脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年3月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2023年3月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ Splunk Enterprise
2月14日に Splunk は、Splunk Enterprise のアップデートを発表しました。それにより、同製品で使用されるサードパーティ・パッケージに影響を与える、複数の深刻な脆弱性が解決されることになります。 最も深刻な脆弱性は CVE-2023-22939/CVE-2023-22935 (CVSS:8.1) で、危険なコマンドに対する Search Processing Language (SPL) セーフガードが、バイパスされる可能性が生じるようです。どちらの脆弱性も、Splunk Web を有効にしたインスタンスに影響しますが、前提として高特権ユーザーによるブラウザ・リクエストが必要となります。
https://iototsecnews.jp/2023/02/15/splunk-enterprise-updates-patch-high-severity-vulnerabilities/
CVE-2021-28957
CVSS 6.1
https://nvd.nist.gov/vuln/detail/CVE-2021-28957
CVE-2021-3517
CWE-125(境界外読み取り)
CVSS 8.6
https://nvd.nist.gov/vuln/detail/CVE-2021-3517
CVE-2021-3518
CWE-416(解放済みメモリの使用)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2021-3518
CVE-2021-3537
CWE-476(ヌル・ポインタ・デリファレンス)
CVSS 5.9
https://nvd.nist.gov/vuln/detail/CVE-2021-3537
CVE-2022-32212
CWE-78(OSコマンド・インジェクション)
CVSS 8.1
https://nvd.nist.gov/vuln/detail/CVE-2022-32212
CVE-2023-22932
CWE-79(クロスサイト・スクリプティング)
CVSS 8.7
https://nvd.nist.gov/vuln/detail/CVE-2023-22932
https://advisory.splunk.com/advisories/SVD-2023-0202
CVE-2023-22933
CWE-79(クロスサイト・スクリプティング)
CVSS 8.0
https://nvd.nist.gov/vuln/detail/CVE-2023-22933
https://advisory.splunk.com/advisories/SVD-2023-0203
CVE-2023-22934
CVSS 8.0
https://nvd.nist.gov/vuln/detail/CVE-2023-22934
CVE-2023-22935 CVE-2023-22939
CVSS 8.1
https://nvd.nist.gov/vuln/detail/CVE-2023-22935
https://nvd.nist.gov/vuln/detail/CVE-2023-22939
https://advisory.splunk.com/advisories/SVD-2023-0205
===================================
■■■ Citrix
Citrix Systems は、Virtual Apps and Desktops/Workspace Apps の脆弱性に対する、セキュリティ・アップデートを公開しました。この脆弱性の深刻度は高く、ターゲットに対してローカル・アクセスが可能な攻撃者が特権昇格し、影響を受けるシステムの制御を可能にするとされます。Citrix 製品群は、世界の企業で広く使用されているため、システムに侵入した攻撃者による容易な特権昇格を阻止するための、セキュリティ・アップデートの迅速な適用が重要となります。
https://iototsecnews.jp/2023/02/15/citrix-fixes-severe-flaws-in-workspace-virtual-apps-and-desktops/
CVE-2023-24483
CWE-269(不適切な権限管理)
CVSS 7.8
CVE-2023-24484
CWE-284(不適切なアクセス制御)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2023-24484
CVE-2023-24485
CWE-284(不適切なアクセス制御)
CVSS 7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-24485
CVE-2023-24486
CWE-284(不適切なアクセス制御)
CVSS 7.8
https://jp.tenable.com/plugins/nessus/171596
===================================
■■■ Microsoft
今日の、Microsoft February 2023 Patch Tuesday により、活発に悪用されているゼロデイ脆弱性3件を含む、合計77件の脆弱性が修正されました。そのうちの9件は、脆弱なデバイスでリモート・コード実行を可能にするもので、深刻度 Critical に分類されています。
CVE-2023-21715
CVSS 7.3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21715
CVE-2023-21823
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21823
CVE-2023-23376
