「脆弱性TODAY」キュレーターによる2023年1月の振り返り

2023/02/10 16:32:26

脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年1月度の記事と併せてぜひご覧ください。

脆弱性TODAYとは？

GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能（※有料オプション）で、効率的に脆弱性情報を収集することができます。

キュレーターからのコメント

2023年1月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。

これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。

=========================================================

■■■ Microsoft

Crowdstrike によると、Play ランサムウェアの運営者は OWASSRF と呼ばれる新しいエクスプロイト・チェーンを用いて、ProxyNotShell 脆弱性に対する緩和策をバイパスすることで、Microsoft Exchange サーバをターゲットにしているようです。この脆弱性の悪用に成功した認証済の攻撃者は、Exchange Server 2013／2016／2019 で権限を昇格を行い、そのシステムのコンテキストで PowerShell を実行し、脆弱なサーバ上で任意コード実行またはリモートコード実行の可能性を生じるといわれています。

https://iototsecnews.jp/2022/12/21/play-ransomware-attacks-use-a-new-exploit-to-bypass-proxynotshell-mitigations-on-exchange-servers/

CVE-2022-41040

CWE-918(サーバサイド・リクエスト・フォージェリ)

CVSS 8.8

CVE-2022-41082

CVSS 8.8

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

https://www.gteltsc.vn/blog/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server-12715.html

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/microsoft-releases-guidance-zero-day-vulnerabilities-microsoft

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/cisa-adds-three-known-exploited-vulnerabilities-catalog

===================================

■■■ Microsoft

ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定しています。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものです。

https://iototsecnews.jp/2022/12/22/fin7-hackers-create-auto-attack-platform-to-breach-exchange-servers/

CVE-2021-31207

CVSS 6.6

CVE-2021-34473

CVSS 9.1

CVE-2021-34523

CVSS 9.0

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2021-patch-tuesday-fixes-55-flaws-3-zero-days/

===================================

■■■ Ghost CMS

Ghost CMS のニュースレター・サブスクリプション・システムに存在する致命的な脆弱性により、外部ユーザーによるニュースレターの作成や、既存のニュースレターへの悪意の JavaScript の注入などが可能になります。このような行為により、通常は無害なサイトから、大規模なフィッシング攻撃が行われる可能性が生じます。さらに、JavaScript を注入することで、XSS 脆弱性を発生させ、標的サイトへの脅威アクターによるフルアクセスを引き起こす可能性があります。

https://iototsecnews.jp/2022/12/23/ghost-cms-vulnerable-to-critical-authentication-bypass-flaw/

CVE-2022-41654

CWE-284(不適切なアクセス制御)

CVSS 9.6

https://vuldb.com/ja/?id.214508

https://nvd.nist.gov/vuln/detail/CVE-2022-41654

https://github.com/advisories/GHSA-9gh8-wp53-ccc6

CVE-2022-41697

CWE-204(リクエストに対するレスポンス内容の違いに起因する情報漏えい)

CVSS 5.3

https://vuldb.com/?id.216525

https://nvd.nist.gov/vuln/detail/CVE-2022-41697

https://talosintelligence.com/vulnerability_reports/TALOS-2022-1625

===================================

■■■ Kubernetes と Kyverno

Kyverno の Admission Controller for Container Images に存在する深刻なセキュリティ脆弱性により、クラウド・プロダクション環境へ向けて、悪意の行為者が多数の不正コードを流し込める可能性があることが判明しました。Kyverno Admission Controller は、署名／検証されたコンテナ・イメージのみが、所定の Kubernetes クラスタに取り込まれることを保証するために設計された、署名検証機構を提供しています。つまり、暗号化されたコンテナ・イメージには、クリプトマイナ／ルートキット／コンテナ・エスケープ／横移動エクスプロイト・キット／クレデンシャル・スティーラーなどの、さまざまなペイロードが含まる可能性があるため、それらの悪意の行為を回避するための機能として利用されています。

https://iototsecnews.jp/2022/12/24/container-verification-bug-allows-malicious-images-to-cloud-up-kubernetes/

