脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2022年10月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2022年10月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ Adobe
Magento 2 に存在する脆弱性 CVE-2022-24086 を狙う、ハッキング行為が急増しています。Magento は、Adobe が所有するオープンソースの eコマースプラットフォームであり、全世界の約17万件のオンライン・ショッピング・サイトで利用されています。この脆弱性 CVE-2022-24086 は、2022年2月に発見され、パッチが適用されていますが、すでに侵害に成功した脅威アクターにより、野放状態で悪用されています。その当時に、CISA はサイト管理者に対して、提供されたセキュリティ更新プログラムを適用するよう、アラートで促していました。
https://iototsecnews.jp/2022/09/22/critical-magento-vulnerability-targeted-in-new-surge-of-attacks/
CVE-2022-24086
CWE-20(不適切な入力確認)
CVSS: 9.8
https://helpx.adobe.com/security/products/magento/apsb22-12.html
===================================
■■■ CISA KEV 警告
火曜日に米国 Cybersecurity and Infrastructure Security Agency (CISA) は、最近に公開された Zoho ManageEngine の脆弱性を、活発な悪用の証拠があるとして、Known Exploited Vulnerabilities (KEV) カタログに追加しました。CISA は、「Zoho ManageEngine の PAM360/Password Manager Pro/Access Manager Plus には、リモートコードを実行にいたる、特定されていない脆弱性が存在する」と述べています。
CVE-2022-35405
CVSS: 7.3
https://nvd.nist.gov/vuln/detail/CVE-2022-35405
===================================
■■■ Sophos
Sophos は、同社の Firewall 製品群に存在するコード・インジェクションの脆弱性 CVE-2022-3236 が、悪用されていることを警告しています。この脆弱性 CVE-2022-3236 は、Sophos Firewall のユーザーポータルおよび Webadmin に存在し、この脆弱性の悪用に成功した攻撃者に対して、コード実行 (RCE) を許す可能性があります。
CVE-2022-3236
CVSS: 9.8
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce
https://nvd.nist.gov/vuln/detail/CVE-2022-3236
===================================
■■■ ISC
今週、Internet Systems Consortium (ISC) は、DNS ソフトウェア BIND に存在する、リモートから悪用できる6つの脆弱性に対処する、セキュリティ・パッチを公開しました。6件の脆弱性のうち4件は、いずれもサービス妨害 (DoS) の問題で、深刻度は High と判定されています。これらの脆弱性のうち、CVE-2022-2906 ( CVSS:7.5) は、TKEY RR (OpenSSL 3.0.0 + のみ) を介して Diffie-Hellman キー交換を扱うコード内のメモリ・リークの脆弱性です。
https://iototsecnews.jp/2022/09/24/isc-fixed-high-severity-flaws-in-the-bind-dns-software/
CVE-2022-2906
CWE-401(有効期限後のメモリの解放の欠如)
CVSS: 7.5
CVE-2022-3080
CWE-74(インジェクション)
CVSS: 7.5
https://www.jpcert.or.jp/newsflash/2022092201.html
https://kb.isc.org/docs/aa-00913
https://kb.isc.org/v1/docs/cve-2022-2906
https://nvd.nist.gov/vuln/detail/CVE-2022-2906
CVE-2022-38177, CVE-2022-38178
CWE-347(暗号化された署名に対する不適切な認証)
CVSS: 7.5
https://kb.isc.org/docs/aa-00913
https://www.jpcert.or.jp/newsflash/2022092201.html
https://kb.isc.org/v1/docs/cve-2022-38177
https://kb.isc.org/v1/docs/cve-2022-38178
https://nvd.nist.gov/vuln/detail/CVE-2022-38177
https://nvd.nist.gov/vuln/detail/CVE-2022-38178
===================================
■■■ Chaos
この数カ月にわたり、Chaos と呼ばれる多機能な Go ベースの新たなマルウェアが、Windows/Linux/SOHO ルーター/企業サーバーなどをボットネットに取り込み、その勢力を急速に拡大している状況が明らかになりました。Lumen の Black Lotus Labs の研究者たちは、「Chaos の機能には、ホスト環境の列挙/リモートシェル・コマンドの実行/追加モジュールのロード/SSH 秘密鍵の窃盗/ブルートフォースによる自動伝播などに加えて、DDoS 攻撃の設定も含まれている」 と、The Hacker News に述べています。
