脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2022年7月度の記事と併せてぜひご覧ください。
脆弱性TODAYとは?
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2022年7月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
===================================
■■■ Microsoft Windows Server
2022年6月15日、Microsoft は、6月にスケジュールされたセキュリティ更新プログラムの一環として、Microsoft Support Diagnostic Tool (MSDT) に存在し、広く悪用されているゼロデイ脆弱性 Follina に対するパッチを発行しました。このパッチは、同社が製品ポートフォリオ全体の脆弱性に対処するために公開した、合計で 60件のセキュリティ更新プログラムの中で、重要なものとなります。
Follina (CVE-2022-30190) 以外のものとして、Microsoft が Critical と評価している脆弱性には、Windows NFS における CVE-2022-30136 および、Windows Hyper-V における CVE-2022-30163 、Windows Lightweight Access Protocol における CVE-2022-30139 がありますが、いずれもリモートコード実行の脆弱性となります。
Microsoft Windows Server 2012/2012 R2/2016/2019
CVE-2022-30136
CVSS: 9.8
Microsoft Windows Server 2016/2019/2022、Microsoft Windows 10/11
CVE-2022-30139
CVSS: 7.5
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-30190
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30136
===================================
■■■ Citrix ADC
2022年6月15日、Citrix は Application Delivery Management の深刻な脆弱性 CVE-2022-27511 の修正を発表しました。この脆弱性が攻撃者に悪用されると、管理者パスワードをリセットされる可能性があります。
この脆弱性 CVE-2022-27511 は、Code White のセキュリティ研究者である Florian Hauser により、不適切なアクセス制御の脆弱性として報告されました。
Citrix ADC 13.0-85.19/13.1-21.53 未満
CVE-2022-27511 CVE-2022-27512
CWE-284(不適切なアクセス制御)、CWE-664(ライフタイム期間中の不適切なリソース制御)
CVSS: 8.1
https://support.citrix.com/article/CTX460016/citrix-application-delivery-management-security-bulletin-for-cve202227511-and-cve202227512
■■■ Citrix ADC
2022年6月15日、Citrix は Application Delivery Management の深刻な脆弱性 CVE-2022-27511 の修正を発表しました。この脆弱性が攻撃者に悪用されると、管理者パスワードをリセットされる可能性があります。
この脆弱性 CVE-2022-27511 は、Code White のセキュリティ研究者である Florian Hauser により、不適切なアクセス制御の脆弱性として報告されました。
Citrix ADC 13.0-85.19/13.1-21.53 未満
CVE-2022-27511 CVE-2022-27512
CWE-284(不適切なアクセス制御)、CWE-664(ライフタイム期間中の不適切なリソース制御)
CVSS: 8.1
https://support.citrix.com/article/CTX460016/citrix-application-delivery-management-security-bulletin-for-cve202227511-and-cve202227512
===================================
■■■ Microsoft Windows Server
Microsoft の発表によると、6月の Patch Tuesday の Windows 更新プログラムを適用した後に、一部のアプリケーションにおいて、Volume Shadow Copy Service (VSS) を用いたデータ・バックアップに失敗する可能性があるようです。この問題は、Microsoft File Server Shadow Copy Agent Service (RVSS) の権限昇格の脆弱性 CVE-2022-30154 に対処するため導入された、セキュリティ強化に起因するとされます。
Microsoft Windows Server 2012/2012 R2/2016/2019/2022
CVE-2022-30154
CVSS: 5.3
https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5014699-and-kb5014692-updates-released/
===================================
■■■ SAP
2022年6月14日に SAPは、June 2022 Security Patch Day セキュリティ・アドバイザリを公開し、新規 10件/更新 2件の脆弱性に対応しました。SAP のアドバイザリで、深刻度の高い Hot News に分類されたうち、最も深刻なものは 2018年4月のアドバイザリに対する更新であり、そこには SAP Business Client の Chrome ベース・ブラウザ向けに配信された更新も含まれます。
SAP NetWeaver J2EE Engine 7.40
CVE-2016-2386
CWE-89(SQLインジェクション)
CVSS: 9.8
SAP NetWeaver 7.4
CVE-2016-2388
CWE-284(不適切なアクセス制御)
CVSS: 5.3
SAP NetWeaver 7.30/7.31/7.40/7.50
CVE-2021-38163
CWE-434(信頼できないファイルのアップロード)
CVSS: 9.9
SAP PowerDesigner Proxy 16.7
CVE-2022-31590
CWE-428(引用されない検索のパス/要素)
CVSS: 7.8
SAP NetWeaver/ABAP Platform 7.88 以下
