脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年2月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2023年2月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ Adobe
Adobe Commerce/Magento ストアのメール・テンプレートに存在する、深刻な脆弱性 CVE-2022-24086 に対して、2022年2月に Adobe が公開したセキュリティ・パッチが、適用されていないケースが多いと、eコマース・セキュリティ企業である Sansec が警告しています。この脆弱性 CVE-2022-24086 (CVSS: 9.8) は、チェックアウト・プロセスにおける不適切な入力検証のバグだと説明されています。このバグの悪用に成功した攻撃者に対して、任意のコード実行を許す可能性があり、また、パッチが提供されてから1週間ほどで、実環境での悪用も確認されています。
CVE-2022-24086
CVE-2022-24087
CWE-20(不適切な入力確認)
CVSS 9.8
https://helpx.adobe.com/security/products/magento/apsb22-12.html
===================================
■■■ TP-Link/NetComm
TP-Link/NetComm のルーターで確認された脆弱性が悪用されると、リモートからのコード実行 (RCE) にいたる可能性が生じます。TP-Link WR710N-V1-151022/Archer-C5-V2-160201 SOHO (small office/home office) ルーターで発見された、2つの脆弱性の悪用に成功した攻撃者に対して、コード実行/デバイス・クラッシュ/ログイン認証推測などを許す可能性があるようです。
CVE-2022-4498
CWE-122(ヒープバッファ・オーバーフロー)
CVSS 7.3
https://nvd.nist.gov/vuln/detail/CVE-2022-4498
CVE-2022-4499
CWE-208(タイミングの不一致による情報漏えい)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2022-4499
CVE-2022-4873
CWE-121(スタックバッファ・オーバーフロー)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-4873
CVE-2022-4874
CWE-288(代替えパス・チャネルを用いた認証バイパス)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2022-4874
===================================
■■■ GE
GE の Proficy Historian 製品で発見された脆弱性は、諜報活動のために悪用するハッカーにより、産業環境に被害や混乱を生じる可能性があるようです。2023年1月17日に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、これらの脆弱性について連邦政府組織に通知し、この欠陥を発見した産業用サイバー・セキュリティ企業である Claroty も、詳細な内容をブログで発表しました。
CVE-2022-46660
CWE-434(信頼できないファイルのアップロード)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2022-46660
https://www.cisa.gov/uscert/ics/advisories/icsa-23-017-01
CVE-2022-46732
CWE-287(不適切な認証)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-46732
===================================
■■■ Fortinet
先日にパッチが適用された FortiOS SSL-VPN の脆弱性 CVE-2022-42475 を、中国の脅威アクターと思われる人物が、ゼロデイとして悪用したことを、Mandiant の研究者たちが報告しています。この脆弱性は、欧州の政府機関やアフリカの MSP などを標的とする、一連の攻撃で悪用されたと、同社は述べています。この脆弱性は、2022年12月に Fortinet により対処されていますが、攻撃自体は 10月の時点で生じていました。専門家たちが集めた証拠によると、中国のサイバースパイ活動の一環であることが示唆されています。
CVE-2022-42475
CWE-122(ヒープバッファ・オーバーフロー)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-22-398
https://www.jpcert.or.jp/at/2022/at220032.html
===================================
■■■ Cisco
Cisco VPN ルーターが、リモート・コマンド実行のエクスプロイト・チェーン攻撃にさらされていますが、インターネット上に 19,000台以上の製造終了 (EoL) ルーターが残されていることが判明しました。先週に公開された2つの脆弱性を、脅威アクターが連鎖させることが可能となります。具体的に言うと、Cisco Small Business RV016/RV042/RV042G/RV082 ルーター OS 上で認証をバイパス (CVE-2023-20025) した後に、任意のコマンドを実行 (CVE-2023-20026?) できるようです。
https://iototsecnews.jp/2023/01/20/over-19000-end-of-life-cisco-routers-exposed-to-rce-attacks/
CVE-2023-20025, CVE-2023-20026
CVSS 9.0
===================================
■■■ Zoho ManageEngine