CVE-2022-47633

CVSS 8.1

https://vuldb.com/?id.216533

https://nvd.nist.gov/vuln/detail/CVE-2022-47633

===================================

■■■ Citrix

Citrix ADC／Gateway だが、この数ヶ月の間に修正された２つの脆弱性が、そのまま放置されているサーバが数千台はあるようです。１つ目の欠陥は、11月8日に修正された CVE-2022-27510 であり、Citrix の両製品に影響を与える認証バイパスの脆弱性です。その悪用に成功した攻撃者は、デバイスへの不正アクセス／リモートデスクトップの乗っ取り／ログインブルート・フォースなどの攻撃を行えるようになります。２つ目の欠陥は、12月13日に修正された CVE-2022-27518 であり、認証されていない攻撃者による、脆弱なデバイス上でのリモートコマンド実行と乗っ取りを許すものです。

https://iototsecnews.jp/2022/12/28/thousands-of-citrix-servers-vulnerable-to-patched-critical-flaws/

CVE-2022-27518

CWE-664(ライフタイム期間中の不適切なリソース制御)

CVSS 9.8

https://www.cisa.gov/uscert/ncas/current-activity/2022/12/13/citrix-releases-security-updates-citrix-adc-citrix-gateway

https://support.citrix.com/article/CTX474995/citrix-adc-and-citrix-gateway-security-bulletin-for-cve202227518

https://sensorstechforum.com/ja/cve-2022-27518-citrix-zero-day/

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-citrix-adc-and-gateway-zero-day-patch-now/

https://vuldb.com/?id.215606

CVE-2022-27510

CVSS 9.8

https://support.citrix.com/article/CTX463706/citrix-gateway-and-citrix-adc-security-bulletin-for-cve202227510-cve202227513-and-cve202227516

https://nvd.nist.gov/vuln/detail/CVE-2022-27510

===================================

■■■ CISA KEV 警告

米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発な悪用の証拠があるとして、TIBCO Software の JasperReports 製品に影響を及ぼす、２つのセキュリティ欠陥を Known Exploited Vulnerabilities (KEV) カタログに追加しました。それらの脆弱性 CVE-2018-5430 (CVSS：7.7) および CVE-2018-18809 (CVSS：9.9) は、TIBCOにより 2018年4月と 2019年3月に対処されています。

https://iototsecnews.jp/2022/12/30/cisa-warns-of-active-exploitation-of-jasperreports-vulnerabilities/

CVE-2018-18809

CWE-22(パス・トラバーサル)

CVSS 9.9

https://vuldb.com/?id.131442

https://nvd.nist.gov/vuln/detail/CVE-2018-18809

https://www.cisa.gov/uscert/ncas/current-activity/2022/12/29/cisa-adds-two-known-exploited-vulnerabilities-catalog

CVE-2018-5430

CWE-269(不適切な権限管理)

CVSS 5.5

https://vuldb.com/?id.116302

https://nvd.nist.gov/vuln/detail/CVE-2018-5430

https://www.cisa.gov/uscert/ncas/current-activity/2022/12/29/cisa-adds-two-known-exploited-vulnerabilities-catalog

===================================

■■■ Microsoft

オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の１つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明しました。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明しました。

https://iototsecnews.jp/2023/01/03/over-60000-exchange-servers-vulnerable-to-proxynotshell-attacks/

CVE-2022-41040

CWE-918(サーバサイド・リクエスト・フォージェリ)

CVSS 8.8

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040

https://www.gteltsc.vn/blog/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server-12715.html

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/microsoft-releases-guidance-zero-day-vulnerabilities-microsoft

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/cisa-adds-three-known-exploited-vulnerabilities-catalog

CVE-2022-41082

CVSS 8.8

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

https://www.gteltsc.vn/blog/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server-12715.html

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/microsoft-releases-guidance-zero-day-vulnerabilities-microsoft

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/cisa-adds-three-known-exploited-vulnerabilities-catalog