CVE-2022-27668
CWE-863(不正確な権限付与)
CVSS: 9.8
https://vuldb.com/?id.182600
===================================
■■■ Zimbra
メール・ソリューションのひとつである Zimbra は、世界の政府機関/金融機関/教育機関などの、数多くの組織で広く利用されています。その Zimbra の特定のバージョンに影響する深刻な脆弱性について、技術的な詳細が明らかにされました。脆弱性 CVE-2022-27924 は、悪用に成功した攻撃者に対して、認証/ユーザー操作を必要としないログイン情報の窃取を許し、オープンソース版/商用版の Zimbra 8.8.x/9.x に影響を及ぼします。
OpenSSL 1.0.2zc/1.1.1m/3.0.1 以下
CVE-2022-0778
CWE-404(リソースの不適切な解放)
CVSS: 5.3
Synacor Zimbra Collaboration 8.8.15/9.0
CVE-2022-27924
CWE-74(インジェクション)
CVSS: 6.3
https://vuldb.com/?id.195123
https://iototsecnews.jp/2022/06/15/zimbra-bug-allows-stealing-email-logins-with-no-user-interaction/
===================================
■■■ Cisco Secure Email
2022年6月15日、今週に Cisco は、デフォルト以外に設定された Cisco Secure Email Gateway Appliance の Web 管理インターフェイスに存在する、深刻な脆弱性を修正するよう、顧客に通知しました。この脆弱性の悪用に成功した攻撃者に対して、認証を回避したログインを許す可能性があるようです。
Cisco Secure Email、Cisco Web Manager
CVE-2022-20798
CWE-287(不適切な認証)
CVSS: 9.8
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-esa-auth-bypass-66kEcxQD
===================================
■■■ Sophos Firewall
Volexity の研究者たちは、Sophos Firewall のゼロデイ脆弱性 が中国の脅威アクターにより悪用され、ターゲットとされた企業のクラウド・ホスト Web サーバが侵害されていたことを発見しました。この脆弱性 CVE-2022-1040 は、Sophos が修正する数週間前に中国の攻撃者に悪用され、ターゲットのシステムに Web シェルがドロップされていました。2022年3月25日に Sophos は、Sophos Firewall のユーザー・ポータル/Webadmin エリアに存在する、この認証バイパスの脆弱性を修正したと発表しています。なお、脆弱性 CVE-2022-1040 (CVSS:9.8) は、Sophos Firewall 18.5 MR3 (18.5.3) 以前のバージョンに影響を及ぼします。
Sophos Firewall 18.5 MR3 以下
CVE-2022-1040
CWE-287(不適切な認証)
CVSS: 9.8
https://vuldb.com/?id.195780
===================================
■■■ Siemens SINEC NMS
サイバーセキュリティ研究者たちは、Siemens SINEC network management system (NMS) における 15件のセキュリティ脆弱性の詳細を公開し、そのうちのいくつかの脆弱性を組み合わせることで、攻撃者はターゲットとなるシステム上でリモート・コード実行を達成する可能性があることを明らかにしました。
Siemens SINEC NMS 1.0 SP2 以下
CVE-2021-33722
CWE-22(パス・トラバーサル)
CVSS: 4.9
Siemens SINEC NMS 1.0 SP2 以下
CVE-2021-33723
CWE-285(不正確な許可)
CVSS: 6.5
Siemens SINEC NMS 1.0 SP2 以下
CVE-2021-33729
CWE-89(SQLインジェクション)
CVSS: 5.5
Siemens SINEC NMS 1.0 SP2 Update 1
CVE-2021-33736
CWE-89(SQLインジェクション)
CVSS: 7.2
https://vuldb.com/?id.184208
■■■ Siemens SINEC NMS
サイバーセキュリティ研究者たちは、Siemens SINEC network management system (NMS) における 15件のセキュリティ脆弱性の詳細を公開し、そのうちのいくつかの脆弱性を組み合わせることで、攻撃者はターゲットとなるシステム上でリモート・コード実行を達成する可能性があることを明らかにしました。
Siemens SINEC NMS 1.0 SP2 以下
CVE-2021-33722
CWE-22(パス・トラバーサル)
CVSS: 4.9
Siemens SINEC NMS 1.0 SP2 以下
CVE-2021-33723
CWE-285(不正確な許可)
CVSS: 6.5
Siemens SINEC NMS 1.0 SP2 以下
CVE-2021-33729
CWE-89(SQLインジェクション)
CVSS: 5.5
Siemens SINEC NMS 1.0 SP2 Update 1
CVE-2021-33736
CWE-89(SQLインジェクション)
CVSS: 7.2
https://vuldb.com/?id.184208
===================================
■■■ Microsoft Windows
今週に、アイデンティティ・セキュリティ企業である CyberArk の研究者たちが、Microsoft が2回にわたってパッチをリリースせざるを得なかった、Windows の RDP named pipe の脆弱性に関する技術情報を公開しました。この脆弱性 CVE-2022-21893 は、2022年1月の Patch Tuesday で対処されましたが、修正内容の分析により、新たな攻撃ベクターに対するパッチが漏れていることが判明しました。2022年4月の Patch Tuesday で Microsoft は、この脆弱性を CVE-2022-24533 として解決しています。
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-21893
CVSS: 8.8
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008R2/2008、Microsoft Windows 11/10/8.1/7
CVE-2022-24533
