-for-log4j-flaw-found-vulnerable-to-privilege-escalation-bug/
https://iototsecnews.jp/2022/04/21/amazons-hotpatch-for-log4j-flaw-found-vulnerable-to-privilege-escalation-bug/

===================================
■■■ Atlassian Jira

Atlassian Jira における認証バイパスの脆弱性 CVE-2022-0540 が FIX されました。Atlassian が公開したアドバイザリによると、Jira および Jira Service Management に影響をおよぼす、同社の Web アプリケーション・セキュリティ・フレームワーク Seraph における、深刻な認証バイパスの脆弱性が FIX したとのことです。Jira と Confluence で用いられる Seraph は、プラグイン可能なコア・エレメントのシステムを介して、すべてのログイン／ログアウト要求を処理するものです。

Atlassian Jira Core Server 8.13.18 以下/8.14.x/8.15.x/8.16.x/8.17.x/8.18.x/8.19.x/8.20.x/8.21.x、Atlassian Jira Software Server 8.13.18 以下/8.14.x/8.15.x/8.16.x/8.17.x/8.18.x/8.19.x/8.20.x/8.21.x、Atlassian Jira Software Data Center 8.13.18 以下/8.14.x/8.15.x/8.16.x/8.17.x/8.18.x/8.19.x/8.20.x/8.21.x、Atlassian Jira Service Management Server 4.13.18 以下/4.14.x/4.15.x4.16.x/4.17.x/4.18.x/4.19.x/4.20.x/4.21.x、Atlassian Jira Service Management Data Center 4.13.18 以下/4.14.x/4.15.x4.16.x/4.17.x/4.18.x/4.19.x/4.20.x/4.21.x
CVE-2022-0540
CWE-287(不適切な認証)
CVSS: 7.3
https://confluence.atlassian.com/jira/jira-security-advisory-2022-04-20-1115127899.html
https://vuldb.com/?id.198287
https://nvd.nist.gov/vuln/detail/CVE-2022-0540
https://iototsecnews.jp/2022/04/21/atlassian-jira-%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b%e8%aa%8d%e8%a8%bc%e3%83%90%e3%82%a4%e3%83%91%e3%82%b9%e3%81%ae%e8%84%86%e5%bc%b1%e6%80%a7-cve-2022-0540-%e3%81%8c-fix/

===================================
■■■ Oracle Java SE

Oracle Java SE には複数の脆弱性が発見されています。Oracle Java の PoC エクスプロイトへ、優先すべき ECDSA 脆弱性へのパッチ適用とはなんでしょう。Java 環境における、デジタル署名バイパスの脆弱性を証明する、PoC エクスプロイト・コードがオンラインで共有されています。この脆弱性 CVE-2022-21449 (CVSS : 7.5) は、Java の Elliptic Curve Digital Signature Algorithm (ECDSA) 実装に存在します。ECDSA とは、メッセージやデータにデジタル署名を行い、内容の真正性と完全性を検証する暗号メカニズムのことです。この欠陥は、暗号の失敗 (Java Psychic Signatures：Jave サイキックシグネチャー) により、完全に空白の署名提示が可能になるものです。そして、脆弱な実装では、有効になると認識されています。

Oracle GraalVM Enterprise Edition 20.3.5/21.3.1/22.0.0.2
Oracle GraalVM Enterprise Edition 20.3.5/21.3.1/22.0.0.2
Oracle Java SE 7u331/8u321/11.0.14/17.0.2/18
CVE-2022-21449
CVSS: 7.5
https://www.oracle.com/security-alerts/cpuapr2022.html#AppendixJAVA
https://www.oracle.com/security-alerts/cpuapr2022verbose.html#JAVA
https://iototsecnews.jp/2022/04/22/researcher-releases-poc-for-recent-java-cryptographic-vulnerability/

===================================
■■■ VMware Workspace ONE Access

VMware の深刻な RCE 脆弱性 CVE-2022-22954について、イランからのバックドア展開が検出されました。先日にパッチが適用された VMware の脆弱性を悪用する、Rocket Kitten というイランに関連する脅威アクターが、脆弱なシステムにイニシャル・アクセスを仕掛け、Core Impact ペンテスト・ツールを展開する様子が観察されています。この深刻な脆弱性 CVE-2022-22954 (CVSS：9.8) は、VMware Workspace ONE Access and Identity Manager に影響を与える、リモートコード実行 (RCE) の欠陥に起因するものです。

VMware Workspace ONE Access 21.08.0.1/21.08.0.0/20.10.0.1/20.10.0
VMware Identity Manager 3.3.6/3.3.5/3.3.4/3.3.3
VMware vRealize Automation 8.x/7.6、VMware Cloud Foundation 4.x/3.x
VMware vRealize Suite Lifecycle Manager 8.x
CVE-2022-22954
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
https://iototsecnews.jp/2022/04/25/iranian-hackers-exploiting-vmware-rce-bug-to-deploy-core-impact-backdoor/