===================================

■■■ Synology

2022年12月に、台湾の NAS メーカーである Synology は、２つの新しい重要アドバイザリを公開しました。最初のアドバイザリは、同社が対処した最も重要なものであり、脆弱性 CVE-2022-43931 (CVSS : 10) として追跡されている、境界外書き込みの深刻な問題です。この脆弱性は、Ver 1.4.3-0534／1.4.4-0635 以前の、Synology VPN Plus Server の Remote Desktop Functionality に存在しています。この脆弱性の悪用に成功したリモートの攻撃者は、不特定のベクター経由で任意のコマンドを実行できます。

https://iototsecnews.jp/2023/01/03/synology-fixes-multiple-critical-vulnerabilities-in-its-routers/

CVE-2022-43931

CWE-787(境界外書き込み)

CVSS 10.0

https://www.synology.com/en-us/security/advisory/Synology_SA_22_26

https://vuldb.com/?id.217236

https://nvd.nist.gov/vuln/detail/CVE-2022-43931

===================================

■■■ Fortinet

サイバー・セキュリティ・ベンダーである Fortinet は、同社製品に影響を及ぼす複数の脆弱性に対応しました。また、Application Delivery Controller である FortiADC に影響を及ぼす、深刻なコマンド・インジェクションの脆弱性 CVE-2022-39947 (CVSS 8.6) について、顧客に警告を発しています。この脆弱性 CVE-2022-39947 は、FortiADC の OS Command における特殊要素の不適切な無効化に起因し、特別に細工された HTTP リクエストを介した、任意のコード実行を許す可能性があります。

https://iototsecnews.jp/2023/01/04/fortinet-fixed-multiple-command-injection-bugs-in-fortiadc-and-fortitester/

CVE-2022-35845

CWE-78(OS コマンド・インジェクション)

CVSS 8.8

https://vuldb.com/?id.2173088

https://nvd.nist.gov/vuln/detail/CVE-2022-35845

CVE-2022-39947

CWE-78(OS コマンド・インジェクション)

CVSS 8.8

https://www.fortiguard.com/psirt/FG-IR-22-061

https://vuldb.com/?id.217306

https://nvd.nist.gov/vuln/detail/CVE-2022-39947

===================================

■■■ Zoho ManageEngine

ビジネスソフト・プロバイダーである Zoho は、複数の ManageEngine 製品に影響を及ぼす深刻なセキュリティ脆弱性を修正するよう、顧客に促しています。月曜日に Zoho は、「深刻なセキュリティ脆弱性が検出された」と記した、セキュリティ・アドバイザリを公開しました。この脆弱性 CVE-2022-47523 は、SQL インジェクションの脆弱性であり、同社の Password Manager Pro secure vault／PAM360 privileged access management software／Access Manager Plus privileged session management solution などに存在します。

https://iototsecnews.jp/2023/01/04/zoho-urges-admins-to-patch-critical-manageengine-bug-immediately/

CVE-2022-47523

CWE-89(SQL インジェクション)

CVSS 5.5

https://vuldb.com/?id.217478

https://nvd.nist.gov/vuln/detail/CVE-2022-47523

CVE-2022-35405

CVSS 7.3

https://vuldb.com/?id.2045599

https://nvd.nist.gov/vuln/detail/CVE-2022-35405

===================================

■■■ Microsoft

マネージド・クラウド・ホスティングを提供する Rackspace Technology は、12月2日に発生した大規模なランサムウェア攻撃により、中小企業の顧客数千社のメール・サービスに障害が発生したことを発表しました。その要因は、Microsoft Exchange Server におけるサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2022-41080 を悪用するゼロデイ攻撃にあるようです。

https://iototsecnews.jp/2023/01/05/rackspace-ransomware-attack-bypassed-proxynotshell-mitigations/

CVE-2022-41080

CVSS 8.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

===================================

■■■ JsonWebToken

Auth0 が修正したリモートコード実行の脆弱性は、22,000 以上のプロジェクトで使用され、NPM からは毎月 3600 万回以上もダウンロードされている、人気のオープンソース・ライブラリ JsonWebToken に存在するものです。このライブラリは、Microsoft／Twilio／Salesforce／Intuit／Box／IBM／Docusign／Slack／SAP などのオープンソース・プロジェクトでも使用されています。

https://iototsecnews.jp/2023/01/09/auth0-fixes-rce-flaw-in-jsonwebtoken-library-used-by-22000-projects/