CVSS: 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21893
===================================
■■■ Cisco VPN Router
Cisco は、未パッチのリモートコード実行の脆弱性を公開しましたが、生産終了した Small Business RV ルーターの所有者に対しては、新たなモデルへのアップグレードを推奨しています。この脆弱性 CVE-2022-20825 は、CVSS スコア 9.8 という深刻なものです。Cisco のセキュリティ・アドバイザリによると、この脆弱性の影響を受けるデバイスでは、受信された HTTP パケットに対するユーザー入力検証が不十分だとされています。したがって、特別に細工したリクエストを Web_based 管理インターフェイスに送信することで、この脆弱性の悪用に成功した攻撃者は、root レベルの特権でコマンドを実行させることが可能になります。
Cisco RV110W Wireless-N VPN Firewall、Cisco RV130 VPN Router、Cisco RV130W Wireless-N Multifunction VPN Router、Cisco RV215W Wireless-N VPN Router
CVE-2022-20825
CWE-121(スタックバッファ・オーバーフロー)
CVSS: 9.8
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v
===================================
■■■ Atlassian Confluence
Atlassian Confluence Server における、先日に公開リモートコード実行 (RCE) の深刻な脆弱性が一連の攻撃に頻繁にさらされ、マルウェアやランサムウェアなどが展開されています。Sophos の研究者たちによると、Windows/Linux サーバ上で動作する脆弱な Atlassian Confluence インスタンスに対して、脅威アクターによる自動化されたエクスプロイト攻撃が、これまでの2週間で複数回観測されているようです。
Atlassian Confluence Server 7.14.3/7.15.2/7.16.4/7.4.17/7.13.7/7.18.1/7.17.4 未満、Atlassian Confluence Data Center 7.14.3/7.15.2/7.16.4/7.4.17/7.13.7/7.18.1/7.17.4 未満
CVE-2022-26134
CVSS: 10
https://www.jpcert.or.jp/at/2022/at220015.html
===================================
■■■ Safari
Google Project Zero の最新レポートによると、今年の初めに野放しで悪用されていた Apple Safari のセキュリティ欠陥は、もともと2013年に修正され、2016年12月に改めて問題とされたものです。この脆弱性 CVE-2022-22620 (CVSS : 8.8) は、WebKit コンポーネントの use-after-free に起因するものであり、特別に細工された Web コンテンツの一部により悪用され、任意のコード実行を許す可能性があるようです。
Apple Safari 15.3 以下
CVE-2022-22620
CWE-416(解放済みメモリの使用)
CVSS: 6.3
https://support.apple.com/en-us/HT213091
===================================
■■■ Microsoft Windows Server
今月の Windows Server アップデートは、Routing and Remote Access Service (RRAS) を有効にしたサーバにおける VPN/RDP 接続などで、さまざまな問題を引き起こしているようです。RRAS とは、VPN およびダイヤルアップ接続を用いた、リモート・アクセスやサイト間の接続などの、追加の TCP 接続およびルーティングの機能を提供する Windows サービスです。
Microsoft Windows Server 2012/2012 R2/2016/2019/2022、Microsoft Windows 8.1/10/11
CVE-2022-30152
CVSS: 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30152
===================================
■■■ PHP
台湾のベンダーである QNAP は、QNAP NAS デバイスに影響をおよぼす、PHP の深刻なリモート・コード実行の脆弱性 CVE-2019-11043 (CVSS:9.8) に対処しています。この脆弱性の存在により、PHP FastCGI Process Manager (FPM) の特定のコンフィグレーションにおいて、FCGI プロトコルのデータ用に確保されたメモリ領域に関連するバッファ・オーバーフローが発生し、リモートからコードが実行される可能性が生じます。
Ubuntu、Debian GNU/Linux、PHP 7.1.33 以下、PHP 7.2.24 以下、PHP 7.3.11 以下
CVE-2019-11043
CWE-787(境界外書き込み)
CVSS: 9.8
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-011337.html
===================================
■■■ Apache log4j
今日の CISA 警告は、Log4Shell のリモート・コード実行の脆弱性 CVE-2021-44228 が、国家を後ろ盾とするハッキング・グループなどの脅威アクターに悪用されており、VMware Horizon/Unified Access Gateway(UAG)サーバーが依然として標的にされているというものです。攻撃者たちは、ローカルまたはインターネットにアクセスできる脆弱なサーバー上で、 Log4Shell をリモートから悪用することで、機密データが保存される内部システムへのアクセスを獲得するまで、ネットワーク上の水平移動が可能になります。
Apache log4j 2.0-beta9~2.14.1 以下
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10
https://www.jpcert.or.jp/at/2021/at210050.html
===================================
■■■ Atlassian Confluence