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23376
===================================
■■■ VMware
Censys の研究者たちが、「この数日において、新たな ESXiArgs ランサムウェアに 500台強のホストが感染したことが確認されました。その大半は、フランス/ドイツ/オランダ/イギリスに存在しています。ESXi バージョン 6.5/6.7 がサポート終了を迎えた直後である、2022年10月中旬に配布されたと思われる、きわめて類似した身代金メモを持つ2台のホスト、このインシデントの分析中に発見されました。」と述べています。
CVE-2021-21974
CVSS 8.8
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
===================================
■■■ CISA KEV 警告 23/02/14
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃において野放し状態で悪用される脆弱性4件をバグリストに追加しました。そのうち2件は、Microsoft 製品に影響するものです。パッチ未適用の Windows システム上で、Common Log File System Driver やグラフィック・コンポーネントの脆弱性の悪用に成功した攻撃者に対して、リモート実行 (CVE-2023-21823) および特権昇格 (CVE-2023-23376) を許してしまいます。
https://iototsecnews.jp/2023/02/16/cisa-warns-of-windows-and-ios-bugs-exploited-as-zero-days/
CVE-2022-46169
CWE-74(インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-46169
https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf
CVE-2023-21715
CVSS 7.3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-217155
CVE-2023-21823
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21823
CVE-2023-23376
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23376
CVE-2023-23529
CWE-843(タイプ・コンフュージョン)
CVSS 6.3
https://support.apple.com/ja-jp/HT213638
https://support.apple.com/ja-jp/HT213635
https://support.apple.com/ja-jp/HT213633
===================================
■■■ SolarWinds
今週に SolarWinds は、深刻度の高い脆弱性に関する複数のアドバイザリを公開し、2月末までには SolarWinds Platform をアップデートして、パッチを適用する予定だとアナウンスしました。今回のアドバイザリが公開された7つの脆弱性のうちの5つは、安全ではないデシリアライゼーションの脆弱性とされており、任意のコマンド実行に悪用される可能性があるようです。
CVE-2022-47503 CVE-2022-47504 CVE-2022-47507 CVE-2023-23836 CVE-2022-38111
CWE-502(安全でないデシリアライゼーション)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2022-47503
https://nvd.nist.gov/vuln/detail/CVE-2022-47504
https://nvd.nist.gov/vuln/detail/CVE-2022-47507
https://nvd.nist.gov/vuln/detail/CVE-2023-23836
https://nvd.nist.gov/vuln/detail/CVE-2022-38111
https://www.solarwinds.com/trust-center/security-advisories/CVE-2022-47503
https://www.solarwinds.com/trust-center/security-advisories/CVE-2023-23836
CVE-2022-47506
CWE-22(パス・トラバーサル)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2022-47506
https://www.solarwinds.com/trust-center/security-advisories/CVE-2022-47506
CVE-2022-47508
CWE-287(不適切な認証)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2022-47508
https://www.solarwinds.com/trust-center/security-advisories/CVE-2022-47508
===================================
■■■ Fortinet
Fortinet の FortiNAC/FortiWeb に対するセキュリティ・アップデートが公開されました。そこで対処された2つの深刻な脆弱性は、認証されていない攻撃者による任意のコード/コマンド実行にいたる可能性のあるものです。1つ目は、FortiNAC に影響を及ぼす脆弱性 CVE-2022-39952 であり、CVSS 値は 9.8 (Critical) である。FortiNAC は、ネットワーク・アクセス制御ソリューションであり、リアルタイムでのネットワークの可視化/セキュリティ・ポリシーの適用/脅威の検知と緩和を支援するものです。