複数の Zoho ManageEngine 製品に影響を及ぼす、深刻な RCE (Remote Code Execution) の脆弱性が、攻撃に悪用されています。この脆弱性の悪用コードと詳細な技術分析を、Horizon3 のセキュリティ研究者たちが公開する2日前に、サイバーセキュリティ企業の Rapid7 が最初の悪用の試みを検知していました。Rapid7 は、「我々は、少なくとも 24種類のオンプレミス ManageEngine 製品に影響を与える、未認証のRCE 脆弱性 CVE-2022-47966 の悪用から生じる、さまざまな侵害に対応しています。2023年1月17日 (UTC) の時点で、複数の組織にまたがる悪用を観測している」と述べています。
CVE-2022-47966
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-47966
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
CVE-2022-35405
CVSS 7.3
https://nvd.nist.gov/vuln/detail/CVE-2022-35405
===================================
■■■ VMware
2023年1月24日に VMware がリリースしたのは、RCE (Remote Code Execution) 攻撃につながる可能性のある、複数の深刻な脆弱性のパッチを含む、2023年最初のセキュリティ情報です。VMware によると、これらの脆弱性は、VMware vRealize Log Insight に影響を及ぼすものであり、悪用に成功した未承認の攻撃者に対して、ターゲット・システムの完全な制御を許す可能性があるようです。
https://iototsecnews.jp/2023/01/24/vmware-plugs-critical-code-execution-flaws/
CVE-2022-31704,CVE-2022-31706, CVE-2022-31710, CVE-2022-31711
CVSS CVSS 9.8
https://www.vmware.com/security/advisories/VMSA-2023-0001.html
===================================
■■■ Windows CryptoAPI
Akamai の研究者たちが、公開キー証明書を検証する Windows CryptoAPI に存在する、深刻な脆弱性 CVE-2022-34689 に対する PoC エクスプロイトを公表しました。この Windows/Windows Server に影響する脆弱性は、2022年10月に修正プログラムが公開されています。その際に Microsoft は、「攻撃者は既存の公開証明書 x.509 を操作して身元を偽り、認証/コード署名などのアクションを、本物の証明書を持っているかのように実行できる」と説明していました。
CVE-2020-0601
CVSS 8.1
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0601
CVE-2022-34689
CVSS 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34689
===================================
■■■ Microsoft Exchange Server
今日、Microsoft が公表したのは、オンプレミスの Exchange サーバに対する累積アップデート (CU: Cumulative Update) の適用であり、また、緊急のセキュリティ・アップデートに対しても、導入の準備を整えておくよう顧客に呼びかけました。Exchange サーバのアップデート・プロセスについて、同社は簡単だと述べていますが、多くの管理者が同意しないかもしれません。具体的な手順として、アップデートをインストールした後には必ず、Exchange Server Health Checker スクリプトの実行を推奨しているようです。
https://iototsecnews.jp/2023/01/26/microsoft-urges-admins-to-patch-on-premises-exchange-servers/
CVE-2022-41082
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082
===================================
■■■ ISC BIND
今週に ISC (Internet Systems Consortium) は、DNS ソフトウェア・スイート BIND に存在する、複数の深刻な DoS (Denial-of-Service) 脆弱性に対するパッチをリリースしました。この脆弱性が悪用されると、ネームサーバー/再帰的リゾルバーとして機能する BIND デーモン named が、リモートからの攻撃でクラッシュあるいは、メモリ枯渇に陥る可能性があるようです。
https://iototsecnews.jp/2023/01/27/bind-updates-patch-high-severity-remotely-exploitable-dos-flaws/
CVE-2022-3094
CWE-400(リソースの枯渇)
CVSS 7.5
https://www.jpcert.or.jp/newsflash/2023012601.html
https://jvn.jp/vu/JVNVU98318144/index.html
https://nvd.nist.gov/vuln/detail/CVE-2022-3094
CVE-2022-3488
CWE-404(リソースの不適切な解放)
CVSS 7.5
https://www.jpcert.or.jp/newsflash/2023012601.html
https://jvn.jp/vu/JVNVU98318144/index.html
https://nvd.nist.gov/vuln/detail/CVE-2022-3488
CVE-2022-3736, CVE-2022-3924
CVSS 7.5
https://www.jpcert.or.jp/newsflash/2023012601.html
https://jvn.jp/vu/JVNVU98318144/index.html
https://nvd.nist.gov/vuln/detail/CVE-2022-3736
https://nvd.nist.gov/vuln/detail/CVE-2022-3924