CVE-2022-23529

CWE-20(不適切な入力確認)

CVSS 9.8

https://unit42.paloaltonetworks.jp/jsonwebtoken-vulnerability-cve-2022-23529/

https://vuldb.com/?id.216511

https://nvd.nist.gov/vuln/detail/CVE-2022-23529

https://www.bleepingcomputer.com/news/security/auth0-fixes-rce-flaw-in-jsonwebtoken-library-used-by-22-000-projects/

===================================

■■■ Microsoft

今日の、Microsoft January 2023 Patch Tuesday により、活発に悪用されているゼロデイ脆弱性１件を含む、合計 98件の脆弱性が修正されました。2023年最初の Patch Tuesday で修正された 98件の脆弱性のうち 11件は、最も深刻なタイプの脆弱性のひとつであるリモート・コード実行／セキュリティ・バイパス／権限昇格を可能にするものであり、Critical に分類されています。

https://iototsecnews.jp/2023/01/10/microsoft-january-2023-patch-tuesday-fixes-98-flaws-1-zero-day/

CVE-2023-21549

CVSS 8.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21549

https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2023-patch-tuesday-fixes-98-flaws-1-zero-day/

https://www.cisa.gov/uscert/ncas/current-activity/2023/01/10/cisa-adds-two-known-exploited-vulnerabilities-catalog

CVE-2023-21674

CVSS 7.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674

===================================

■■■ CISA KEV

今日に、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Known Exploited Vulnerabilities (KEV) カタログに、２つのセキュリティ脆弱性を追加しました。１つ目は、Microsoft Exchange の権限昇格の脆弱性 CVE-2022-41080 であり、別の脆弱性 ProxyNotShell CVE-2022-41082 と連鎖してリモート・コードが実行される可能性があります。先週に、テキサス州に拠点を置くクラウド・コンピューティング・プロバイダーである Rackspace は、Play ランサムウェアが CVE-2022-41082 をゼロデイとして悪用し、Microsoft の ProxyNotShell URL 書き換え緩和策をバイパスして、感染させた Exchange Server 内で権限昇格を行ったことが確認されています。

https://iototsecnews.jp/2023/01/10/cisa-orders-agencies-to-patch-exchange-bug-abused-by-ransomware-gang/

CVE-2022-41080

CVSS 8.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

CVE-2022-41082

CVSS 8.8

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082

https://www.gteltsc.vn/blog/canh-bao-chien-dich-tan-cong-su-dung-lo-hong-zero-day-tren-microsoft-exchange-server-12715.html

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/microsoft-releases-guidance-zero-day-vulnerabilities-microsoft

https://www.cisa.gov/uscert/ncas/current-activity/2022/09/30/cisa-adds-three-known-exploited-vulnerabilities-catalog

CVE-2023-21674

CVSS 7.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21674

===================================

■■■ Google

2023年1月10日に Google は、Chrome 109 を Stable チャネルでリリースし、外部の研究者から報告された 14件のバグを含む、全体で 17件の脆弱性にパッチを適用したと発表しました。外部から報告されたセキュリティ上の欠陥の大半は、深刻度が Medium と Low 脆弱性です。また、High と評価された２件は、Overview Mode における use-after-free の脆弱性 CVE-2023-0128 と、Network Service におけるヒープバッファ・オーバーフローの脆弱性 CVE-2023-0129 です。Google は、これらの脆弱性に対して、それぞれ $4,000 と $2,000 のバグバウンティを支払ったとしています。

https://iototsecnews.jp/2023/01/11/chrome-109-patches-17-vulnerabilities/

CVE-2023-0128, CVE-2023-0129, CVE-2023-0138

High

https://chromereleases.googleblog.com/2023/01/stable-channel-update-for-desktop.html

===================================

■■■ Cisco

2023年1月11日に Cisco は、EoL VPN ルーター群に影響を及ぼし、すでにエクスプロイト・コードが公開されている、深刻な認証バイパスの脆弱性について、顧客に警告を発しました。このセキュリティ上の欠陥 CVE-2023-20025 は、Cisco Small Business RV016／RV042／RV042G／RV082 ルーターの Web ベースの管理インターフェイスに存在するものであり、Qihoo 360 Netlab の Hou Liuyang により発見されています。

https://iototsecnews.jp/2023/01/11/cisco-warns-of-auth-bypass-bug-with-public-exploit-in-eol-routers/