先日に発見された、Atlassian Confluence のゼロデイ欠陥 (CVE-2022-26134) の悪用により、侵入を許してしまった 50件の脆弱のネットワークへのイニシャル・アクセスが、ある脅威アクターにより販売されています。この発見は、Rapid7 Threat Intelligence チームによるものであり、その情報は The Record で公開されています。この脆弱なネットワークへのイニシャル・アクセスは、ロシア語のフォーラム XSS で提供されていました。
Atlassian Confluence Server 7.14.3/7.15.2/7.16.4/7.4.17/7.13.7/7.18.1/7.17.4 未満、Atlassian Confluence Data Center 7.14.3/7.15.2/7.16.4/7.4.17/7.13.7/7.18.1/7.17.4 未満
CVE-2022-26134
CVSS: 10
https://www.jpcert.or.jp/at/2022/at220015.html
===================================
■■■ OpenSSL
OpenSSL ライブラリの最新バージョンに存在する脆弱性による、一部のシステムではリモートメモリ破壊が生じることが判明しました。この問題は、2022年6月21日にリリースされた OpenSSL バージョン 3.0.4 で確認されており、AVX-512 命令セットを搭載した x64 システムに影響を及ぼすようです。ただし、OpenSSL 1.1.1 および、OpenSSL フォークである BoringSSL と LibreSSL は影響を受けません。
OpenSSL 3.0.4
CVE-2022-2274
CWE-119(バッファ・エラー)
CVSS: 9.8
https://jvn.jp/vu/JVNVU96381485/
===================================
■■■ Microsoft Exchange
これまで未知とされてきた中国語圏の高度持続的脅威 (APT) アクターが、Microsoft Exchange の脆弱性 ProxyLogon を悪用してマルウェア ShadowPad を展開しています。その最終目標は、ビルオートメーション・システム (BAS:Building Automation System) を乗っ取り、ネットワークに深く侵入することだと、研究者たちは述べています。
Microsoft Exchange Server 2019/2016/2013
CVE-2021-26855
CVSS: 9.1
https://www.jpcert.or.jp/at/2021/at210012.html
===================================
■■■ HAProxy:PwnKit
CISA の悪用脆弱性リスト (KVE:Known Exploited Vulnerabilities Catalog) に、 Linux の深刻な脆弱性 CVE-2021-4034 が追加されました。この PwnKit と呼ばれる脆弱性は、すべての主要ディストリビューション (Ubuntu/Debian/Fedora/CentOSなど) で使用されている、Polkit の pkexec コンポーネントで発見されました。PwnKit とは、デフォルト設定の Linux システムにおいて、その悪用に成功した非特権ユーザーに、完全なルート権限を許してしまうメモリ破壊の脆弱性です。
HAProxy 2.5 以下
CVE-2021-4034
CWE-190(整数オーバーフロー)
CVSS: 7.3
https://www.haproxy.com/blog/september-2021-duplicate-content-length-header-fixed/
===================================
■■■ UnRAR
RARlab の UnRAR ユーティリティで、新たなセキュリティ脆弱性 CVE-2022-30333 が発見されました。この脆弱性の悪用に成功したリモートの攻撃者は、UnRAR バイナリに依存しているシステム上で任意のコード実行が可能になります。この、Unix 版の UnRAR に存在する脆弱性は、パストラバーサル欠陥に起因するものであり、悪意を持って細工された RAR アーカイブを展開した際に、発生する可能性があります。
Rarlab UnRAR 6.11 以下
CVE-2022-30333
CWE-21(パス名トラバーサルおよび同値エラー)
CVSS: 7.5
https://vuldb.com/?id.199266
===================================
■■■ Google の 2022年ゼロデイ分析
Google Project Zeroは、2022年前半に悪用された、合計 18件のゼロデイ脆弱性を観測しており、そのうちの少なくとも半分は、以前のバグが適切に対処されていなかったことに起因していると述べています。Google Project Zero の研究者である Maddie Stone によると、今年に入ってから確認された、野放し状態だったゼロデイ脆弱性のうち9件は、組織がより包括的なパッチを適用していれば防ぐことができた可能性があるようです。
CVE-2022-1096
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html
CVE-2022-1364
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html
Microsoft Windows Server 2022/2019、Microsoft Windows 11/10
CVE-2022-21882
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21882
CVE-2022-21882
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21882
Apple iOS 15.3.0 以下、Apple iPadOS 15.3.0 以下
CVE-2022-22620
CWE-416(解放済みメモリの使用)
CVSS: 6.3
https://support.apple.com/en-us/HT213093
CVE-2022-22620
CWE-416(解放済みメモリの使用)
CVSS: 6.3
https://support.apple.com/en-us/HT213093
Atlassian Confluence Server 7.14.3/7.15.2/7.16.4/7.4.17/7.13.7/7.18.1/7.17.4 未満、Atlassian Confluence Data Center 7.14.3/7.15.2/7.16.4/7.4.17/7.13.7/7.18.1/7.17.4 未満
CVE-2022-26134
CVSS: 10.0
https://www.jpcert.or.jp/at/2022/at220015.html
CVE-2022-26134
CVSS: 10.0
https://www.jpcert.or.jp/at/2022/at220015.html