CVE-2017-17215
CWE-269(不適切な権限管理)
CVSS: 6.3
CVE-2022-30525
CWE-78(OSコマンド・インジェクション)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-30525
===================================
■■■ 米政府組織などを装う Word 文書フィッシング
2022年8月に Cisco Talos の研究者たちは、モジュール化された攻撃手法により Cobalt Strike ビーコンを配信し、後続の攻撃に使用するという、悪質なキャンペーンを発見しました。同社は 9月28日に、このキャンペーンについて新たなアドバイザリを発表し、このキャンペーンの背後にいる脅威アクターは、フィッシング・メールを使用していたと述べました。最初の攻撃ベクターとして、悪意の Microsoft Word 文書を添付して、米国の政府組織またはニュージーランドの労働組合に成りすましているようです。
CVE-2017-0199
CVSS: 6.3
http://jvn.jp/vu/JVNVU98665451/
===================================
■■■ Microsoft/Atlassian
Microsoft は、ProxyNotShell と呼ばれ、CVE-2022-41040/CVE-2022-41082 として追跡される、最新の Exchange ゼロデイ脆弱性に対する緩和策を更新しました。最初の推奨事項に関しては、2 つのバグを悪用する新しい攻撃方法が研究者たちが示し、容易な回避策を提示したことで、不十分さが証明されています。
CVE-2022-36804
Critical
CVE-2022-41040
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
CVE-2022-41082
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
===================================
■■■ Canon
Trustwave は、Canon Medical の医療画像共有ツール Vitrea View に、2つのクロスサイト・スクリプティング (XSS:cross-site scripting) の脆弱性が存在すると、医療機関に警告を発しています。企業向け閲覧ソリューションとして知られる Vitrea View は、医療機関/医師/放射線技師などが医療画像を安全に共有するために使用され、デスクトップ/モバイルデバイスの両方でブラウザからアクセスができます。
https://iototsecnews.jp/2022/09/30/canon-medical-product-vulnerabilities-expose-patient-information/
CWE-79(クロスサイト・スクリプティング)
CVSS: 6.1
https://nvd.nist.gov/vuln/detail/CVE-2022-37461
===================================
■■■ Dell
北朝鮮が支援する Lazarus Group が、Dell のファームウェア・ドライバの脆弱性を悪用して、Windows のルートキットを展開していることが確認されています。それにより、国家に支援された脅威アクターが採用する、新たな戦術が浮き彫りになっています。2021年秋に発生した BYOVD (Bring Your Own Vulnerable Driver) 攻撃は、この脅威アクターが、航空宇宙/防衛産業に向けて行っているスパイ活動 Operation In(ter)ception の亜種となります。
CVE-2021-21551
CWE-285(不適切な権限付与)
CVSS: 8.8
https://nvd.nist.gov/vuln/detail/CVE-2021-21551
===================================
■■■ Microsoft
詐欺師たちがセキュリティ研究者になりすまし、新たに発見された Microsoft Exchange のゼロデイ脆弱性に対する、偽の PoC エクスプロイト ProxyNotShell を販売しているようです。先週に、ベトナムのサイバー・セキュリティ企業 GTSC は、Microsoft Exchange の2つの新しいゼロデイ脆弱性を悪用した攻撃を、一部のユーザーが受けていたことを明らかにしました。研究者たちは、Trend Micro の Zero Day Initiative と共同で、この脆弱性を Microsoft に対して非公開で報告しました。Microsoft は、この脆弱性が攻撃に悪用されていることを確認し、セキュリティ更新プログラムをリリースするスケジュールを早めるとしています。
CVE-2022-41040
CWE-918(サーバサイド・リクエスト・フォージェリ)
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
CVE-2022-41082
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
===================================
■■■ PHP
10月4日に、コード・セキュリティ企業の SonarSource は、Packagist に影響を及ぼす深刻な脆弱性の詳細を発表しました。この脆弱性の悪用に成功した脅威アクターにより、PHP コミュニティを標的としたサプライチェーン攻撃が行われる可能性があるようです。Packagist とは、PHP 管理ツールである Composer のデフォルト・リポジトリであり、インストール可能な PHP パッケージが集約されている場所です。Composer は、毎月のように 20億以上のパッケージをダウンロードするために使用されています。
CVE-2022-24828
CWE-94(コード・インジェクション)
CVSS: 8.8
https://nvd.nist.gov/vuln/detail/CVE-2022-24828