===================================
■■■ Realtek
2022年8月から始まった、Realtek Jungle SDKのリモートコード実行の脆弱性を悪用する攻撃が急増していることに、研究者たちが警告を発しています。Palo Alto Networks の Unit 42 によると、現在進行中のキャンペーンは、2022年12月の時点で 1億3400万件のエクスプロイト試行を記録し、その 97% が直近の4ヶ月間で発生したと言われています。攻撃の 50% 近くが米国 (48.3%) から発生しており、それに続くのが、ベトナム (17.8%)/ロシア (14.6%)/オランダ (7.4%)/フランス (6.4%)/ドイツ (2.3%)/ルクセンブルク (1.6%) などです。さらに、ロシアで発生した攻撃の 95% は、オーストラリアの組織を標的にしていました。
CVE-2021-35394
CWE-119(バッファ・エラー)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2021-35394
===================================
■■■ QNAP
今週に NAS (Network-Attached Storage) ベンダーの QNAP が公表した新しい脆弱性は、全世界で約 30,000 台のデバイスで悪用される可能性があると、Censys は述べています。Censys がインターネットをスキャンしたところ、QNAP ベースのシステムを実行している 67,415 台のホストが世界中で見つかりました。そのうちで、バージョンを確認できたものは僅か 30,250 台であり、また、新しい脆弱性を悪用する攻撃に対して、98% が脆弱だろうという状況が判明しました。
https://iototsecnews.jp/2023/01/30/qnap-fixes-critical-bug-letting-hackers-inject-malicious-code/
https://iototsecnews.jp/2023/02/01/nearly-30000-qnap-devices-exposed-via-new-bug/
CVE-2022-27596
CWE-89(SQLインジェクション)
CVSS 9.8
https://www.qnap.com/en/security-advisory/QSA-23-011
https://nvd.nist.gov/vuln/detail/CVE-2022-27596
===================================
■■■ Samsung Galaxy Store
Samsung の Galaxy Store App にセキュリティ欠陥が存在し、ローカル攻撃者による任意のアプリのインストールや、Web 上の不正なランディング・ページへの誘導などが可能なことが判明しました。NCC Group が発見した、脆弱性 CVE-2023-21433/CVE-2023-21434 は、2022年11月/12月の時点で Samsung に通知されています。同社は、これらのバグを Medium のリスクとして分類し、2023年1月初めに出荷された、バージョン 4.5.49.8 で対応しています。
CVE-2023-21433
CWE-285(不適切な権限付与)
CVSS 7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-21433
https://security.samsungmobile.com/serviceWeb.smsb?year=2023&month=01
CVE-2023-21434
CWE-79(クロスサイト・スクリプティング)
CVSS 6.2
https://nvd.nist.gov/vuln/detail/CVE-2023-21434
https://security.samsungmobile.com/serviceWeb.smsb?year=2023&month=01
===================================
■■■ KeePass
オープンソースのパスワード管理ソフトである KeePass に、攻撃者がデータベース全体を平文で密かにエクスポートできる、新たな脆弱性が発見されました。しかし、KeePass の開発チームは、この発見に対して異議を唱えています。KeePass は人気のオープンソース・パスワード管理ソフトですが、LastPass/Bitwarden のようなクラウド・ホスティングのものではなく、ローカルに保存されたデータベースを使用してパスワードの管理を行うものです。
https://iototsecnews.jp/2023/01/30/keepass-disputes-vulnerability-allowing-stealthy-password-theft/
CVE-2023-24055
CWE-311(機密データに対する暗号化の欠如)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2023-24055
===================================
■■■ Cisco
Cisco が公開したパッチは、一部の産業用ルーター/ゲートウェイ/企業向け無線アクセスポイントに存在する、深刻度の高い脆弱性 CVE-2023-20076 に対するものです。この脆弱性の悪用に成功した攻撃者が、デバイスの再起動やファームウェアの更新では削除できない、悪質なコードを挿入する可能性があります。
CVE-2023-20076
CVSS 7.2
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-iox-8whGn5dL
===================================
■■■ ImageMagick
オープンソース・ソフトウェア ImageMagick に存在し、サービス妨害 (DoS)/情報漏えいにつながる可能性のある、2つのセキュリティ欠陥の詳細を、研究者たちが公開しました。この2つの問題は、ラテン・アメリカのサイバー・セキュリティ企業である Metabase Q が、ImageMagick バージョン 7.1.0-49 で確認したものであり、2022年11月にリリースされた バージョン7.1.0-52 で対処されています。
CVE-2022-44268
CWE-200(情報漏えい)
CVSS 4.3