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-26925
CVSS: 8.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925
CVE-2022-26925
CVSS: 8.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26925
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-30190
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
CVE-2022-30190
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
===================================
■■■ Jenkins Plugin
木曜日に Jenkins セキュリティ・チームは、オープンソースの自動化サーバ Jenkins における 29種類のプラグインに影響を与える、34件のセキュリティ脆弱性を発表し、そのうち 29件のバグは、パッチ未適用のゼロデイであることを明らかにしました。Jenkins は、ソフトウェアのビルド/テスト/デプロイのために、世界中の企業で使用されている極めて人気のあるプラットフォームです (1,700以上のプラグインに対応)。Jenkins の統計によると、影響を受けたプラグインは、合計で 22,000 以上もインストールされているようです。
Jenkins 2.355 以下、Jenkins LTS 2.332.3 以下
CVE-2022-34170, CVE-2022-34171, CVE-2022-34172, CVE-2022-34173
CVSS: 8
https://www.jenkins.io/security/advisory/2022-06-22/#SECURITY-2781
===================================
■■■ Zoho ManageEngine
セキュリティ研究者たちは、Active Directory のアクティビティを監視するツール Zoho ManageEngine ADAudit Plus に存在する、深刻な脆弱性 CVE-2022-28219 (CVSS:9.8)の技術詳細と概念実証のためのエクスプロイト・コードを公開しました。この脆弱性により、未認証の攻撃者がリモートでコードを実行し、Active Directory のアカウントを侵害することが可能になります。Horizon3.ai のセキュリティ研究者 Naveen Sunkavally から報告を受けた Zoho は、3月末に ADAudit Plus build 7060 で、この問題に対処しています。
Zoho ManageEngine Desktop Central 10.0.479 未満
CVE-2020-10189
CWE-502(信頼できないデータに対するデシリアライズの問題)
CVSS: 9.8
https://vuldb.com/?id.150974
===================================
■■■ Google Chrome
Google は、Chrome 103.0.5060.114 for Windows をリリースし、攻撃者に悪用される可能性のある、深刻度の高いゼロデイ脆弱性に対処しました。それは、2022年にパッチが適用された、4番目の Chrome ゼロデイとなります。月曜日に公開したセキュリティ・アドバイザリで、「Google は、CVE-2022-2294 のエクスプロイトが野放しで存在することを認識している」と述べています。
CVE-2022-2294
https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop.html
===================================
■■■ Microsoft Windows
Microsoft は、May 2022 Update において、Windows サーバを標的とした NTLM リレー攻撃を可能にする脆弱性 ShadowCoerce を修正しました。この NTLM リレー攻撃は、パッチ未適用のサーバを、自身の支配下にあるサーバに対して強制的に認証させることで、Windows ドメインを乗っ取るというものです。この問題は非公開でありますが、BleepingComputer が Microsoft の広報担当者に確認したところ、「MS-FSRVP coercion abuse PoC (ShadowCoerce) は、同じコンポーネントに影響を与える、脆弱性 CVE-2022-30154 への対策で緩和された」とのことです。
Microsoft Windows Server 2012/2012 R2/2016/2019/2022
CVE-2022-30154
CVSS: 5.3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30154
https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5014699-and-kb5014692-updates-released/
===================================
■■■ Fortinet/Cisco
水曜日に Cisco は、複数の製品に存在する 10件のセキュリティ欠陥に対するパッチを配布しました。そのうちの1件は、深刻度 Critical と評価され、絶対パストラバーサル攻撃を行うために武器となる可能性があります。Cisco Expressway および Cisco TelePresence Video Communication Server (VCS) に影響を及ぼす、脆弱性 CVE-2022-20812 および CVE-2022-20813 について、Cisco は「リモート攻撃者が任意のファイルを上書きし、影響を受けるデバイスで NULL バイト・ポイズニング攻撃を行える」と述べています。
Fortinet FortiClient for Windows 7.0.0~7.0.2/6.4.0~6.4.6/6.2.0~6.2.9
CVE-2021-41031
CWE-23(相対パス・トラバーサル)
CVSS: 7.8
Fortinet FortiManager 5.6.0~5.6.11/6.0.0~6.0.11/6.2.0~6.2.9/6.4.0~6.4.7/7.0.0~7.0.2、Fortinet FortiAnalyzer 5.6.0~5.6.11/6.0.0~6.0.11/6.2.0~6.2.9/6.4.0~6.4.7/7.0.0~7.0.2、Fortinet FortiOS 6.0.0~6.0.14/6.2.0~6.2.10/6.4.0~6.4.8/7.0.0~7.0.5、Fortinet FortiProxy 1.0.0~1.0.7/1.1.0~1.1.6/1.2.0~1.2.13/2.0.0~2.0.8/7.0.0~7.0.3