===================================
■■■ BlackByte
BlackByte ランサムウェア・ギャングは、研究者たちが Bring Your Own Driver と呼ぶ新しい手法を用いて、各種のセキュリティ・ソリューションで使用される 1,000以上のドライバを無効化し、保護の回避を可能にするようです。このグループに起因する最近の攻撃には、特権昇格/コード実行の脆弱性 CVE-2019-16098として追跡されている、Micro-Star の MSI Afterburner RTCore64.sys ドライバのバージョンが関与しています。
CVE-2019-16098
CWE-269(不適切な権限管理)
CVSS: 7.8
https://nvd.nist.gov/vuln/detail/CVE-2019-16098
===================================
■■■ Fortinet
Fortinet は顧客に対して、FortiGate Firewall/FortiProxy web proxy に影響するセキュリティ脆弱性に関する非公開の警告を発しました。この脆弱性の悪用に成功した攻撃者は、影響を受けるデバイス上で、不正なアクションを行う可能性があるようです。
https://iototsecnews.jp/2022/10/10/fortinet-says-critical-auth-bypass-bug-is-exploited-in-attacks/
CVE-2022-40684
CWE-285(不適切な権限付与)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-40684
https://www.fortiguard.com/psirt/FG-IR-22-377
===================================
■■■ VMware
10月6日に VMware は、vCenter Server におけるコード実行の脆弱性 CVE-2022-31680 (CVSS:7.2) に対処するセキュリティ・パッチをリリースしました。この脆弱性は、PSC (Platform Services Controller) に存在する、安全でないデシリアライズに起因するものとされます。
https://iototsecnews.jp/2022/10/07/vmware-fixed-a-high-severity-bug-in-vcenter-server/
CVE-2022-31680, CVE-2022-31681
High
https://www.vmware.com/security/advisories/VMSA-2022-0025.html
===================================
■■■ NSA/CISA/FBI の共同勧告
NSA/CISA/FBI が 2022年10月6日に発表したアドバイザリによると、中国の国家に支援された脅威アクターたちが、米国/同盟国のネットワークや企業を標的とし、既知の脆弱性を悪用し続けているとのことです。同アドバイザリには、「悪質なことに、それらの脅威アクターは、より多くの新しい技術や、適応性のある技術を使用するようになっています。その一部は IT 部門 (電気通信事業者を含む) /防衛産業基盤 (DIB:Defense Industrial Base) 部門/その他の重要インフラ組織などに、大きなリスクをもたらす」と記されています。
https://iototsecnews.jp/2022/10/07/rce-on-log4j-among-top-cves-exploited-by-chinese-backed-hackers/
CVE-2021-22005
CWE-434(危険なタイプのファイルの無制限アップロード)
CVSS: 9.8
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
https://kb.vmware.com/s/article/85717
https://nvd.nist.gov/vuln/detail/CVE-2021-22005
CVE-2021-26855
CVSS: 9.1
https://www.jpcert.or.jp/at/2021/at210012.html
https://msrc-blog.microsoft.com/2021/03/02/20210303_exchangeoob/
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS: 10.0
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://access.redhat.com/security/cve/cve-2021-44228
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
CVE-2022-26134
CVSS: 10.0
https://www.jpcert.or.jp/at/2022/at220015.html
https://nvd.nist.gov/vuln/detail/CVE-2022-26134
https://jira.atlassian.com/browse/CONFSERVER-79016
===================================
■■■ Zimbra
Zimbra の企業向けコラボレーション・ソフトウェア/Eメール・プラットフォームに存在する、深刻なリモート・コード実行の脆弱性が活発に悪用されていますが、この脆弱性のパッチは現時点で提供されていません。この脆弱性 CVE-2022-41352 (CVSS:9.8) の悪用に成功した攻撃者は、任意のファイルをアップロードし、影響を受けるインストール上で悪意のアクションを実行できます。
CVE-2022-30333
CWE-21(パス名トラバーサルおよび同値エラー)
CVSS: 7.5
https://nvd.nist.gov/vuln/detail/CVE-2022-303333
CVE-2022-41352