https://iototsecnews.jp/2023/02/17/fortinet-fixes-critical-rce-flaws-in-fortinac-and-fortiweb/
CVE-2021-42756
CWE-121(スタックバッファ・オーバーフロー)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-21-186
https://nvd.nist.gov/vuln/detail/CVE-2021-42756
CVE-2022-39952
CWE-73(ファイル名やパス名の外部制御)
CVSS 7.8
https://www.fortiguard.com/psirt/FG-IR-22-3000
https://nvd.nist.gov/vuln/detail/CVE-2022-39952
===================================
■■■ Cisco ClamAV
Cisco が公表したのは、オープンソース・アンチウイルス・エンジン ClamAV に存在する、深刻な脆弱性 CVE-2023-20032 (CVSS:9.8) の修正です。HFS+ file parser コンポーネントに存在する、この脆弱性の悪用に成功した攻撃者は、脆弱なデバイス上でのリモート・コード実行や、DoS 状態の生成などが可能になります。この脆弱性は、ClamAV のバージョン 1.0.0 以下/0.105.1 以下/0.103.7 以下に影響を及ぼします。Cisco は、報告者である Google の Simon Scannell に謝意を表しています。
CVE-2023-20032
CVSS 9.8
CVE-2023-20052
CVSS 5.3
===================================
■■■ VMware Carbon Black
2023年2月21 (火) に VMware は、大規模なセキュリティ・アップデートをリリースし、エンタープライズ向け製品 Carbon Black App Control に存在する深刻な脆弱性を修正しました。VMware のセキュリティ・アドバイザリが警告するのは、この脆弱性 CVE-2023-20858 の悪用に成功した攻撃者が、インジェクション攻撃を仕掛け、基盤となるサーバ OS にフルアクセスできるようになる可能性です。
CVE-2023-20858
CVSS 9.1
https://www.vmware.com/security/advisories/VMSA-2023-0004.html
CVE-2023-20855
CVSS 8.8
https://www.vmware.com/security/advisories/VMSA-2023-0005.html
===================================
■■■ Microsoft Windows
Windows の Backup and Restore サービスに存在する、権限昇格の脆弱性 CVE-2023-21752 が、脅威アクターたちに悪用されていることが確認されました。CloudSEK の研究者たちは、「この脆弱性の悪用に成功したベーシック・ユーザーは、Windows Backup and Restore サービスから指定したストレージパスを介して、ホスト上で任意のコード実行することでファイルの削除が可能になります。このアクションは、特権を持つユーザーのみが実行できるもです。」と述べています。
CVE-2023-21752
CVSS 7.1
https://nvd.nist.gov/vuln/detail/CVE-2023-21752
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21752
===================================
■■■ Apple macOS/iOS
Trellix のサイバー・セキュリティ研究者たちが、macOS/iOS に存在する6つの脆弱性と、新しいバグクラスに関する調査結果を発表しました。今日の未明に公開された同社のアドバイザリでは、新しいクラスの権限昇格の脆弱性は、NSO Group のモバイル・マルウェア Pegasus を展開するために macOS/iOS の機能を悪用した、ForcedEntry 攻撃に基づくものだと述べられています。
https://iototsecnews.jp/2023/02/21/new-privilege-escalation-bug-class-found-on-macos-and-ios/
CVE-2023-23520
CWE-362(競合状態)
CVSS 5.9
https://support.apple.com/en-us/HT213606
https://nvd.nist.gov/vuln/detail/CVE-2023-23520
CVE-2023-23530, CVE-2023-23531
CWE-119(バッファ・エラー)
CVSS 9.9
https://support.apple.com/en-us/HT213606
https://nvd.nist.gov/vuln/detail/CVE-2023-23530
https://nvd.nist.gov/vuln/detail/CVE-2023-23531
===================================
■■■ R1Soft Server Backup Manager
昨年に発見された、ConnectWise の R1Soft Server Backup Manager に存在する脆弱性の悪用により、数百台のサーバーにバックドアが展開されていることが判明しました。2022年10月下旬に ConnectWise は、R1Soft Server Backup Manager に存在する深刻な脆弱性に対してパッチを提供し、また、それを悪用する攻撃者による、任意のコード実行および機密データへのアクセスを防ぐよう顧客に通知しました。その時点において同社は、この脆弱性が野放し状態で悪用される可能性が高いことを警告し、ユーザーに対しては、可能な限り速やかに、パッチを適用するよう促していました。