===================================
■■■ WSO2／Microsoft／Linux／Jenkins など

CISA 警告 4/25でWSO2／Microsoft／Linux／Jenkins などの７つの脆弱性が追加されました。米国 Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている脆弱性のリストに、Microsoft／Linux／Jenkins などの、７件の欠陥を追加したと発表しました。その Known Exploited Vulnerabilities Catalog は、サイバー攻撃で活発に悪用されている脆弱性のリストで、連邦政府民間行政機関 (FCEB) に対してパッチ適用が義務付けられているものです。

https://iototsecnews.jp/2022/04/25/cisa-adds-7-vulnerabilities-to-list-of-bugs-exploited-in-attacks/
WSO2 API Manager
WSO2 Identity Server/Identity Server Analytics/Identity Server as Key Manager
WSO2 Enterprise Integrator
CVE-2022-29464
CWE-434(信頼できないファイルのアップロード)
CVSS: 9.8
https://vuldb.com/?id.197671
https://nvd.nist.gov/vuln/detail/CVE-2022-29464
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Microsoft Windows Server 2022/2019/2016/2012/2012 R2/2008 R2/2008
Microsoft Windows 11/10/8.1/7
CVE-2022-26904
CVSS: 7.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26904
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24550
https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2022-patch-tuesday-fixes-119-flaws-2-zero-days/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008
Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-21919
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21919
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2022-patch-tuesday-fixes-6-zero-days-97-flaws/
Linux Kernel 5.10.101/5.15.24/5.16.10 以下
CVE-2022-0847
CVSS: 6.3
https://vuldb.com/?id.194333
https://nvd.nist.gov/vuln/detail/CVE-2022-0847
https://dirtypipe.cm4all.com/
Microsoft Windows Server 2022/2019
Microsoft Windows 11/10
CVE-2021-41357
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41357
Microsoft Windows Server 2022/2019、Microsoft Windows 11/1
CVE-2021-40450
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40450
Jenkins Script Security Plugin 1.53 以下
CVE-2019-1003029
CWE-269(不適切な権限管理)
CVSS: 5.5
https://vuldb.com/?id.131486

===================================
■■■ Log4Shell

Log4Shell の現状調査で、いまだに山積する問題と解決できない理由とはなんでしょう。Apache Log4j ライブラリに存在する、深刻なゼロデイ脆弱性 Log4Shell が発見されてから４ヶ月が経過しましたが、利用可能なはずの修正プログラムの適用が、依然として大幅に遅れていることを、脅威アナリストたちは警告しています。世間の関心と情報セキュリティ・コミュニティの焦点は、より新しい脆弱性の悪用などに移っていますが、Log4Shell は引き続き大規模な問題であり、重大なセキュリティ・リスクであることに変わりはありません。

Apache log4j 2.0-beta9～2.14.1 以下
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://access.redhat.com/security/cve/cve-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
https://www.bleepingcomputer.com/news/security/minecraft-rushes-out-patch-for-critical-log4j-vulnerability/
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/
https://iototsecnews.jp/2022/04/25/public-interest-in-log4shell-fades-but-attack-surface-remains/

===================================
■■■ WSO2

WSO2 の RCE 脆弱性に、ワイルドな悪用が観察されているので要注意です。企業向けソフトウェア開発ソリューション・プロバイダーである WSO2 の製品ですが、その深刻な脆弱性が野放し状態の攻撃にさらされています。WSO2 の Web サイトによると、同社の製品は Fortune 500 などの大手企業で使用されており、そのすべてが危険にさらされる可能性があるといいます。また、4月25日には Cybersecurity and Infrastructure Security Agency (CISA) も、この脆弱性を Known Exploited Vulnerabilities Catalog に追加し、5月16日までにパッチを適用するよう、それぞれの連邦政府機関に指示しています。

https://iototsecnews.jp/2022/04/26/organizations-warned-of-attacks-exploiting-wso2-vulnerability/
WSO2 API Manager
WSO2 Identity Server/Identity Server Analytics/Identity Server as Key Manager
WSO2 Enterprise Integrator
CVE-2022-29464
CWE-434(信頼できないファイルのアップロード)
CVSS: 9.8
https://vuldb.com/?id.197671
https://nvd.nist.gov/vuln/detail/CVE-2022-29464
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008
Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-21919
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21919
https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2022-patch-tuesday-fixes-6-zero-days-97-flaws/

===================================
■■■ Linux Kernel

Nimbuspwn として追跡されている新しい一連の脆弱性は、Linux システム上でローカル攻撃者による特権昇格を許し、バックドアからランサムウェアにいたるマルウェア展開が生じる可能性があると指摘されるものです。2022年5月7日、Microsoft のセキュリティ研究者たちは、これらの問題を連鎖させることで root 権限の取得が可能であると指摘するレポートを発表しました。

https://iototsecnews.jp/2022/04/26/new-nimbuspwn-linux-vulnerability-gives-hackers-root-privileges/
Linux Kernel
CVE-2022-29799
CWE-21(パス名トラバーサルおよび同値エラー)
CVSS: 6.3
https://vuldb.com/?id.198785
https://nvd.nist.gov/vuln/detail/CVE-2022-29799
Linux Kernel
CVE-2022-29800
CWE-367(TOCTOU の競合状態)
CVSS: 7.5
https://vuldb.com/?id.198786
https://nvd.nist.gov/vuln/detail/CVE-2022-29800