https://nvd.nist.gov/vuln/detail/CVE-2022-44268
https://www.metabaseq.com/imagemagick-zero-days/
CVE-2022-44267
CWE-404(リソースの不適切な解放)
CVSS 4.3
https://nvd.nist.gov/vuln/detail/CVE-2022-44267
===================================
■■■ Oracle
Oracle E-Business Suite の深刻な脆弱性が、PoC エクスプロイト・コードの公開直後から悪用されています。Oracle E-Business Suite は、Oracle の主要製品群の1つであり、サプライチェーン管理 (SCM)/企業資源計画 (ERP)/顧客関係管理 (CRM) などのプロセスを、自動化するためのエンタープライズ・アプリケーションのセットです。
CVE-2022-21587
CVSS 9.8
https://www.oracle.com/security-alerts/cpuoct2022.html#AppendixEBS
https://www.oracle.com/security-alerts/cpuoct2022verbose.html#EBS
===================================
■■■ Atlassian
Atlassian は、Jira Service Management Server および Data Center の深刻な脆弱性 CVE-2023-22501 (CVSS: 9.4) に対応する、セキュリティ更新プログラムを公開しました。この脆弱性の悪用に成功した攻撃者には、他のユーザーになりすまし、特定の状況下において、他の Jira Service Management インスタンスに不正アクセスする可能性があるようです。
CVE-2022-43781
CWE-77(コマンド・インジェクション)
CVSS 9,8
https://nvd.nist.gov/vuln/detail/CVE-2022-43781
https://securityaffairs.co/wordpress/138716/security/atlassian-critical-flaws-crowd-bitbucket.html
CVE-2023-22501
CWE-287(不適切な認証)
CVSS 9.4
https://nvd.nist.gov/vuln/detail/CVE-2023-22501
https://jira.atlassian.com/browse/JSDSERVER-12312
===================================
■■■ VMware
VMware VM (Virtual Machine) を狙うランサムウェアの、世界的なキャンペーンの影響を受けた被害者たちが、システムを回復するための新しいスクリプトを、CISA が公開しました。ランサムウェアの支払い追跡サービスを提供する Ransomwhere は、月曜日に行われたインターネット全体のスキャン調査をベースにして、この被害者の数は 3,800件と推定しています。さらに同社は、4回の支払いで合計 $88,000 が支払われたと述べているが、このキャンペーンの規模を過小評価している可能性があります。
https://iototsecnews.jp/2023/02/08/cisa-releases-recovery-tool-for-vmware-ransomware-victims/
CVE-2021-21974
CVSS 9.8
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
===================================
■■■ Baicells
Baicells Technologies の無線通信基地局に影響を及ぼす、深刻な脆弱性が発見されました。この脆弱性の悪用に成功した攻撃者は、通信ネットワークの膨大や、データ/音声トラフィックの完全な制御が可能だと、ある研究者が述べています。Baicells Technologies は、米国を拠点とする 4G/5G ネットワーク向けの通信機器プロバイダーです。同社によると、世界 64カ国に 10万台以上の基地局が設置されているようです。
CVE-2023-24508
CWE-79(クロスサイト・スクリプティング)
CVSS 9.6
https://nvd.nist.gov/vuln/detail/CVE-2023-24508
===================================
■■■ OpenSSH
OpenSSH のメンテナたちは、OpenSSH サーバ (sshd) に存在するメモリ破壊の脆弱性を含む、多数のセキュリティ・バグに対処する OpenSdSH 9.2 をリリースしました。対処された脆弱性のうち、OpenSSH 9.1 で発生した未認証の二重解放の脆弱性は、CVE-2023-25136 として追跡されています。2023年2月2日に OpenSSH が公開したリリース・ノートでは、「この脆弱性の悪用は不可能だと思われる。chroot(2) の対象となる非特権事前認証プロセスで発生し、さらに大半の主要プラットフォームでサンドボックス化されている」と説明されています。
CVE-2023-25136
CWE-415(メモリの二重解放)
CVSS 5.6
https://nvd.nist.gov/vuln/detail/CVE-2023-25136
===================================
今週に Google は、Chrome 110 をリリースし、外部研究者から報告された脆弱性 10件を含む、全体で 15件のセキュリティ修正を行ったと発表しました。外部から報告された脆弱性のうち、3件は深刻度 High Severity と評価されています。これらの中には、V8 エンジンにおけるタイプ・コンフュージョン/フルスクリーン・モードにおける不適切な実装/WebRTC における境界外読み取りなどの脆弱性が含まれます。
https://iototsecnews.jp/2023/02/08/chrome-110-patches-15-vulnerabilities/
CVE-2023-0696, CVE-2023-0697, CVE-2023-0698
CVSS 8.8