CVE-2022-36537
CWE-200(情報漏えい)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2022-36537
https://tracker.zkoss.org/browse/ZK-5150
===================================
■■■ CISA KEV 23/02/21
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Mitel MiVoice Connect ビジネス・コミュニケーション・プラットフォームに存在する2つの脆弱性が、野放し状態で悪用されていることを連邦政府組織に警告しています。CISA は、この欠陥を KEV (Known Exploited Vulnerabilities) カタログに追加し、3月14日までに対処するよう関係機関に指示しました。
https://iototsecnews.jp/2023/02/22/cisa-warns-of-two-mitel-vulnerabilities-exploited-in-wild/
CVE-2022-40765
CWE-77(コマンド・インジェクション)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2022-40765
CVE-2022-41223
CWE-94(コード・インジェクション)
CVSS 6.8
https://nvd.nist.gov/vuln/detail/CVE-2022-41223
CVE-2022-47986
CWE-502(安全でないデシリアライゼーション)
CVSS 9.8
https://www.ibm.com/support/pages/node/6952319
https://nvd.nist.gov/vuln/detail/CVE-2022-47986
===================================
■■■ Docker
Rezilion が明らかにした、数百の Docker コンテナ・イメージに存在する脆弱性は、ほとんどの標準的な脆弱性スキャナや SCA (Software Composition Analysis) ツールでは検出されないもののようです。数十億回もダウンロードされた数百の一般的なコンテナ・イメージ内に、深刻度が Critical/High の脆弱性が数多く隠されていることが、この調査により判明しました。それらの脆弱性の中には、悪用方法が公表されている有名なものも含まれています。
CVE-2019-17558
CWE-269(不適切な権限管理)
CVSS 6.3
https://nvd.nist.gov/vuln/detail/CVE-2019-17558
CVE-2021-41773
CWE-22(パス・トラバーサル)
CVSS 5.3
https://www.jpcert.or.jp/at/2021/at210043.html
https://nvd.nist.gov/vuln/detail/CVE-2021-41773
https://www.exploit-db.com/exploits/50383
CVE-2021-42013
CWE-22(パス・トラバーサル)
CVSS 7.3
https://httpd.apache.org/security/vulnerabilities_24.html#CVE-2021-42013
https://nvd.nist.gov/vuln/detail/CVE-2021-42013
===================================
■■■ Zoho ManageEngine
複数の Zoho ManageEngine 製品に影響を及ぼすパッチ公開済の脆弱性が、2023年1月20日以降において、複数の脅威アクターにより悪用されていたことが判明しました。この脆弱性 CVE-2022-47966 (CVSS:9.8) は、リモート・コード実行を許すものであり、悪用に成功した未認証の攻撃者は、影響のあるシステムを完全に乗っ取ることが可能になります。
CVE-2022-47966
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-47966
https://www.manageengine.com/security/advisory/CVE/cve-2022-47966.html
===================================
■■■ Fortinet
Fortinet は、FortiNAC network access control (NAC) の脆弱性を狙った最近の悪用行為について、同社がセンセーショナルな報道と表現したことに関して、いくつかの重要な説明を行いました。この脆弱性 CVE-2022-39952 は、悪用に成功したリモートの未認証の攻撃者により、任意のコードが実行される可能性を持つものです。この問題は、Fortinet の内部で発見されています。
CVE-2022-39952
CWE-73(ファイル名やパス名の外部制御)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-22-300
https://nvd.nist.gov/vuln/detail/CVE-2022-39952
===================================
■■■ CISA KEV 23/02/27
米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ZK フレームワークに影響を及ぼす深刻な欠陥が活発に悪用されているとし、Known Exploited Vulnerabilities (KEV) カタログに追加したことを発表しました。この脆弱性 CVE-2022-36537 (CVSS: 7.5) は、ZK Framework バージョン 9.6.1/ 9.6.0.1/9.5.1.3/9.0.1.2/8.6.4.1 に影響を及ぼすものであり、特別に細工したリクエストを介して、驚異アクターに機密情報の取得を許すものです。