===================================
■■■ NSA／FBI が警告する 2021年の脆弱性

NSA／FBI が警告する 2021年の脆弱性です。日常的に悪用され続けた Top-15 とはなんでしょう。世界中のサイバー・セキュリティ機関が NSA／FBI と共同で、2021年に脅威アクターが日常的に悪用した脆弱性の、Top-15 リストを発表しました。共同アドバイザリーにおいて、これらのサイバー・セキュリティ機関は、一連のセキュリティ欠陥に対して速やかにパッチを適用し、攻撃対象領域を減らすためのパッチ管理システムを導入するよう促しています。

https://iototsecnews.jp/2022/04/27/cybersecurity-agencies-reveal-top-exploited-vulnerabilities-of-2021/c
Apache log4j 2.0-beta9～2.14.1 以下
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://access.redhat.com/security/cve/cve-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
https://www.bleepingcomputer.com/news/security/minecraft-rushes-out-patch-for-critical-log4j-vulnerability/
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/
Zoho ManageEngine ADSelfService Plus 6113 以下
CVE-2021-40539
CVSS: 7.3
https://www.manageengine.com/products/self-service-password/kb/how-to-fix-authentication-bypass-vulnerability-in-REST-API.html
https://vuldb.com/?id.182108
https://nvd.nist.gov/vuln/detail/CVE-2021-40539
Microsoft Exchange Server 2019/2016/2013
CVE-2021-34523
CVSS: 8.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
https://iototsecnews.jp/2021/07/13/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/
Microsoft Exchange Server 2019/2016/2013
CVE-2021-34473
CVSS: 9.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
https://iototsecnews.jp/2021/07/13/microsoft-july-2021-patch-tuesday-fixes-9-zero-days-117-flaws/
Microsoft Exchange Server 2019/2016/2013
CVE-2021-31207
CVSS: 6.6
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2021-patch-tuesday-fixes-55-flaws-3-zero-days/
Microsoft Exchange Server 2019/2016/2013
CVE-2021-27065, CVE-2021-26858, CVE-2021-26857, CVE-2021-26855
CVSS: 7.8
https://www.jpcert.or.jp/at/2021/at210012.html
https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
Atlassian Confluence Server 6.13.22/7.4.10/7.11.5/7.12.4 以下
Atlassian Confluence Data Center 6.13.22/7.4.10/7.11.5/7.12.4 以下
CVE-2021-26084
CWE-74(インジェクション)
CVSS: 6.3
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
https://vuldb.com/?id.181598
VMware ESXi 6.5/6.7/7.0
VMware vCenter Server 6.5/6.7/7.0
VMware Cloud Foundation 3.x/4.x
CVE-2021-21972
CWE-269(不適切な権限管理)
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
Oracle ZFS Storage Appliance Kit 8.8
Oracle Solaris 11
CVE-2020-1472
CWE-330(不十分なランダム値の使用)
CVSS: 9.8
https://www.oracle.com/security-alerts/cpujul2020.html#AppendixSUNS
https://www.oracle.com/security-alerts/cpujul2020verbose.html#SUNS
Microsoft Exchange Server 2019/2016/2013/2010
CVE-2020-0688
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0688
Pulse Secure Pulse Connect Secure 8.1.R15.0/8.2R12.0/8.3R7.0/9.0R3.3 以下
CVE-2019-11510
CWE-269(不適切な権限管理)、CWE-275(パーミッションの問題)
CVSS: 8.8
https://vuldb.com/?id.134483
https://nvd.nist.gov/vuln/detail/CVE-2019-11510
Fortinet FortiOS 6.0.4 以下
CVE-2018-13379
CWE-22(パス・トラバーサル)
CVSS: 7.5
https://vuldb.com/?id.135933
https://nvd.nist.gov/vuln/detail/CVE-2018-13379

===================================
■■■ Apache log4j

Log4j 問題は収束していませんが、セキュリティというよりインベントリの問題でしょうか。Apache Log4j logging toolの、リモートコード実行の脆弱性が公開されて４ヶ月以上が経ちましたが、それを悪用しようとする攻撃者は、依然として膨大な数のターゲットを手にしています。検索エンジン Shodan を用いて行った、Rezilion による最新のスキャンでは、このソフトウェアの脆弱なバージョンをインターネット上に公開している、９万台以上ものサーバーが発見されています。ただし、この数字は、オープンソース・ソフトウェアを実行して、一般に公開されているサーバーのみを対象としているため、攻撃者のターゲットの一部に過ぎないと、Rezilion は考えています。

https://iototsecnews.jp/2022/04/27/log4j-attack-surface-remains-massive/
Apache log4j 2.0-beta9～2.14.1 以下
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10.0
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://access.redhat.com/security/cve/cve-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
https://www.bleepingcomputer.com/news/security/minecraft-rushes-out-patch-for-critical-log4j-vulnerability/
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/