CVE-2023-20025

CVSS 9.0

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sbr042-multi-vuln-ej76Pke5

https://sec.cloudapps.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

https://www.bleepingcomputer.com/news/security/cisco-warns-of-auth-bypass-bug-with-public-exploit-in-eol-routers/

https://nvd.nist.gov/vuln/detail/CVE-2023-20025

CVE-2023-20020

CVSS 8.6

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-bw-dos-HpkeYzp

https://sec.cloudapps.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H

https://www.bleepingcomputer.com/news/security/cisco-warns-of-auth-bypass-bug-with-public-exploit-in-eol-routers/

===================================

■■■ Siemens

Siemens の Programmable Logic Controllers (PLCs) シリーズに影響を及ぼす深刻な脆弱性を、ファームウェア・セキュリティ会社である Red Balloon Security の研究者が発見しました。この脆弱性を CVE-2022-38773 の悪用に成功した攻撃者は、保護されたブート機能を回避し、コントローラの動作コードとデータを、持続的に変更することが可能になります。Red Balloon Security によると、Siemens の Simatic／Siplus S7-1500 の CPU における、一連のアーキテクチャに問題があるといわれています。

https://iototsecnews.jp/2023/01/11/unpatchable-hardware-vulnerability-allows-hacking-of-siemens-plcs/

CVE-2022-38773

CWE-1326(ハードウェアの不変的なルート・オブ・トラストの欠落)

CVSS 6.8

https://vuldb.com/?id.217778

https://nvd.nist.gov/vuln/detail/CVE-2022-38773

===================================

■■■ Fortinet FortiOS

Fortinet によると、2022年12月にパッチ適用された FortiOS SSL-VPN のゼロデイ脆弱性を悪用する脅威アクターが、政府の機関や関連組織にターゲットを狙った攻撃を行っていたことが判明しました。一連のインシデントで悪用されたのは、FortiOS SSL-VPN に存在するヒープバッファ・オーバーフローの脆弱性 CVE-2022-42475 であり、認証されていないリモートの攻撃者に対して、デバイスの毀損やコード実行を許すものです。

https://iototsecnews.jp/2023/01/12/fortinet-govt-networks-targeted-with-now-patched-ssl-vpn-zero-day/

CVE-2022-42475

CWE-122(ヒープバッファ・オーバーフロー)

CVSS 9.8

https://www.fortiguard.com/psirt/FG-IR-22-398

https://vuldb.com/?id.215433

https://www.jpcert.or.jp/at/2022/at220032.html

===================================

■■■ Cuba

Microsoft によると、Cuba ランサムウェア／ギャングも、Exchange サーバに存在する深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用して、Play ランサムウェア攻撃と同様に侵害を繰り返しているようです。先日には、この脆弱性 CVE-2022-41080 を悪用する Play ランサムウェアが、 OWASSRF ゼロデイと呼ばれる攻撃により、ProxyNotShell URL リライト緩和策をバイパスした後に、Rackspace ネットワーク上のパッチ未適用の Microsoft Exchange サーバを侵害しています。

https://iototsecnews.jp/2023/01/12/microsoft-cuba-ransomware-hacking-exchange-servers-via-owassrf-flaw/

CVE-2022-41080

CVSS 8.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41080

===================================

■■■ CentOS

以前には CentOS Web Panel として知られていた、サーバ管理用ツール Control Web Panel (CWP) で発生した深刻な脆弱性が、ハッカーたちに積極的に悪用されています。このセキュリティ脆弱性 CVE-2022-44877 は、認証されない攻撃者であってもリモートコード実行が可能であるため、CVSS 値は 9.8 と評価されています。

https://iototsecnews.jp/2023/01/12/hackers-exploit-control-web-panel-flaw-to-open-reverse-shells/

CVE-2022-44877

CWE-78(OSコマンド・インジェクション)