CVE-2021-43072
CWE-120(バッファ・オーバーフロー)
CVSS: 7.8
https://www.fortiguard.com/psirt/FG-IR-21-206
CVE-2021-43072
CWE-120(バッファ・オーバーフロー)
CVSS: 7.8
https://www.fortiguard.com/psirt/FG-IR-21-206
Cisco Expressway Series、Cisco TelePresence Video Communication Server
CVE-2022-20812, CVE-2022-20813
CWE-36(絶対パス・トラバーサル)、CWE-158(NullバイトまたはNUL文字の不適切な無効化)
CVSS: 9
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-overwrite-3buqW8LH
https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L
CVE-2022-20812, CVE-2022-20813
CWE-36(絶対パス・トラバーサル)、CWE-158(NullバイトまたはNUL文字の不適切な無効化)
CVSS: 9
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-overwrite-3buqW8LH
https://tools.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L
Fortinet FortiDeceptor 1.0.0~1.0.1/1.1.0/2.0.0/2.1.0/3.0.0~3.0.2/3.1.0~3.1.1/3.2.0~3.2.2/3.3.0~3.3.2/4.0.0~4.0.1
CVE-2022-30302
CWE-23(相対パス・トラバーサル)
CVSS: 8.1
https://www.fortiguard.com/psirt/FG-IR-21-213
CVE-2022-30302
CWE-23(相対パス・トラバーサル)
CVSS: 8.1
https://www.fortiguard.com/psirt/FG-IR-21-213
Fortinet FortiNAC 8.3.7/8.5.0~8.5.2/8.5.4/8.6.0/8.6.2~8.6.5/8.7.0~8.7.6/8.8.0~8.8.11/9.1.0~9.1.5/9.2.0~9.2.3
CVE-2022-26117
CWE-258(設定ファイル内における空のパスワード)
CVSS: 8.8
https://fortiguard.com/psirt/FG-IR-22-058
CVE-2022-26117
CWE-258(設定ファイル内における空のパスワード)
CVSS: 8.8
https://fortiguard.com/psirt/FG-IR-22-058
===================================
■■■ Windows(Follina)
新たに観測されたフィッシング・キャンペーンは、先日に公開された脆弱性 Follina (CVE-2022-30190) を悪用し、これまで文書化されていなかったバックドアを、Windows システム上に配布するものでした。今週に発表したレポートで、Fortinet FortiGuard Labs の 研究者である Cara Lin は、「Rozena は、攻撃者のマシンに戻ってリモートシェル接続を注入することが可能なバックドア・マルウェアだ」と述べています。
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-30190
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
===================================
■■■ Honda
Star-V Lab のセキュリティ研究者 Kevin2600 と Wesley Li のチームが、脆弱性 CVE-2021-46145 に対する Rolling-PWN 攻撃により、Honda 車両のロック解除や発進を可能にすることを発見しました。研究者たちが、車両の解錠/発進を遠隔操作で可能にする Remote Keyless Entry System (RKE) をテストしたところ、リモートで車両の解錠/施錠ができる Rolling-PWN 攻撃の問題が発見されました。専門家たちによると、この問題は、2012年〜2022年に販売された全ての Honda 車に影響するとのことです。
CVE-2021-46145
CWE-294(キャプチャー・リプレイによる認証バイパス)
CVSS: 5.3
https://vuldb.com/?id.189784
===================================
■■■ Microsoft 2022-07 月例アップデート
今日は、Microsoft July 2022 Patch Tuesday の日でした。今月は、野放し状態で悪用されているゼロデイ脆弱性を含む、合計で 84件の脆弱性が修正されました。今日のアップデートで修正された 84件の脆弱性のうち、4件が Critical、80件が Important に分類されています。また、これとは別に、Chromium-based Edge の2件の脆弱性も修正されました。そのうちの1件は、活発に攻撃されていると Google が公表した、ゼロデイ脆弱性に対応しています。
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-22022, CVE-2022-22026, CVE-2022-22041, CVE-2022-22047, CVE-2022-22049, CVE-2022-30206, CVE-2022-30226
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22022
Microsoft Windows Server 2022/2019/2016/2012 R2/2012/2008 R2/2008、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-22025, CVE-2022-22040, CVE-2022-30208
CVSS: 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22025
CVE-2022-22025, CVE-2022-22040, CVE-2022-30208
CVSS: 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22025
Microsoft Windows Server 2022/2019/2016/2012 R2/2012、Microsoft Windows 11/10/RT 8.1/8.1/7
