「脆弱性TODAY」キュレーターによる2023年4月の振り返り

2023/05/16 17:10:11

脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年4月度の記事と併せてぜひご覧ください。

脆弱性TODAYとは？

GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能（※有料オプション）で、効率的に脆弱性情報を収集することができます。

キュレーターからのコメント

2023年4月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。

これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。

=========================================================

■■■ Netgear Orbi Router

Netgear Orbi はメッシュ Wi-Fi システムのラインアップであり、高速で信頼性の高い Wi-Fi カバレッジを家庭や企業に提供するために設計されています。この Orbi システムは、メインルーターと１台以上のサテライト・ユニットで構成されており、これらのユニットが連携してシームレスな Wi-Fi ネットワークを構築し、安定した高速 Wi-Fi で広いエリアをカバーします。

https://iototsecnews.jp/2023/03/22/experts-released-poc-exploits-for-severe-flaws-in-netgear-orbi-routers/

CVE-2022-36429

CWE-912(非公開機能の露呈)

CVSS 7.2

https://vuldb.com/?id.223520

https://nvd.nist.gov/vuln/detail/CVE-2022-36429

https://talosintelligence.com/vulnerability_reports/TALOS-2022-1597

CVE-2022-37337

CWE-78(OSコマンド・インジェクション)

CVSS 9.1

https://vuldb.com/?id.223521

https://nvd.nist.gov/vuln/detail/CVE-2022-37337

https://talosintelligence.com/vulnerability_reports/TALOS-2022-1596

CVE-2022-38452

CWE-912(非公開機能の露呈)

CVSS 8.8

https://vuldb.com/?id.223522

https://nvd.nist.gov/vuln/detail/CVE-2022-38452

https://talosintelligence.com/vulnerability_reports/TALOS-2022-1595

CVE-2022-38458

CWE-319(機密情報の平文による転送)

CVSS 6.5

https://vuldb.com/?id.223502

https://nvd.nist.gov/vuln/detail/CVE-2022-38458

https://talosintelligence.com/vulnerability_reports/TALOS-2022-1598

===================================

■■■ Veeam Backup & Replication

Veeam Backup & Replication (VBR)ソフトウェアに影響を及ぼす、Backup Service の深刻な脆弱性に対して、クロスプラット・フォームのエクスプロイト・コードが登場しました。この脆弱性 CVE-2023-27532 は、すべての VBR バージョンに影響し、未認証の攻撃者に対して、平文の認証情報の窃取とバックアップ・インフラへの侵入を許し、SYSTEM としてのリモート・コード実行にいたる可能性が生じます。

https://iototsecnews.jp/2023/03/23/exploit-released-for-veeam-bug-allowing-cleartext-credential-theft/

CVE-2023-27532

CWE-306(認証機能の欠落)

CVSS 7.5

https://vuldb.com/?id.2227788

https://nvd.nist.gov/vuln/detail/CVE-2023-27532

===================================

■■■ Zero-Day／N-Day エクスプロイトを用いるキャンペーンについて

Android／iOS／Chrome に対して複数のゼロデイ・エクスプロイトを悪用する、２つのキャンペーンの詳細を、Google Threat Analysis Group (TAG) が公開しました。専門家たちは、どちらのキャンペーンも、限定的で高度な標的型であったと述べています。攻撃の背後にいる脅威アクターは、エクスプロイトに Zero-Day と N-Day の両方を使用していたようです。これらのエクスプロイト・チェーンは、ターゲットのデバイスに商用スパイウェアや悪意のアプリをインストールするために使用されていたようです。

https://iototsecnews.jp/2023/03/29/google-tag-shares-details-about-exploit-chains-used-to-install-commercial-spyware/

CVE-2022-22706

CVSS 7.8

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-adds-ten-known-exploited-vulnerabilities-catalog

https://vuldb.com/?id.194162https://nvd.nist.gov/vuln/detail/CVE-2022-227066

CVE-2022-3038

CWE-416(解放済みメモリの使用)

CVSS 8.8

https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_30.html

https://nvd.nist.gov/vuln/detail/CVE-2022-3038

CVE-2022-3723

CWE-843(タイプ・コンフュージョン)

CVSS 6.3

https://vuldb.com/?id.212383

https://www.cisa.gov/uscert/ncas/current-activity/2022/10/28/cisa-has-added-one-known-exploited-vulnerability-catalog

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-3723

CVE-2022-38181

CWE-416(解放済みメモリの使用)

CVSS 8.8

https://source.android.com/docs/security/bulletin/2023-04-01?hl=ja

https://nvd.nist.gov/vuln/detail/CVE-2022-38181

CVE-2022-4135

CWE-122(ヒープバッファ・オーバーフロー)

CVSS 6.3

https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html

https://forest.watch.impress.co.jp/docs/news/1458468.html

https://vuldb.com/?id.214348

https://www.cisa.gov/uscert/ncas/current-activity/2022/11/28/cisa-adds-two-known-exploited-vulnerabilities-catalog

CVE-2022-4262

CWE-843(タイプ・コンフュージョン)

CVSS 8.8

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html

https://nvd.nist.gov/vuln/detail/CVE-2022-4262

https://www.cisa.gov/uscert/ncas/current-activity/2022/12/05/cisa-adds-one-known-exploited-vulnerability-catalog

CVE-2023-0266

CWE-416(解放済みメモリの使用)

CVSS 7.8

https://vuldb.com/?id.219756

https://nvd.nist.gov/vuln/detail/CVE-2023-0266

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-adds-ten-known-exploited-vulnerabilities-catalog