CWE-434(信頼できないファイルのアップロード)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-41352
===================================
■■■ Microsoft
今日(10/11)は Microsoft の October 2022 Patch Tuesday ですが、それに伴い、活発に悪用されている Windows の脆弱性などを含む、合計で 84件の不具合が修正されました。今日のアップデートで修正された 84件の脆弱性のうち 13件は、最も深刻な Critical に分類され、特権昇格/なりすまし/リモートコード実行などを許すものです。
CVE-2022-41033
CVSS: 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41033
CVE-2022-41040
CWE-918(サーバサイド・リクエスト・フォージェリ)
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
CVE-2022-41043
CVSS: 3.3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41043
CVE-2022-41082
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
===================================
■■■ Microsoft
Microsoft が進めている調査は、Exchange Server の新たなゼロデイ脆弱性がハッキングに悪用され、その後にランサムウェア Lockbit 攻撃の起動に使用されたという報告に対するものです。2022年7月に発生した、少なくとも1件のインシデントでは、事前に Exchange Server に配置していた WebShell を用いて、侵入に成功した攻撃者が Active Directory 管理者への権限昇格を実行し、約 1.3TB のデータを窃取し、ネットワーク・システムの暗号化を行ったとされています。
https://iototsecnews.jp/2022/10/11/microsoft-exchange-servers-hacked-to-deploy-lockbit-ransomware/
CVE-2022-41040
CWE-918(サーバサイド・リクエスト・フォージェリ)
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040
CVE-2022-41082
CVSS: 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
===================================
■■■ Siemens
研究者たちが、Siemens における一部の産業用機器を保護するグローバル秘密鍵を入手できることを実証しましたが、同社は悪意の試行の可能性は排除できないと述べています。火曜日に Claroty が公開した詳細によると、同社の研究者たちは、PLC 上でネイティブ・コード実行を実現する方法を検討してきたようです。そして、発見された脆弱性 CVE-2022-38465 は、Critical と評価されています。Siemens は Patch Tuesday の中で、影響を受ける PLC および TIA Portal に対する修正プログラムの提供を発表しています。
CVE-2022-38465
CWE-522(証明情報に対する不十分な防御)
CVSS: 7.8
https://nvd.nist.gov/vuln/detail/CVE-2022-38465
===================================
■■■ VMware
今日になって VMware は、vCenter Server の最新バージョン 8.0 が、2021年11月に公開された深刻な権限昇格の脆弱性に未対応であることを顧客に通知しました。このセキュリティ脆弱性 CVE-2021-22048 は、CrowdStrike の Yaron Zinar と Sagi Sheinfeld が、vCenter Server の IWA (Integrated Windows Authentication) 機構の中で発見したものであり、VMware の Cloud Foundation hybrid cloud platform にも影響を与える。この脆弱性の悪用に成功した、管理者以外のアクセス権を持つ攻撃者は、パッチ未適用のサーバ上でより高い特権グループへと権限を昇格させることが可能になります。
https://iototsecnews.jp/2022/10/11/vmware-vcenter-server-bug-disclosed-last-year-still-not-patched/
CVE-2021-22048
CVSS: 7.1
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
===================================
■■■ SAP
ドイツのエンタープライズ・ソフトウェアメーカーである SAP は、October 2022 Security Patch Day を公開し、深刻な2つの脆弱性 Hot News を含む、新規 15件/更新 2件の脆弱性に対応しました。このうち最も深刻なものは CVE-2022-39802 (CVSS:9.9) で、Manufacturing Execution におけるファイル・パスのトラバーサルとされています。この脆弱性は、作業指示書やモデルを表示するためのプラグインである、Work Instruction Viewer/Visual Test and Repair に影響します。
CVE-2022-39802, CVE-2022-41204
https://dam.sap.com/mac/app/e/pdf/preview/embed/ucQrx6G?ltr=a&rc=1
https://securitybridge.com/sap-patchday/sap-security-patch-day-october-2022/