CVE-2022-36537
CWE-200(情報漏えい)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2022-36537
https://tracker.zkoss.org/browse/ZK-5150
===================================
■■■ Microsoft
BlackLotus という高ステルス性の UEFI (Unified Extensible Firmware Interface) ブートキットが、Secure Boot 防御を回避するマルウェアとして初めて公になり、サイバー環境における強力な脅威となってきました。スロバキアのサイバーセキュリティ企業 ESET は、「このブートキットは、UEFI セキュアブートを有効にした最新の Windows 11 システム上でも実行可能である」と、The Hacker News と共有したレポートで述べています。
CVE-2022-21894
CVSS 4.4
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21894
===================================
■■■ Aruba
Aruba Networks が発表したのは、同社独自のネットワーク OS である ArubaOS の複数バージョンに影響する、6つの深刻 (Critical-Severity) の脆弱性について、顧客に通知するセキュリティ・アドバイザリです。この脆弱性は、Aruba Mobility Conductor/Aruba Mobility Controllers/Aruba-managed WLAN Gateway/SD-WAN Gateway に影響するものです。Aruba Networksは、カリフォルニアに拠点を置く Hewlett Packard Enterprise の子会社であり、コンピュータ・ネットワークと無線接続ソリューションに特化した企業です。
https://iototsecnews.jp/2023/03/01/aruba-networks-fixes-six-critical-vulnerabilities-in-arubaos/
CVE-2023-22747, CVE-2023-22748, CVE-2023-22749, CVE-2023-22750
CWE-77(コマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-22747
https://nvd.nist.gov/vuln/detail/CVE-2023-22749
https://nvd.nist.gov/vuln/detail/CVE-2023-22748
https://nvd.nist.gov/vuln/detail/CVE-2023-22750
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt
CVE-2023-22751, CVE-2023-22752
CWE-121(スタックバッファ・オーバーフロー)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-22751
https://nvd.nist.gov/vuln/detail/CVE-2023-22752
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-002.txt
===================================
■■■ Cisco IP Phone Series
3月1日の水曜日に Cisco が発表したのは、IP Phone 6800/7800/7900/8800 シリーズに影響を及ぼす、深刻な欠陥に対処するためのセキュリティ・アップデートです。この脆弱性 CVE-2023-20078 の CVSS 値は 9.8 と評価されており、Web ベースの管理インターフェイスにおける、不十分なユーザー入力検証に起因するコマンド・インジェクションのバグだと説明されています。
CVE-2023-20078, CVE-2023-20079
CVSS 9.8
===================================
■■■ Trusted Platform Module
Trusted Platform Module (TPM) 2.0 の実装に影響を及ぼし、情報漏洩や権限昇格につながる恐れのある2つの脆弱性が発見されたと、Trusted Computing Group (TCG) は警告しています。Trusted Platform Module (TPM) は、ハードウェア・ベースのソリューションであり、最新のコンピュータ OS に安全な暗号機能を提供し、改ざんに対する耐性を強化するためのものです。TPM のコマンド・インターフェースにアクセスできる攻撃者は、悪意のコマンドをモジュールに送信することで、これらの脆弱性を悪用できるようになるようです。
CVE-2023-1017, CVE-2023-1018
CWE-125(境界外読み取り)、CWE-787(境界外書き込み)
CVSS 5.5
https://jvn.jp/vu/JVNVU95600622/
https://kb.cert.org/vuls/id/782720
https://nvd.nist.gov/vuln/detail/CVE-2023-1017
https://nvd.nist.gov/vuln/detail/CVE-2023-1018
===================================
■■■ Microsoft Word