===================================
■■■ Cisco

Cisco が半期セキュリティ・アドバイザリを発表しました。ASA／FTD／FMC の 11件の脆弱性に対応します。2022年4月25日の週に Cisco は、Adaptive Security Appliance (ASA)／Firepower Threat Defense (FTD)／Firepower Management Center (FMC) に対する April 2022 Bundle of Security Advisories をリリースしました。半期に一度の Bundle of Security Advisories の April 2022では、Cisco のセキュリティ製品に存在する合計19件の脆弱性について記述されており、そのうち11件は深刻度 High と評価されています。その中でも最も深刻な脆弱性 CVE-2022-20746 (CVSS：8.8) は、TCP フローの不適切な処理に起因する FTD セキュリティホールであり、認証なしでリモートから悪用され、サービス拒否 (DoS) 状態を引き起こす可能性があるものです。

https://iototsecnews.jp/2022/04/28/cisco-patches-11-high-severity-vulnerabilities-in-security-products/
Cisco Firepower Threat Defense Software 7.0.0/7.0.0.1
CVE-2022-20746
CWE-476(ヌル・ポインタ・デリファレンス)
CVSS: 8.6
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ftd-tcp-dos-kM9SHhOu
https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

===================================
■■■ Cisco NFVIS

Cisco NFVIS の Critical な脆弱性が FIXされました。root 権限でのコマンド実行などが可能でした。Cisco は、Enterprise NFV Infrastructure Software (NFVIS) で見つかった複数のセキュリティ欠陥に対処しました。この製品は、仮想ネットワーク機能 (VNF) の管理を容易にするために、ネットワーク・サービスを仮想化するソリューションを提供するものです。一連の脆弱性のうちの２つは、深刻度が Critical および High と評価されており、悪用に成功した攻撃者による、root 権限でのコマンド実行や、ゲスト仮想マシン・エスケープによる NFVIS ホストの乗っ取りなどが生じる恐れがあります。Cisco の Product Security Incident Response Team (PSIRT) によると、PoC エクスプロイト・コードは存在せず、野放し状態で進行中の攻撃もないとのことです。

https://iototsecnews.jp/2022/05/04/cisco-fixes-nfvis-bugs-that-help-gain-root-and-hijack-hosts/
Cisco Enterprise NFV Infrastructure Software
CVE-2022-20777, CVE-2022-20779
CWE-284(不適切なアクセス制御)、CWE-611(XML外部実体参照における不適切な制約)
CVSS: 9.9
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-MUL-7DySRX9
https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

===================================
■■■ F5 BIG-IP

F5 BIG-IP の RCE 脆弱性 CVE-2022-1388 が FIXされました。16,000台のデバイスに乗っ取りの可能性があります。F5 はセキュリティ・アドバイザリを発表し、ネットワーク・アクセス権を持つ未認証の攻撃者に対して、BIG-IP 上で任意のシステム・コマンド実行や、ファイル操作、サービスの無効化などを、許してしまう欠陥について注意を促しています。この脆弱性 CVE-2022-1388 の深刻度は Critical (CVSS：9.8) に分類され、悪用によりシステムを完全に乗っ取られる可能性があります。

https://iototsecnews.jp/2022/05/04/f5-warns-of-critical-big-ip-rce-bug-allowing-device-takeover/
F5 BIG-IP 11.6.1～11.6.5/12.1.0～12.1.6/13.1.0～13.1.4/14.1.0～14.1.4/15.1.0～15.1.5/16.1.0～16.1.2
CVE-2022-1388
CWE-306(認証機能の欠落)
CVSS: 9.8
https://support.f5.com/csp/article/K23605346
https://nvd.nist.gov/vuln/detail/CVE-2022-1388

F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIXされました。bash を狙ったバックドア展開が多発しています。F5 BIG-IP の、すべてのモジュールの複数のバージョンに影響を与える、深刻な脆弱性の悪用に成功した攻撃者たちが、悪意のペイロードをドロップするという脅威が大量に発生し始めています。5月2日の週に F5 は、BIG-IP iControl の REST 認証コンポーネントに影響を及ぼす、脆弱性 CVE-2022-1388 (CVSS：9.8) に対するパッチをリリースしました。

https://iototsecnews.jp/2022/05/09/hackers-exploiting-critical-f5-big-ip-flaw-to-drop-backdoors/

F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIXされました。デバイスの消去も起こり得えます。先日に公開された F5 BIG-IP の脆弱性は、デバイスのファイル・システムを消去し、サーバを使用不能にするという、破壊的な攻撃に悪用されかねないものです。5月2日の週に F5 は、脆弱性 CVE-2022-1388 を公開し、リモート攻撃者が認証なしで BIG-IP ネットワーク・デバイス上で、root としてコマンドを実行できる問題を示しました。このバグは極めて深刻であるため、F5 は管理者に対して、可能な限り早急にアップデートを適用するよう促しています。

https://iototsecnews.jp/2022/05/10/critical-f5-big-ip-vulnerability-exploited-to-wipe-devices/