===================================
■■■ Google Chrome
火曜日に Google は、Chrome の最新アップデートを提供し、4つの use-after-free のバグを含む、6つの深刻度の高い脆弱性にパッチを適用したと発表しました。新たに解決された脆弱性は、すべて外部の研究者により発見されたものであり、Google は報告者たちに $38,000 のバグバウンティ報奨金を手渡しました。
https://iototsecnews.jp/2022/10/12/chrome-106-update-patches-several-high-severity-vulnerabilities/
CVE-2022-3445, CVE-2022-3446, CVE-2022-3447, CVE-2022-3448, CVE-2022-3449, CVE-2022-3450
High
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_11.html
===================================
■■■ Fortinet
FortiOS/FortiProxy/FortiSwitchManager アプライアンスに影響を及ぼす深刻な認証バイパスの脆弱性に対して、PoC エクスプロイトコードが利用可能になりました。この脆弱性 CVE-2022-40684 の悪用に成功した攻撃者は、FortiGate firewall/FortiProxy Web proxy/FortiSwitch Manager (FSWM) on-premise management instance などの、管理インターフェイスにおける認証プロセスのバイパスが可能になります。
CVE-2022-40684
CWE-285(不適切な権限付与)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-40684
https://www.fortiguard.com/psirt/FG-IR-22-377
===================================
■■■ Zimbra
Zimbra Collaboration Suite (ZCS) の深刻な脆弱性が悪用され、約 900台のサーバがハッキングされていることが判明しました。この脆弱性は公開から約 1ヶ月半にわたり、パッチ未適用のゼロデイ脆弱性でした。この脆弱性 CVE-2022-41352 は、攻撃者が ZCS サーバに Web シェルを植え付けると同時に、アンチウイルス・チェックを回避する悪意のアーカイブを添付した、メールの送信を可能にするリモート・コード実行の脆弱性です。
https://iototsecnews.jp/2022/10/15/almost-900-servers-hacked-using-zimbra-zero-day-flaw/
CVE-2022-41352
CWE-434(信頼できないファイルのアップロード)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-41352
===================================
■■■ Palo Alto
Palo Alto Networks は、PAN-OS 8.1 に影響する深刻な認証バイパスの脆弱性 CVE-2022-0030 (CVSS:8.1) に対処するセキュリティ・パッチをリリースしました。Palo Alto Networks はアドバイザリで、「Palo Alto Networks PAN-OS 8.1 の Web インターフェイスに、認証バイパスの脆弱性が存在します。この脆弱性により、同社の Firewall/Panorama アプライアンスに対して、特定の知識を持つネットワーク・ベースの攻撃者が、既存の PAN-OS 管理者になりすました操作が可能になる」と述べています。
CVE-2022-0030
CWE-290(成りすましによる認証バイパス)
CVSS: 8.1
https://nvd.nist.gov/vuln/detail/CVE-2022-0030
https://security.paloaltonetworks.com/CVE-2022-0030
===================================
■■■ Zoom
先週にビデオメッセージング・プラットフォームの Zoom は、macOS 向けクライアントに存在する深刻度の高い欠陥に対して、新しいパッチをリリースしました。この脆弱性 CVE-2022-28762 は、5.10.6 ? 5.12.0 (未満) のバージョンの、デバッグポートに関する誤設定に起因するものであり、CVSS 値は 7.3 となっています。先週に同社は、「特定の Zoom Apps を実行しながら、Zoom App Layers API の一部としてカメラモード・レンダリング・コンテキストを有効にすると、Zoom クライアントがローカル・デバッグ・ポートを開いてしまう」とセキュリティ速報ページに記しています。
https://iototsecnews.jp/2022/10/18/zoom-patches-high-severity-flaw-in-macos-client/
CVE-2022-28762
CWE-16(不適切な環境設定)
CVSS: 7.8
https://nvd.nist.gov/vuln/detail/CVE-2022-28762
===================================
■■■ Azure
Azure Service Fabric Explorer (SFX) に存在していた修正済のセキュリティ脆弱性において、クラスタ管理者の権限が不正に取得される可能性があることが、サイバー・セキュリティ研究者たちにより明らかになりました。Microsoft は、先週の Patch Tuesday October で、この脆弱性 CVE-2022-35829 (CVSS:6.2) に対処しました。この脆弱性を 2022年8月11日に発見し、Microsoft に報告した Orca Security は、それを FabriXss (ファブリクス) と名づけました。この脆弱性は、Azure Fabric Explorer の 8.1.316 以前のバージョンに影響します。