https://chromereleases.googleblog.com/2023/02/stable-channel-update-for-desktop.html
https://www.securityweek.com/chrome-110-patches-15-vulnerabilities/
===================================
■■■ Siemens
産業用サイバーセキュリティ企業の Otorio によると、Siemens Automation License Manager は、連鎖的に ICS (Industrial Control Systems) をハッキングする、2つの深刻な脆弱性の影響を受けるようです。Siemens は 1月10日に、2023 年最初の Patch Tuesday updates をリリースし、同社の製品に影響を及ぼす 20件の脆弱性に対処しました。その際に公開された6つのアドバイザリーの1つに、 Otorio の研究者が発見した、Siemens 製ソフトウェアのライセンス・キーの管理ツール Siemens Automation License Manager (ALM) における、2つの深刻な脆弱性について記述されています。
https://iototsecnews.jp/2023/02/08/siemens-license-manager-vulnerabilities-allow-ics-hacking/
CVE-2022-43513
CWE-73(ファイル名やパス名の外部制御)
CVSS 8.2
https://nvd.nist.gov/vuln/detail/CVE-2022-43513
https://cert-portal.siemens.com/productcert/pdf/ssa-476715.pdf
CVE-2022-43514
CWE-22(パス・トラバーサル)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-43514
===================================
■■■ Wireless IIoT
Industrial Internet of Things (IIoT) ベンダー4社のデバイスに、38件のセキュリティ脆弱性が発見され、operational technology (OT) 環境の悪用を狙う脅威アクターに対して、深刻な攻撃領域を提供する可能性があることが判明しました。イスラエルの産業用サイバー・セキュリティ企業である Otorio は、「脅威アクターたちは、ワイヤレス IIoT デバイスの脆弱性を悪用し、内部の OT ネットワークに対する初期アクセスを得ることが可能です。攻撃者たちは、それらの脆弱性を悪用してセキュリティ層を迂回し、ターゲット・ネットワークに侵入し、重要なインフラを危険にさらし、製造を中断させることが可能だ」と述べています。
CVE-2022-3703
CWE-345(データ認証に関する不十分な確認)
CVSS 10.0
https://nvd.nist.gov/vuln/detail/CVE-2022-3703
CVE-2022-40981
CWE-434(信頼できないファイルのアップロード)
CVSS 10.0
https://nvd.nist.gov/vuln/detail/CVE-2022-40981
CVE-2022-41607
CWE-22(パス・トラバーサル)
CVSS 8.6
https://nvd.nist.gov/vuln/detail/CVE-2022-41607
https://jvn.jp/vu/JVNVU97789889/index.html
https://www.cisa.gov/uscert/ics/advisories/icsa-22-307-01
CVE-2022-46649
CWE-88(引数インジェクション)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2022-46649
CVE-2022-46650
CWE-200(情報漏えい)
CVSS 4.9
https://nvd.nist.gov/vuln/detail/CVE-2022-46650
===================================
■■■ CISA KEV 警告 23/02/10
CISA は、Fortra MFT/Intel ドライバ/TerraMaster NAS などに存在し、活発に悪用されている脆弱性 CVE-2023-0669/CVE-2015-2291/CVE-2022-24990 を、KEV (Known Exploited Vulnerabilities) カタログに追加しました。 この CVE-2015-2291 (CVSS:7.8) は、Windows IQVW32.sys/IQVW64.sys 用の Intel イーサネット診断ドライバに存在する、サービス拒否 (DoS) の脆弱性です。
CVE-2015-2291
CWE-119(バッファ・エラー)
CVSS 7.8
CVE-2022-24990
CWE-200(情報漏えい)
CVSS 4.3
https://nvd.nist.gov/vuln/detail/CVE-2022-24990
CVE-2023-0669
https://nvd.nist.gov/vuln/detail/CVE-2023-0669
===================================
■■■ Apple iPhone/iPad/Mac
Appleがリリースした緊急セキュリティ・アップデートは、iPhone/iPad/Mac へのハッキング攻撃で使われる、新たなゼロデイ脆弱性に対処するものです。今回のアップデートで修正されたゼロデイ脆弱性 CVE-2023-23529 [1, 2] は、WebKit の混乱を悪用し、侵害したデバイス上で OS クラッシュを誘発し、コード実行を許すものです。
https://iototsecnews.jp/2023/02/13/apple-fixes-new-webkit-zero-day-exploited-to-hack-iphones-macs/
CVE-2023-23529
CWE-843(タイプ・コンフュージョン)
CVSS 6.3
https://support.apple.com/ja-jp/HT213633
https://support.apple.com/ja-jp/HT213638
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。