この週末に、Microsoft Word に存在する、深刻なリモート・コード実行の脆弱性 CVE-2023-21716 の PoC エクスプロイトが公開されました。この脆弱性の CVSS 値は 9.8 と評価されていますが、Microsoft は2月の Patch Tuesday のセキュリティ・アップデートで対処し、いくつかの回避策も提供しています。この脆弱性を悪用するために必要な、特権やユーザー操作がないため、つまり、攻撃の複雑性が低いため、上記のような評価となっています。
https://iototsecnews.jp/2023/03/06/proof-of-concept-released-for-critical-microsoft-word-rce-bug/
CVE-2023-21716
CVSS 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21716
===================================
■■■ LastPass
LastPass における大規模な情報漏えいは、同社のエンジニアの1人が、自宅のコンピュータで Plex のアップデートを怠った結果であり、ソフトウェアを最新に保つことを怠ることの危険性を痛感させるものでした。先週に LastPass は、「2022年8月12日以前に発生したインシデントで盗まれた情報と、サードパーティに対するデータ侵害および、一般的なメディア・ソフトウェア・パッケージ Plex の脆弱性から入手した情報を組み合わせた正体不明の人物が、2022年8月?10月に2度目の組織的な攻撃を行ったことを明らかにしました。
CVE-2020-5741
CWE-502(安全でないデシリアライゼーション)
CVSS 7.2
https://nvd.nist.gov/vuln/detail/CVE-2020-5741
===================================
■■■ Veeam
Veeam の Backup & Replication に深刻な影響を及ぼす脆弱性が発見されたことで、同社はパッチの適用を急ぐよう顧客に促しています。この脆弱性 CVE-2023-27532 は、Shanigenという名のセキュリティ研究者が、2月中旬に報告したもので、すべての Veeam Backup & Replication (VBR) バージョンに影響を与えるものです。この脆弱性の悪用に成功した未認証の攻撃者は、VeeamVBR のコンフィグ・データベースに保存されている暗号化された認証情報を取得した後に、このバックアップ・インフラ・ホストにアクセスできるようになります。
https://iototsecnews.jp/2023/03/08/veeam-fixes-bug-that-lets-hackers-breach-backup-infrastructure/
CVE-2023-27532
CWE-306(認証機能の欠落)
CVSS 4.3
https://nvd.nist.gov/vuln/detail/CVE-2023-27532
===================================
■■■ Fortinet
Fortinet が公開したのは、FortiOS/FortiProxy に影響を及ぼす、きわめて深刻な脆弱性 CVE-2023-25610 です。特別に細工したリクエストを、未認証の攻撃者が用いることで、脆弱なデバイスの GUI 上で任意のコード実行やサービス拒否 (DoS) が生じる可能性があるようです。このバッファ・アンダーフローの脆弱性 CVE-2023-25610 は、CVSS v3 値が 9.3 であり、Critical と評価されています。この種の不具合は、メモリ・バッファから設定値以上のデータ量を、プログラムが読み込もうとしたときに発生します。その結果として、隣接するメモリ領域へのアクセスが生じ、危険な動作やクラッシュにつながるようです。
https://iototsecnews.jp/2023/03/08/fortinet-warns-of-new-critical-unauthenticated-rce-vulnerability/
CVE-2023-25610
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-23-001
===================================
■■■ Jenkins
Continuous Integration (CI)/Continuous Delivery (CD) を提供するオープンソースの Jenkins で発見された、2つの深刻なセキュリティ脆弱性は、標的システム上でのコード実行にいたる可能性のあるものです。この脆弱性は CVE-2023-27898/CVE-2023-27905 は、Jenkins のサーバおよび Update Center に影響を及ぼすものであり、クラウド・セキュリティ企業である Aqua は CorePlague と称しています。Jenkins 2.319.2 以前の、すべてのバージョンに影響を及ぼし、悪用が可能だとされます。
CVE-2023-27898
CVSS 8.8
https://www.jenkins.io/security/advisory/2023-03-08/#SECURITY-3037
https://thehackernews.com/2023/03/jenkins-security-alert-new-security.html
CVE-2023-27905
CVSS 6.1
https://www.jenkins.io/security/advisory/2023-03-08/#SECURITY-3063
https://thehackernews.com/2023/03/jenkins-security-alert-new-security.html
===================================
■■■ CISA KEV 23/03/08