CVSS 9.8

https://vuldb.com/?id.217540

https://nvd.nist.gov/vuln/detail/CVE-2022-44877

https://www.bleepingcomputer.com/news/security/hackers-exploit-control-web-panel-flaw-to-open-reverse-shells/

===================================

■■■ Google

2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性があります。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開しました。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だといわれています。

https://iototsecnews.jp/2023/01/12/google-chrome-symstealer-vulnerability-could-affect-2-5-billion-users/

CVE-2022-4135

CWE-122(ヒープバッファ・オーバーフロー)

CVSS 6.3

https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html

https://forest.watch.impress.co.jp/docs/news/1458468.html

https://vuldb.com/?id.214348

CVE-2022-3656

Medium

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_25.html

https://nvd.nist.gov/vuln/detail/CVE-2022-3656

===================================

■■■ WordPress

WordPress が公開したのは、数万インストールされている人気プラグイン３種類に存在する、深刻な SQL インジェクションの脆弱性と、その対策です。SQLインジェクション脆弱性とは、Web サイトのセキュリティ上の欠陥のことを指します。その悪用に成功した攻撃者は、フォームフィールドや URL 経由でデータを入力し、正規のデータベース・クエリーを変更することで、データの改ざんなどを可能にします。SQL インジェクションの脆弱性を持つ Web サイトのコードに応じて、サイト・データの修正や削除／悪意のスクリプト注入／Web サイトへのフルアクセスなどにいたる恐れがあります。

https://iototsecnews.jp/2023/01/13/poc-exploits-released-for-critical-bugs-in-popular-wordpress-plugins/

CVE-2023-23488

CWE-89(SQLインジェクション)

CVSS 9.8

https://vuldb.com/?id.218341

https://www.tenable.com/security/research/tra-2023-2

https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-critical-bugs-in-popular-wordpress-plugins/

CVE-2023-23489

CWE-89(SQLインジェクション)

CVSS 9.8

https://vuldb.com/?id.218342

https://www.tenable.com/security/research/tra-2023-2

https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-critical-bugs-in-popular-wordpress-plugins/

CVE-2023-23490

CWE-89(SQLインジェクション)

CVSS 8.8

https://vuldb.com/?id.218343

https://www.tenable.com/security/research/tra-2023-2

https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-critical-bugs-in-popular-wordpress-plugins/

===================================

■■■ Cacti

Cacti は、堅牢で拡張性の高い運用監視／障害管理フレームワークを、ユーザーに提供するオープンソースのプラットフォームです。Censys の研究者が発見したのは、インターネットに公開されている Cacti サーバの大部分に、現時点で積極的に悪用されている、深刻な脆弱性 CVE-2022-46169 が存在することです。

https://iototsecnews.jp/2023/01/14/most-internet-exposed-cacti-servers-exposed-to-hacking/

CVE-2022-46169

CWE-74(インジェクション)

CVSS 9.8

https://vuldb.com/?id.214817

https://nvd.nist.gov/vuln/detail/CVE-2022-46169

https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf

===================================

■■■ GitLab

GitLab が、２つの深刻なセキュリティ脆弱性に対してパッチを適用しました。それらは、ヒープバッファ・オーバーフローに起因するものであり、悪用に成功した攻撃者に、任意のコード実行を許すものです。３つ目の Windows 固有の脆弱性は、信頼できない検索パスに起因するものであり、Git GUI ツールに影響を及ぼします。未認証の脅威者に対して、信頼できないコードを、容易に実行させる可能性を持っています。最初の２つの脆弱性である CVE-2022-41903 (commit formatting mechanism) と、CVE-2022-23521 (gitattributes parser) に関しては、v2.30.7 によりパッチが適用されています。

https://iototsecnews.jp/2023/01/17/git-patches-two-critical-remote-code-execution-security-flaws/