CISA 警告 5/10：F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 を KEV リストに追加しました。米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されるバグのリストに、BIG-IP ネットワーク・デバイスに深刻な影響を与える、脆弱性 CVE-2022-1388 を新たに追加しました。BIG-IP ソリューションを使用する F5 の顧客の中には、連邦政府機関／Fortune 500 企業／銀行／サービス・プロバイダ／コンシューマ・ブランド (Microsoft／Oracle／Facebook など) が含まれていますが、同社は Fortune 50 のうちの 48社が F5ユーザーだとしています。

https://iototsecnews.jp/2022/05/11/cisa-tells-federal-agencies-to-fix-actively-exploited-f5-big-ip-bug/

CISA と MS-ISAC の共同勧告です。進行中の F5 BIG-IP 攻撃をブロックするためのガイダンスです。CISA と Multi-State Information Sharing and Analysis Center (MS-ISAC) は、5月10日に発表した共同アドバイザリにおいて、F5 BIG-IP ネットワーク・セキュリティの深刻な脆弱性 CVE-2022-1388 を狙う攻撃が活発化しているとして、管理者たちに警告を発しました。このアドバイザリには、「CISA と MS-ISAC は、政府機関および民間企業のネットワークにおいて、未パッチの F5 BIG-IPデバイス (主に管理ポートまたは自己 IP が公開されている) が広範囲で悪用されると推測する」と記されています。

https://iototsecnews.jp/2022/05/18/cisa-shares-guidance-to-block-ongoing-f5-big-ip-attacks/

===================================
■■■ QNAP QV

QNAP QVR ビデオ監視ソリューションの深刻な脆弱性が FIX されました。リモートコマンド実行などに対応します。QNAP は、複数のセキュリティ・アドバイザリを発表しました。そのうちの１つは、NAS デバイスにホストされている、同社のビデオ監視ソリューション QVR System における任意のリモート・コマンド実行という、深刻なセキュリティ脆弱性に関するものです。QVR IP ビデオ監視システムは、複数のフィード・チャネルとクロス・プラットフォームに対応するビデオデ・コーディングをサポートしており、ホーム／オフィス環境を監視するために設計されています。

https://iototsecnews.jp/2022/05/05/qnap-fixes-critical-qvr-remote-command-execution-vulnerability/
QNAP QVR 5.1.6 Build 20220401 未満
CVE-2022-27588
CWE-77(コマンド・インジェクション)
CVSS: 9.8
https://jvn.jp/vu/JVNVU95992089/
https://vuldb.com/ja/?id.199157
https://nvd.nist.gov/vuln/detail/CVE-2022-27588

===================================
■■■ Microsoft Azure

Microsoft Azure の Integration Runtime の RCE 脆弱性 CVE-2022-29972 が FIX されました。Microsoft は、Azure Synapse／Azure Data Factory パイプラインに影響を及ぼす、セキュリティ上の欠陥に対応する更新プログラムをリリースし、Integration Runtime インフラストラクチャ全体での、攻撃者によるリモートコマンド実行を阻止しました。Integration Runtime (IR) のコンピューティング基盤は、Azure Synapse および Azure Data Factory のパイプラインで使用され、ネットワーク環境全体でデータ統合する機能 (データフロー／アクティビティのディスパッチ／SQL Server Integration Services (SSIS) パッケージ実行) を提供するものです。

https://iototsecnews.jp/2022/05/09/microsoft-releases-fixes-for-azure-flaw-allowing-rce-attacks/
Microsoft Azure Data Factory
Microsoft Azure Synapse Pipeline
CVE-2022-29972
CVSS: 9.1
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-29972
https://nvd.nist.gov/vuln/detail/CVE-2022-29972
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2022-patch-tuesday-fixes-3-zero-days-75-flaws/
https://www.security-next.com/136336

===================================
■■■ Microsoft Windows

Microsoft Windows における NTLM ゼロデイ脆弱性が FIX されました。ドメインを乗っ取りの可能性があります。Microsoft は、未認証の攻撃者がリモートから悪用し、Windows NT LAN Manager (NTLM) セキュリティ・プロトコルを介して、ドメイン・コントローラに強制的に認証させるという、Windows LSA スプーフィングのゼロデイ脆弱性に積極的に対処しています。この LSA (Local Security Authority) とは、ローカル・セキュリティ・ポリシーを実施し、ローカル／リモートでのサインイン時にユーザーを認証する、保護された Windows サブシステムのことです。この脆弱性 CVE-2022-26925 は、Bertelsmann Printing Group の Raphael John により報告されましたが、実際に悪用されており、PetitPotam NTLM リレー攻撃の新しいベクターになるようです。

https://iototsecnews.jp/2022/05/10/microsoft-fixes-new-ntlm-relay-zero-day-in-all-windows-versions/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008
Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-26925
CVSS: 8.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2022-patch-tuesday-fixes-3-zero-days-75-flaws/
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-new-ntlm-relay-zero-day-in-all-windows-versions/
Microsoft Windows Server
Microsoft Windows 10
CVE-2022-22713
CVSS: 5.6
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22713
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2022-patch-tuesday-fixes-3-zero-days-75-flaws/
Microsoft Azure Data Factory、Microsoft Azure Synapse Pipeline
CVE-2022-29972
CVSS: 9.1
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-29972
https://nvd.nist.gov/vuln/detail/CVE-2022-29972
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2022-patch-tuesday-fixes-3-zero-days-75-flaws/
https://www.security-next.com/136336
Microsoft 2022-05 月例アップデートは３件のゼロデイと 75件の脆弱性に対応しています。今月は、３件のゼロデイ脆弱性 (１件は積極的に悪用) が修正され、合計で 75件の脆弱性が修正されました。今日のアップデートで修正された 75件の脆弱性のうち、8件はリモートコード実行や特権昇格を許すものであり、深刻度は Critical に分類されています。
https://iototsecnews.jp/2022/05/10/microsoft-may-2022-patch-tuesday-fixes-3-zero-days-75-flaws/