CVE-2022-22029, CVE-2022-22038, CVE-2022-22039, CVE-2022-30221, CVE-2022-30222
CVSS: 8.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22029
CVE-2022-22029, CVE-2022-22038, CVE-2022-22039, CVE-2022-30221, CVE-2022-30222
CVSS: 8.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-22029
Microsoft Windows Server 2022、Microsoft Windows 11/10
CVE-2022-30216
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30216
CVE-2022-30216
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30216
Microsoft Defender for Endpoint for Linux
CVE-2022-33637
CVSS: 6.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-33637
CVE-2022-33637
CVSS: 6.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-33637
===================================
■■■ Microsoft Azure Site Recovery
Microsoft は、Azure Site Recovery suite に存在する、権限昇格/リモート・コード実行などの 32件の脆弱性を修正しました。Azure Site Recovery は、なんらかの問題が検出されたときに、自動的にセカンダリ拠点にワークロードをフェイル・オーバーさせる、ディザスター・リカバリー・サービスです。Microsoft July 2022 Patch Tuesday で修正された 84件の脆弱性のうち、Azure Site Recovery の脆弱性は、3分の1以上を占めています。
Microsoft Azure Site Recovery VMWare to Azure
CVE-2022-33675
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-33675
===================================
■■■ VMware vCenter Server
VMware は、8ヶ月前に公開された、vCenter Server の IWA (Integrated Windows Authentication) 認証メカニズムに存在する、深刻な権限昇格の脆弱性 CVE-2021-22048 に対して、ついにパッチをリリースしました。CrowdStrike の Yaron Zinar と Sagi Sheinfeld により報告された、この脆弱性 CVE-2021-22048 は、VMware Cloud Foundation にも影響をおよぼすものです。
VMware vCenter Server 6.7/7.0、VMware Cloud Foundation 3.x/4.x
CVE-2021-22048
CVSS: 7.1
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
===================================
■■■ Apple iOS/macOS
水曜日に Microsoft は、Apple の OS に影響を及ぼすセキュリティ脆弱性 (パッチ適用済み) について詳細を明らかにしました。この脆弱性の悪用に成功した攻撃者は、対象デバイスで特権へ昇格し、マルウェアを展開できるようになります。Microsoft 365 Defender Research Team の Jonathan Bar Or は、「攻撃者は、このサンドボックス脱出の脆弱性を悪用し、影響が生じるデバイス上で昇格した特権を取得し、悪意のコマンド実行により、追加のペイロードをインストールできる」と記述しています。
Apple tvOS 15.5 未満
Apple macOS Big Sur 11.6.6 未満
Apple macOS Monterey 12.4 未満
Apple iOS 15.5 未満、Apple iPadOS 15.5 未満
Apple watchOS 8.6 未満
CVE-2022-26706
CVSS: CVSS: 5.5
https://support.apple.com/ja-jp/HT213254
===================================
■■■ Apache log4j
ジョー・バイデン大統領が設立した、新しい Cyber Safety Review Board によると、昨年に発見された、どこにでもあるソフトウェアに存在する脆弱性は、潜在的に 10年以上にわたってセキュリティ・リスクをもたらす風土病のようなものになるようです。木曜日の報告書で、このサイバー安全審査委員会は、Log4j の脆弱性 CVE-2021-44228 による大規模なサイバー攻撃の兆候はないが、今後の数年間は悪用され続けるだろうと述べています。
Apache log4j 2.0-beta9~2.14.1 以下
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10.0
https://www.jpcert.or.jp/at/2021/at210050.html
===================================
■■■ WordPress Kaswara Modern VC Addons Plugin
セキュリティ研究者たちは、160万近い WordPress サイトをスキャンし、認証なしでファイルをアップロードする脆弱なプラグインの存在を探し出そうとする、大規模なキャンペーンを検出しました。この攻撃者は、Kaswara Modern WPBakery Page Builderをターゲットにしているが、真の狙いは深刻な脆弱性 CVE-2021-24284 に対するパッチを受ける前に、作者により放棄されたサイトへの攻撃にあります。
WordPress Kaswara Modern VC Addons Plugin 3.0.1 以下
CVE-2021-24284
CWE-434(信頼できないファイルのアップロード)
CVSS: 9.8
https://www.bleepingcomputer.com/news/security/attackers-scan-16-million-wordpress-sites-for-vulnerable-plugin/