CVE-2022-23521, CVE-2022-41903

CVSS 9.8

https://about.gitlab.com/releases/2023/01/17/critical-security-release-gitlab-15-7-5-released/

https://nvd.nist.gov/vuln/detail/CVE-2022-41903

https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq

CVE-2022-23521, CVE-2022-41903, CVE-2022-41953

CVSS 9.8

https://github.blog/2023-01-17-git-security-vulnerabilities-announced-2/

https://nvd.nist.gov/vuln/detail/CVE-2022-41903

https://github.com/git/git/security/advisories/GHSA-475x-2q3q-hvwq

===================================

■■■ Zoho ManageEngine

Zoho ManageEngine のユーザーが催促されているのは、PoC エクスプロイト・コードの公開に先立って、深刻なセキュリティ脆弱性を持つインスタンスにパッチを適用することです。この脆弱性 CVE-2022-47966 は、旧来からのサードパーティ依存関係である Apache Santuario の使用により、未認証のリモート・コード実行が発生し、複数の製品に影響を与える可能性が生じるというものです。

https://iototsecnews.jp/2023/01/17/zoho-manageengine-poc-exploit-to-be-released-soon-patch-before-its-too-late/

CVE-2022-47966

CVSS 9.8

https://vuldb.com/?id.218935

https://nvd.nist.gov/vuln/detail/CVE-2022-47966

https://www.cisa.gov/uscert/ncas/current-activity/2023/01/23/cisa-adds-one-known-exploited-vulnerability-catalog

https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html

https://www.rapid7.com/blog/post/2023/01/19/etr-cve-2022-47966-rapid7-observed-exploitation-of-critical-manageengine-vulnerability/

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-manageengine-rce-bug-exploited-in-attacks/

===================================

■■■ Sophos

インターネットに接続される 4,000 台以上の Sophos Firewall に存在する、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-3236 を狙って、サイバー攻撃が発生する可能性があることが判明しました。Sophos Webadmin／Sophos Firewall の User Portal に存在する、このコードインジェクションの脆弱性は 2022年9月に公開され、複数の Sophos Firewall バージョンに対するホットフィックスがリリースされました (正式な修正プログラムは3カ月後の2022年12月に発行)。

https://iototsecnews.jp/2023/01/17/over-4000-sophos-firewall-devices-vulnerable-to-rce-attacks/

CVE-2022-1040

CWE-287(不適切な認証)

CVSS 9.8

https://vuldb.com/?id.1957800

https://nvd.nist.gov/vuln/detail/CVE-2022-1040

https://www.sophos.com/ja-jp/security-advisories/sophos-sa-20220325-sfos-rce

CVE-2022-3236

CVSS 9.8

https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce

https://vuldb.com/?id.209418

https://nvd.nist.gov/vuln/detail/CVE-2022-3236

===================================

■■■ CISA KEV：CentOS CWP

米国の Cybersecurity and Infrastructure Security Agency (CISA) は、広く使われている CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877 を、KEV（Known Exploited Vulnerabilities）カタログに追加し、連邦機関に対して２月初旬までに修正するよう指示しています。

https://iototsecnews.jp/2023/01/18/exploited-control-web-panel-flaw-added-to-cisa-must-patch-list/

CVE-2022-44877

CWE-78(OSコマンド・インジェクション)

CVSS 9.8

https://vuldb.com/?id.2175400

https://nvd.nist.gov/vuln/detail/CVE-2022-44877

https://www.bleepingcomputer.com/news/security/hackers-exploit-control-web-panel-flaw-to-open-reverse-shells/

===================================

■■■ Cisco

2023年1月18日に Cisco は、Unified Communications Manager (CM) および Unified Communications Manager Session Management Edition (CM SME) に存在する、深刻な SQL インジェクションの脆弱性に対するパッチを発表しました。エンタープライズ・コールおよびセッション管理プラットフォームとして設計されたCisco Unified CM／Unified CM SME は、Webex／Jabber などのアプリとの相互運用性を確保し、可用性と安全性を維持するものです。

https://iototsecnews.jp/2023/01/19/cisco-patches-high-severity-sql-injection-vulnerability-in-unified-cm/

CVE-2023-20010

CVSS 8.1

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-sql-rpPczR8n

https://sec.cloudapps.cisco.com/security/center/cvssCalculator.x?version=3.1&vector=CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

トライアル・お問い合わせはこちらから▼

■脆弱性情報配信サービス＊サンプルファイルダウンロード可能＊＞＞＞脆弱性TODAY

■脆弱性情報収集後のフローに活用するなら＞＞＞CSIRT MT.mss