===================================
■■■ Microsoft Windows Server

Windows PrintNightmare は生きています。2022年に入ってから 31,000件の攻撃が観測されています。サイバー・セキュリティ企業の Kaspersky によると、Windows Print Spooler の脆弱性を狙う攻撃が増加しているとのことです。この、PrintNightmare と呼ばれる Windows Print Spooler の脆弱性は、2021年6月末に初めて公開され、約１週間後には Microsoft が緊急パッチを提供しています。2021年8月に Microsoft は、Windows Print Spooler ユーティリティに対する新しいパッチセットをリリースしましたが、その数日後には別の PrintNightmare バグの存在を確認することになりました。

https://iototsecnews.jp/2022/05/11/windows-print-spooler-vulnerabilities-increasingly-exploited-in-attacks/
Microsoft Windows Server 2019/2016/2012/2008
Microsoft Windows 10/8.1/7
CVE-2021-1675
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-1675
https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2021-patch-tuesday-fixes-6-exploited-zero-days-50-flaws/
Microsoft Windows Server 2019/2016/2012/2008
Microsoft Windows 10/8.1/7
CVE-2021-34527
CWE-284(不適切なアクセス制御)
CVSS: 8.8
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
https://www.kb.cert.org/vuls/id/383432
https://iototsecnews.jp/2021/07/02/microsoft-shares-mitigations-for-windows-printnightmare-zero-day-bug/
Microsoft Windows Server 2008/2008 R2/2012/2012 R2/2016/2019/2022
Microsoft Windows 7/8.1/10/11
CVE-2022-22718
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22718
https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2022-patch-tuesday-fixes-48-flaws-1-zero-day/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012
icrosoft Windows 11/10/RT 8.1/8.1
CVE-2022-29104
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29104
Microsoft Windows Server 2022/2019/2016/2012 R2/2012
Microsoft Windows 11/10/RT 8.1/8.1
CVE-2022-29114
CVSS: 5.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29114
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008
Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-29132
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29132
Microsoft Windows Server 2022/2019/2016
Microsoft Windows 11/10
CVE-2022-29140
CVSS: 5.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-29140

===================================
■■■ ZyXEL

Zyxel Firewall 製品群に影響を及ぼす深刻な OS コマンド実行の脆弱性が FIX されました。Zyxel ファイアウォール・デバイスに影響を及ぼす、認証されていないリモート攻撃者による任意のコード実行の脆弱性に対応するための、同社による取り組みが開始されました。04月21日に Zyxel が発表したアドバイザリーは、「ファイアウォール・デバイスの一部のバージョンの CGI プログラムに存在する、コマンド・インジェクションの脆弱性により、攻撃に成功した脅威アクターに対して、特定のファイルの変更や、脆弱なデバイス上での OS コマンドの実行を許す可能性がある」と述べています。

https://iototsecnews.jp/2022/05/12/zyxel-releases-patch-for-critical-firewall-os-command-injection-vulnerability/
ZyXEL AP Configurator 1.1.4
CVE-2022-0556
CWE-269(不適切な権限管理)
CVSS: 7.8
https://vuldb.com/?id.196809
https://nvd.nist.gov/vuln/detail/CVE-2022-0556
Zyxel VMG3312-T20A 5.30(ABFX.5)C0
CVE-2022-26413
CWE-78(OSコマンド・インジェクション)
CVSS: 8.0
https://vuldb.com/?id.196810
https://nvd.nist.gov/vuln/detail/CVE-2022-26413
https://www.zyxel.com/support/OS-command-injection-and-buffer-overflow-vulnerabilities-of-CPE-and-ONTs.shtm
Zyxel VMG3312-T20A 5.30(ABFX.5)C0
CVE-2022-26414
CWE-120(バッファ・オーバーフロー)
CVSS: 6.1
https://vuldb.com/?id.196805
https://nvd.nist.gov/vuln/detail/CVE-2022-26414

===================================
■■■ SonicWALL SMA1000

SonicWall の警告です。SSLVPN SMA1000 の脆弱性に対してパッチ適用が推奨されています。SonicWall は、Secure Mobile Access (SMA) 1000 シリーズ製品群に存在する、攻撃者による認証回避が可能であり、パッチ未適用のアプライアンスを危険にさらす可能性のある、高リスクの脆弱性に対する修正を、顧客に対して強く推奨しています。SonicWall SMA 1000 SSLVPN ソリューションは、オンプレミス／クラウド／ハイブリッドデータセンターの環境における、エンタープライズ・リソースへの安全な End-to-End リモートアクセスを簡素化するために使用される製品です。

https://iototsecnews.jp/2022/05/13/sonicwall-strongly-urges-admins-to-patch-sslvpn-sma1000-bugs/
SonicWALL SMA1000 12.4.0/12.4.1-02965 以下
CVE-2022-22282
CWE-284(不適切なアクセス制御)
CVSS: 9.8
https://vuldb.com/?id.199905
https://nvd.nist.gov/vuln/detail/CVE-2022-22282