CVE-2022-35829
CVSS: 6.2
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-35829
===================================
■■■ CISA KEV 警告 22/10/20
今週に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linuxカーネル の脆弱性 CVE-2021-3493 を Known Exploited Vulnerabilities Catalog (KEV) に追加しました。拘束力のある運用指令 BOD 22-01 によると、既知の脆弱性を悪用した攻撃からネットワークを守るために、それぞれの FCEB 機関は期限までに、特定された脆弱性に対処しなければなりません。
CVE-2021-3493
CWE-269(不適切な権限管理)
CVSS: 8.8
https://nvd.nist.gov/vuln/detail/CVE-2021-3493
https://iototsecnews.jp/2022/09/06/new-linux-malware-evades-detection-using-multi-stage-deployment/
CVE-2021-4034
CWE-284(不適切なアクセス制御)
CVSS: 8.8
https://gitlab.freedesktop.org/polkit/polkit/-/commit/a2bf5c9c83b6ae46cbd5c779d3055bff81ded683
https://access.redhat.com/security/cve/CVE-2021-4034
CVE-2022-41352
CWE-434(信頼できないファイルのアップロード)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-41352
===================================
■■■ Apache Commons Text
2022年10月18日に公開された Apache Commons Text の脆弱性ですが、その悪用が検出され始めたと、WordPress のセキュリティ企業である Wordfenceが 10月20日に発表しました。脆弱性 CVE-2022-42889 (CVSS:9.8) は、別名 Text4Shell として追跡され、この ライブラリのバージョン 1.5?1.9 に影響を及ぼします。
CVE-2022-42889
CWE-94(コード・インジェクション)
CVSS: 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-42889
https://www.rapid7.com/blog/post/2022/10/17/cve-2022-42889-keep-calm-and-stop-saying-4shell/
===================================
■■■ Apple
Apple は、月曜日に公開されたセキュリティ・アップデートにおいて、今年の iPhone 攻撃に悪用された、9つ目のゼロデイ脆弱性を修正しました。 今日のアドバイザリで Apple は、「このセキュリティ上の脆弱性が積極的に悪用されている可能性があるとする、レポートの存在を認識している」と述べています。この脆弱性 CVE-2022-42827 は、匿名の研究者が Apple に報告したものであり、メモリバッファの境界の外にデータを書き込む、境界外書き込みの問題に関するものです。
https://iototsecnews.jp/2022/10/24/apple-fixes-new-zero-day-used-in-attacks-against-iphones-ipads/
CVE-2022-42827
CVSS: 9.8
https://support.apple.com/ja-jp/HT213490
https://support.apple.com/en-us/HT213489
===================================
■■■ GitHub
Leiden Institute of Advanced Computer Science の研究者たちは、様々な脆弱性に対する偽の PoC エクスプロイトを提供する、GitHub 上の数千のリポジトリを発見しました。それらのリポジトリには、マルウェアも含まれていたようです。GitHub は最大のコード・ホスティング・プラットフォームの1つです。そして、研究者たちが GitHub を用いて PoC エクスプロイトを公開し、セキュリティ・コミュニティが脆弱性の修正を検証することで、脆弱性の影響と範囲を判断できるようにしています。
CVE-2019-0708
Critical
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
===================================
■■■ Cisco
Cisco は、Cisco Identity Services Engine (ISE) の管理者に対して、同プロダクトに存在する2つの脆弱性 CVE-2022-20822/CVE-2022-20959 への注意喚起を発表しました。これらの悪用に成功した驚異アクターは、影響を受けるデバイス上のファイルの読み取りや削除/任意のスクリプトの実行/機密情報へのアクセスなどが可能になります。
CVE-2022-20822
CWE-22(パス・トラバーサル)
CVSS: 7.1
CVE-2022-20959
CWE-79(クロスサイト・スクリプティング)
CVSS: 6.1
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-xss-twLnpy3M
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。