米国の CISA は、悪用されている証拠があるとして、3つのセキュリティ脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加しました。この3件のうち最も深刻なものは CVE-2022-35914 で、オープンソースの資産/IT 管理ソフトウェア・パッケージである、Teclib GLPI のサードパーティ・ライブラリ htmlawed に存在する、リモート・コード実行の脆弱性です。
CVE-2022-35914
CWE-94(コード・インジェクション)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2022-35914
CVE-2022-33891
CWE-77(コマンド・インジェクション)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2022-33891
CVE-2022-28810
CWE-78(OS コマンド・インジェクション)
CVSS 6.3
https://nvd.nist.gov/vuln/detail/CVE-2022-28810
===================================
■■■ IceFire
IceFire として知られている Windows ベースのランサムウェアが、世界中のメディアやエンターテイメントの組織で運用されている、Linux エンタープライズ・ネットワークへとターゲットを拡大しています。サイバーセキュリティ企業の SentinelOne によると、このランサムウェアは、最近に公表された IBM Aspera Faspex ファイル共有ソフトウェアに存在する、不適切なデシリアライズの脆弱性 CVE-2022-47986 (CVSS:9.8) を悪用して展開されているようです。
CVE-2022-47986
CWE-502(安全でないデシリアライゼーション)
CVSS 9.8
https://www.ibm.com/support/pages/node/6952319
https://nvd.nist.gov/vuln/detail/CVE-2022-47986
===================================
■■■ CISA KEV 23/03/10
CISA が新たに KEV カタログに追加したのは、VMware Cloud Foundation に存在する深刻な脆弱性であり、野放し状態での悪用が確認されているものです。この欠脆弱性 CVE-2021-39144 は、VMware 製品で使用されている XStream オープンソース・ライブラリに起因するものであり、VMware の評価による深刻度スコアは 9.8 となっています。ユーザーの操作が不要な、低複雑度の脆弱性を悪用する未認証の脅威者は、パッチ未適用のアプライアンス上のルート権限で、リモートから任意のコードを実行可能になるようです。
https://iototsecnews.jp/2023/03/10/cisa-warns-of-critical-vmware-rce-flaw-exploited-in-attacks/
CVE-2021-39144
CVSS 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
===================================
■■■ Fortinet FortiOS
今月にパッチが適用された FortiOS のゼロデイ・エクスプロイトを悪用する未知の攻撃者たちが、政府機関や大規模組織を標的とした攻撃を行い、OS やファイルの破壊と、データ流出を引き起こしているようです。2023年3月7日に Fortinet は、不正なコードやコマンドを実行できる深刻な脆弱性 CVE-2022-41328 に対して、セキュリティ・アップデートをリリースしています。
CVE-2022-41328
CWE-22(パス・トラバーサル)
CVSS 6.7
https://www.fortiguard.com/psirt/FG-IR-22-369
https://nvd.nist.gov/vuln/detail/CVE-2022-41328
===================================
■■■ Microsoft
ロシアの軍事情報機関 GRU に関連するハッキング・グループが、欧州の組織への攻撃に悪用した Outlook のゼロデイ脆弱性 (CVE-2023-23397) に、Microsoft はパッチを適用しました。この脆弱性は、2022年4月中旬から 12月までの間に、政府/軍事/エネルギー/輸送機関などのネットワークを標的にした、15件ほどの攻撃で悪用されてきました。この攻撃を仕掛けたのは、APT28/STRONTIUM/Sednit/Sofacy/Fancy Bear などの名前で追跡されているハッキング・グループです。その手口は、悪意の Outlook のメモとタスクを送信し、NTLM ネゴシエーション・リクエストを介して NTLM ハッシュを盗み出し、攻撃者が制御する SMB 共有に対して、ターゲットのデバイスを強制的に認証させるというものです。
https://iototsecnews.jp/2023/03/14/microsoft-march-2023-patch-tuesday-fixes-2-zero-days-83-flaws/
CVE-2023-23397
CVSS 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
CVE-2023-24880
CVSS 5.4
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24880
===================================
■■■ Microsoft IIS
昨年に米国の連邦政府機関において、Microsoft Internet Information Services (IIS) Web サーバがハッキングされたが、その原因は Progress Telerik UI for ASP.NET AJAX コンポーネントの、深刻な .NET デシリアライズの脆弱性にあるようです。3月15日に CISA/FBI/MS-ISAC が発表した共同勧告によると、ある連邦民間行政府 (FCEB) 機関のネットワークで見つかった、侵害指標 (IOC) を分析したところ、2022年11月~2023年1月初旬にかけて攻撃者がサーバにアクセスしたことが判明したようです。