===================================
■■■ Apache log4j

Log4Shell 悪用と AI ポイズニングについて。企業のデータレイクに忍び寄る脅威とはなんでしょう。人工知能 (AI) や機械学習 (ML) の導入が進み、企業のデータレイクは大容量化しているが、残念なことに、Java Log4Shell 脆弱性を介して悪用されやすいことが、研究者たちにより明らかにされています。一般的な組織は、プライバシー保護に配慮しながら、AI／ML アルゴリズムの学習用に可能な限り多くのデータポイントを取り込むことに注力しているが、データレイク自体のセキュリティ強化に手を抜いていることが、あまりにも多くなっているといいます。

https://iototsecnews.jp/2022/05/13/log4shell-exploit-threatens-enterprise-data-lakes-ai-poisoning/
Apache log4j 2.0-beta9～2.14.1 以下
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://access.redhat.com/security/cve/cve-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
https://www.bleepingcomputer.com/news/security/minecraft-rushes-out-patch-for-critical-log4j-vulnerability/
https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/

===================================
■■■ Windows NTLM

Microsoft を悩ます PetitPotam Windows NTLM リレー攻撃は、完全な FIX には時間が必要かもしれません。Windows NTLM Relay Attack に関連する先日のセキュリティ更新プログラムは、これまで未修正であった PetitPotam 攻撃ベクターに対するものだと確認されています。May 2022 Patch Tuesday において Microsoft は、Windows LSA Spoofing Vulnerability とラベル付けした脆弱性 CVE-2022-26925 に対して、つまり、積極的に悪用される NTLM Relay Attack に対して、セキュリティ更新プログラムをリリースしました。

https://iototsecnews.jp/2022/05/14/microsoft-fixes-new-petitpotam-windows-ntlm-relay-attack-vector/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008
Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-26925
CVSS: 8.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2022-patch-tuesday-fixes-3-zero-days-75-flaws/
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-new-ntlm-relay-zero-day-in-all-windows-versions/

===================================
■■■ Zyxel Firewall

Zyxel Firewall／VPN の脆弱性 CVE-2022-30525 は広範囲に影響を及ぼします。先日パッチが適用された、Zyxel のエンタープライズ向け firewall／VPN デバイスに存在する、深刻な脆弱性 CVE-2022-30525 を、脅威アクターたちが悪用し始めています。この脆弱性の悪用に成功した攻撃者は、認証なしでリモートから任意のコマンドを注入することが可能になり、リバースシェルの設定も可能となります。
https://iototsecnews.jp/2022/05/15/hackers-are-exploiting-critical-bug-in-zyxel-firewalls-and-vpns/
ZyXEL USG FLEX 100(W) ZLD 5.00〜ZLD 5.21 Patch 1
ZyXEL USG FLEX 200 ZLD 5.00〜ZLD 5.21 Patch 1
ZyXEL USG FLEX 500 ZLD 5.00〜ZLD 5.21 Patch 1
ZyXEL USG FLEX 700 ZLD 5.00〜ZLD 5.21 Patch 1
ZyXEL USG FLEX 50(W) ZLD 5.10〜ZLD 5.21 Patch 1
ZyXEL USG20(W)-VPN ZLD 5.10〜ZLD 5.21 Patch 1
ZyXEL ATP series ZLD 5.10〜ZLD 5.21 Patch 1
ZyXEL VPN series ZLD 4.60〜ZLD 5.21 Patch 1
CVE-2022-30525
CVSS: 9.8
https://vuldb.com/?id.199746
https://nvd.nist.gov/vuln/detail/CVE-2022-30525
https://www.zyxel.com/us/en/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

===================================
■■■ Microsoft Windows Server

CISA 警告：Patch Tuesday ５月を Windows Server AD DC に適用しないで欲しい。米国の Cybersecurity and Infrastructure Security Agency (CISA) は、May 2022 Patch Tuesday の更新プログラムが引き起こす Active Directory (AD) 認証の問題を考慮し、この Windows セキュリティ不具合を、KEV (Known Exploited Vulnerabilities) カタログから一時的に削除しました。この脆弱性 CVE-2022-26925 は、Windows LSA スプーフィング・ゼロデイで積極的に悪用されているものであり、新しい PetitPotam Windows NTLM Relay 攻撃ベクターとして確認されたものです。脆弱性 CVE-2022-26925 の悪用に成功した未認証の攻撃者は、Windows NT LAN Manager (NTLM) セキュリティ・プロトコルを介して、ドメイン・コントローラをリモートで認証させ、おそらく、Windowsドメイン全体を制御することが可能となります。

https://iototsecnews.jp/2022/05/16/cisa-warns-not-to-install-may-windows-updates-on-domain-controllers/
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008
Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-26925
CVSS: 8.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925
https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2022-patch-tuesday-fixes-3-zero-days-75-flaws/
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-new-ntlm-relay-zero-day-in-all-windows-versions/