https://iototsecnews.jp/2022/07/15/attackers-scan-1-6-million-wordpress-sites-for-vulnerable-plugin/
===================================
■■■ Nginx
CISA が発した警告は、Juniper Networks 製品のユーザーと管理者たちに対して、同社のセキュリティ・アドバイザリを確認し、Junos Space/Contrail Networking/NorthStar Controller などの一部の製品について、利用可能なアップデートの適用を促すものです。これらの脆弱性の悪用に成功した脅威アクターたちは、影響を受けるシステムの乗っ取りが可能になるようです。
Nginx Ingress Controller、Nginx Open Source、Nginx Plus
CVE-2021-23017
CWE-193(オフ・バイ・ワン・エラー)
CVSS: 9.4
https://vuldb.com/?id.176110
===================================
■■■ MiCODUS MV720 GPS Tracker
脆弱性研究者たちは、169カ国の約 150万台の車両に搭載されていると宣伝される、GPS トラッカーにセキュリティ上の問題があることを発見しました。MiCODUS MV720 は、Fortune 50/欧州の各政府/米国の各州/南米の軍事機関/原子力発電所運営会社などが使用する車両に搭載されているが、合計で6件の脆弱性が存在しているようです。
CVE-2022-2107
CWE-798(認証情報ハードコード)
CVSS: 9.8
https://vuldb.com/?id.204686
===================================
■■■ Oracle
7月19日に Oracle は、July 2022 Critical Patch Update (CPU) を発表し、合計で 349件の新しいセキュリティ・パッチをリリースしましたが、そこには、リモートの未認証の攻撃者が悪用できる脆弱性 230件も含まれます。今月の Critical Patch Update (CPU) には、CVSS 値が 10 である4件を含む、64件の Critical な脆弱性に対するセキュリティ・パッチが提供され、CVSS 値が 8~9 である 20件をの脆弱性にも対処されています。
CVE-2022-22965
CWE-74(インジェクション)
CVSS: 6.3
https://vuldb.com/?id.196076
===================================
■■■ Atlassian Confluence Server/Confluence Data Center
Atlassian は、Confluence Server/Data Center に存在するハードコードされた認証情報の脆弱性を修正し、リモートの未認証の攻撃者による、未パッチ・サーバーへのログインを阻止しました。このハードコードされたパスワードは、ユーザー名 disabledsystemuser のユーザー・アカウントで Questions for Confluence アプリ (Ver 2.7.34/2.7.35, 3.0.20) をインストールした後に追加され、管理者がアプリから Confluence Cloud にデータを移行する際に役立つように設計されています。
CVE-2022-26138
CWE-798(認証情報ハードコード)
CVSS: 7.3
https://confluence.atlassian.com/doc/questions-for-confluence-security-advisory-2022-07-20-1142446709.html
===================================
■■■ Cisco Nexus Dashboard
Ciscoは、データ・センター管理ソリューションである Cisco Nexus Dashboard に存在する、深刻な脆弱性を修正しました。これらの脆弱性の悪用に成功した脅威アクターは、リモートから root/管理者の権限で、コマンドやアクションを実行できるようになります。
CVE-2022-20857, CVE-2022-20858, CVE-2022-20860, CVE-2022-20861
CWE-306(認証機能の欠落)、CWE-352(クロスサイト・リクエスト・フォージェリ)、CWE-295(不適切な証明書検証)
CVSS: 9.8
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y
===================================
■■■ Apple
Apple は、iOS/iPadOS/macOS/tvOS/watchOS を搭載する各デバイスに、影響を与える 37件の脆弱性を修正するセキュリティ・アップデートを公開しました。今回、Apple が対応した欠陥には、任意のコードの実行/特権の昇格/サービス拒否 (DoS)/情報漏えいなどにつながるものが含まれます。
CVE-2022-2294
CWE-122(ヒープバッファ・オーバーフロー)
CVSS: 6.0
https://vuldb.com/?id.203233
CVE-2022-32792
CWE-787(境界外書き込み)
CVSS: 6.0
https://iototsecnews.jp/2022/07/21/apple-fixes-multiple-flaws-in-ios-ipados-macos-tvos-and-watchos-devices/
CWE-787(境界外書き込み)
CVSS: 6.0
https://iototsecnews.jp/2022/07/21/apple-fixes-multiple-flaws-in-ios-ipados-macos-tvos-and-watchos-devices/
===================================
■■■ Google Chrome
イスラエルのスパイウェア・ベンダー Candiru が、Google Chrome のゼロデイ脆弱性を悪用していたことが判明しました。彼らはスパイウェア DevilsTongue を用い、中東のジャーナリストや、彼らと利害関係のある人々に対してスパイ活動を行っていました。このヒープバッファ・オーバーフローの脆弱性 CVE-2022-2294 は、WebRTC に存在するものです。悪用に成功した攻撃者が、ターゲット・デバイス上でコードを実行する可能性があります。Google は、2022年7月4日に、この脆弱性にゼロデイ・パッチを適用した際に、活発に悪用されていることを明らかにしていたが、それ以上の詳細は提供しませんでした。
CVE-2022-2294
CWE-122(ヒープバッファ・オーバーフロー)
CVSS: 6.0
https://vuldb.com/?id.203233
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。