https://iototsecnews.jp/2023/03/15/us-federal-agency-hacked-using-old-telerik-bug-to-steal-data/
CVE-2019-18935
CWE-502(信頼できないデータに対するデシリアライズの問題)
CVSS 9.8
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-013320.html
https://nvd.nist.gov/vuln/detail/CVE-2019-18935
===================================
■■■ Microsoft Outlook
先日に Microsoft は、積極的に悪用されている Outlook のゼロデイ脆弱性 CVE-2023-23397 にパッチを適用しました。この脆弱性の悪用に成功した攻撃者は、権限昇格を実行し、被害者の Net-NTLMv2 チャレンジ・レスポンス認証ハッシュにアクセスし、ユーザーになりすますことが可能です。現時点において、CVE-2023-23397 は、今年に入って発生したバグの中で、最も広範囲に影響を及ぼす危険なものだと判明し、セキュリティ研究者たちは警告を発しています。わずか3日前に公開されたばかりですが、数多くの PoC エクスプロイトが登場しています。悪用する際に、ユーザーの操作が必要ないという点からも、犯罪者の関心が大きく高まることは間違いありません。
https://iototsecnews.jp/2023/03/18/microsoft-outlook-vulnerability-could-be-2023s-it-bug/
CVE-2023-23397
CVSS 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397
===================================
■■■ Adobe
Adobe ColdFusion バージョン 2021/2018 に影響を及ぼす深刻な脆弱性が、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されました。この深刻な任意コード実行の脆弱性 CVE-2023-26360 は、Improper Access Control の欠陥に起因するものであり、ユーザー操作を必要としない低複雑度の攻撃により、未認証の攻撃者にリモートでの悪用を許すものです。Adobe は、ColdFusion 2018 Update 16/ColdFusion 2021 Update 6 で、このアプリケーション・サーバの脆弱性に対応しましたが、ゼロデイとして攻撃に悪用されたとも述べています。
https://iototsecnews.jp/2023/03/15/cisa-warns-of-adobe-coldfusion-bug-exploited-as-a-zero-day/
CVE-2023-26360
CWE-284(不適切なアクセス制御)
CVSS 8.6
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
https://nvd.nist.gov/vuln/detail/CVE-2023-26360
===================================
■■■ Fortinet
Fortinet のゼロデイ脆弱性 CVE-2022-41328 を悪用してマルウェアを展開するという、政府機関に対する一連の攻撃の背景には、中国のハッカー集団の存在があるようです。先週に Fortinet が開示したように、この脆弱性の悪用に成功した脅威アクターは、パッチ未適用の FortiGate ファイアウォール・デバイス上で、不正なコード/コマンドを実行することで、マルウェア・ペイロードを展開できるとされます。さらに、このマルウェアの分析を進めることで、データの流出/侵害デバイス上でのファイルのダウンロードと書き込み/細工された ICMP パケット受信によるリモートシェルのオープンといった、サイバースパイ活動にも利用可能なことが判明しました。
https://iototsecnews.jp/2023/03/16/fortinet-zero-day-attacks-linked-to-suspected-chinese-hackers/
CVE-2022-41328
CWE-22(パス・トラバーサル)
CVSS 6.7
https://www.fortiguard.com/psirt/FG-IR-22-369
https://nvd.nist.gov/vuln/detail/CVE-2022-41328
===================================
■■■ GoAnywhere
日立エネルギーが公表したデータ漏洩は、先日に公表された GoAnywhere MFT (Managed File Transfer) のゼロデイ脆弱性を悪用する、ランサムウェア集団 Clop にハッキングされデータを盗まれたというものです。同社も、このゼロデイ脆弱性の悪用により、世界中の GoAnywhere MFT デバイスを標的とする、Clop の大規模キャンペーンの犠牲者となりました。
CVE-2023-0669
CWE-502(安全でないデシリアライゼーション)
CVSS 7.2
https://nvd.nist.gov/vuln/detail/CVE-2023-0669
https://www.cisa.gov/uscert/ncas/current-activity/2023/02/10/cisa-adds-three-known-exploited-vulnerabilities-catalog
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。