===================================
■■■ Spring／Zyxel

CISA 警告 5/1で、Spring／Zyxel の深刻な欠陥を悪用脆弱性リストに追加しました。Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されている脆弱性リストに、Spring Cloud Gateway ライブラリのコード・インジェクションの欠陥と、Zyxel Firewall／VPN デバイス・ファームウェアのコマンド・インジェクションの欠陥を追加したことを発表しました。Spring Framework の脆弱性 CVE-2022-22947 は、パッチ未適用のホスト上で、攻撃者にリモートコード実行を許す可能性のある、きわめて深刻な欠陥です。この深刻な脆弱性は、現時点において Sysrv と呼ばれるボットネットに悪用され、脆弱な Windows／Linux サーバーにクリプト・マイニング・マルウェアをインストールするために利用されています。

https://iototsecnews.jp/2022/05/17/cisa-warns-admins-to-patch-actively-exploited-spring-zyxel-bugs/
VMware Spring Cloud Gateway 3.0.6/3.1.0 以下
CVE-2022-22947
CWE-94(コード・インジェクション)
CVSS: 9.8
https://vuldb.com/?id.194181
https://nvd.nist.gov/vuln/detail/CVE-2022-22947
https://www.exploit-db.com/exploits/50799
ZyXEL USG FLEX 100(W)
ZyXEL USG FLEX 200
ZyXEL USG FLEX 500
ZyXEL USG FLEX 700
ZyXEL USG FLEX 50(W)
ZyXEL USG20(W)-VPN
ZyXEL ATP series
ZyXEL VPN series ZLD
CVE-2022-30525
CWE-78(OSコマンド・インジェクション)
CVSS: 9.8
https://vuldb.com/?id.199746
https://nvd.nist.gov/vuln/detail/CVE-2022-30525
https://www.zyxel.com/us/en/support/Zyxel-security-advisory-for-OS-command-injection-vulnerability-of-firewalls.shtml

===================================
■■■ VMware 製品群

米国土安全保障省の勧告です。Mware の深刻な脆弱性２件に５日間で対応せよ！　05月18日、国土安全保障省のサイバー・セキュリティ部門は、連邦民間行政機関 (FCEB) に対して、VMware 製品を標的とする攻撃のリスクが高まっているとして、5月23日の月曜日までに緊急にアップデートするか、ネットワークから削除するよう命じました。同じく今日、Cybersecurity and Infrastructure Security Agency (CISA) も、VMware の製品群に影響を及ぼす、認証バイパスとローカル権限昇格の脆弱性 CVE-2022-22972／CVE-2022-22973 がパッチ適用されたことを受けて、緊急指令 22-03 を発表しました。

https://iototsecnews.jp/2022/05/18/dhs-orders-federal-agencies-to-patch-vmware-bugs-within-5-days/

VMware 製品群の２つの深刻な脆弱性が FIX されました。認証バイパスで root 取得を許してしまいます。VMware は、Workspace ONE Access／Identity Manager／vRealize Automation に関連する、２つの脆弱性を修正するパッチを発表しました。認証バイパスの脆弱性 CVE-2022-22972 (CVSS：9.8) は、ネットワーク経由で UI にアクセスできる脅威アクターに対して、事前の認証なしに root 権限取得を許してしまう。もう１つの、ローカル権限昇格の脆弱性 CVE-2022-22973 (CVSS : 7.8) は、ローカル・アクセスを持つ攻撃者に対して、脆弱な仮想アプライアンス上で root への権限昇格を許してしまうものです。

https://iototsecnews.jp/2022/05/18/vmware-releases-patches-for-new-vulnerabilities-affecting-multiple-products/
VMware Access 20.10.0.1/20.10.0.0/21.08.0.1/21.08.0.0
VMware vIDM 3.3.6/3.3.5/3.3.4/3.3.3
VMware vRealize Automation (vIDM) 7.6
VMware Cloud Foundation (vIDM) 4.3.x/4.2.x/4.1/4.0.x
VMware Cloud Foundation (vRA) 3.x
VMware vRealize Suite Lifecycle Manager (vIDM) 8.x
CVE-2022-22972
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0014.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/18/cisa-issues-emergency-directive-and-releases-advisory-related
VMware Access 20.10.0.1/20.10.0.0/21.08.0.1/21.08.0.0
VMware vIDM 3.3.6/3.3.5/3.3.4/3.3.3
VMware Cloud Foundation (vIDM) 4.3.x/4.2.x/4.1/4.0.x
VMware vRealize Suite Lifecycle Manager (vIDM) 8.x
CVE-2022-22973
CVSS: 7.8
https://www.vmware.com/security/advisories/VMSA-2022-0014.html
https://www.cisa.gov/uscert/ncas/current-activity/2022/05/18/cisa-issues-emergency-directive-and-releases-advisory-related