===================================

■■■ QNAP

台湾のハードウェア・ベンダーである QNAP は、深刻度の高い Sudo 権限昇格の脆弱性から、Linux 搭載の NAS デバイスを保護するよう顧客に警告しています。この脆弱性 CVE-2023-22809 は、Synacktiv のセキュリティ研究者たちにより発見されたものであり、Sudo バージョン 1.9.12p1 における sudoedit 使用時の sudoers ポリシー・バイパスの欠陥として説明されています。

https://iototsecnews.jp/2023/03/29/qnap-warns-customers-to-patch-linux-sudo-flaw-in-nas-devices/

CVE-2023-22809

CWE-693(不適切なプロテクション・メカニズム)

CVSS 8.8

https://www.sudo.ws/security/advisories/sudoedit_any/

https://vuldb.com/?id.218940

https://nvd.nist.gov/vuln/detail/CVE-2023-22809

===================================

■■■ 3CX VoIP

3CX のサプライチェーン攻撃の影響を受けた被害者の一部が、Gopuramマルウェアによりシステムにバックドアを仕掛けられました。この悪意のペイロードを流し込んだ脅威アクターは、暗号通貨企業を主たるターゲットにしているようです。Lazarus Groupとして追跡されている北朝鮮の脅威アクターによる、大規模なサプライチェーン攻撃に被害に遭った VoIP 通信会社 3CX は、同社の顧客が使用する Windows／macOS のデスクトップ・アプリを、トロイの木馬化させてしまいました。

https://iototsecnews.jp/2023/04/03/cryptocurrency-companies-backdoored-in-3cx-supply-chain-attack/

https://iototsecnews.jp/2023/04/12/north-korean-hackers-uncovered-as-mastermind-in-3cx-supply-chain-attack/

CVE-2013-3900

CWE-20(不適切な入力確認)

CVSS 7.4

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2013-39000

https://nvd.nist.gov/vuln/detail/CVE-2013-3900

CVE-2023-29059

CVSS 7.8

https://vuldb.com/?id.224614

https://nvd.nist.gov/vuln/detail/CVE-2023-29059

CVE-2023-29059

CVSS 7.8

https://vuldb.com/?id.224614

https://nvd.nist.gov/vuln/detail/CVE-2023-29059

https://iototsecnews.jp/2023/04/03/cryptocurrency-companies-backdoored-in-3cx-supply-chain-attack/

===================================

■■■ Cacti／Realtek／IBM Aspera

Cacti／Realtek／IBM Aspera Faspex の深刻なセキュリティ脆弱性を悪用する脅威アクターたちにより、パッチ未適用のシステムを標的としたハッキングが行われています。今週の Fortinet FortiGuard Labs レポートによると、MooBot／ShellBot (別名 PerlBot) の配信に、CVE-2022-46169 (CVSS：9.8)／CVE-2021-35394 (CVSS：9.8) が悪用されているようです。

https://iototsecnews.jp/2023/04/01/cacti-realtek-and-ibm-aspera-faspex-vulnerabilities-under-active-exploitation/

CVE-2021-35394

CWE-119(バッファ・エラー)

CVSS 9.8

https://vuldb.com/?id.180925

https://nvd.nist.gov/vuln/detail/CVE-2021-35394

CVE-2022-46169

CWE-74(インジェクション)

CVSS 9.8

https://vuldb.com/?id.214817

https://nvd.nist.gov/vuln/detail/CVE-2022-46169

https://github.com/Cacti/cacti/security/advisories/GHSA-6p93-p743-35gf

CVE-2022-47986

CWE-502(安全でないデシリアライゼーション)

CVSS 9.8

https://www.ibm.com/support/pages/node/6952319

https://nvd.nist.gov/vuln/detail/CVE-2022-47986

===================================

■■■ Veritas

ALPHV／BlackCat ランサムウェア・ギャングのアフィリエイトである UNC4466 が、Veritas Backup の３つの脆弱性を悪用して、ターゲットのネットワークへのイニシャル・アクセスを取得していることが確認されました。この UNC4466 は、他の ALPHV のアフィリエイトとは異なり、ターゲットの環境へのイニシャル・アクセスにおいて、盗み出した認証情報に依存していません。2022年10月22日に、Mandiant の研究者たちは、このアフィリエイトが Veritas の脆弱性をターゲットにしていることを初めて観測しました。

https://iototsecnews.jp/2023/04/04/alphv-blackcat-ransomware-affiliate-targets-veritas-backup-solution-bugs/

CVE-2021-27876, CVE-2021-27878

CWE-287(不適切な認証)

CVSS 8.1

https://vuldb.com/?id.170553

https://vuldb.com/?id.170555

https://nvd.nist.gov/vuln/detail/CVE-2021-27876

https://nvd.nist.gov/vuln/detail/CVE-2021-27878

https://www.veritas.com/content/support/en_US/security/VTS21-001#issue2

CVE-2021-27877

CWE-287(不適切な認証)

CVSS 9.8

https://vuldb.com/?id.170554

https://nvd.nist.gov/vuln/detail/CVE-2021-27877

===================================

■■■ Apple

米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iPhone／Mac／iPad の存在し野放し常態で悪用されている、２つの脆弱性にパッチ適用するよう連邦政府機関に命じました。2022年11月に発行された拘束力のある運用指令 (BOD 22-01) によると、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された全てのセキュリティバグに対して、連邦民間行政機関 (FCEB) はパッチを適用することが求められています。

https://iototsecnews.jp/2023/04/08/apple-releases-updates-to-address-zero-day-flaws-in-ios-ipados-macos-and-safari/

https://iototsecnews.jp/2023/04/10/cisa-orders-govt-agencies-to-update-iphones-macs-by-may-1st/

CVE-2023-28205, CVE-2023-28206

CWE-416(解放済みメモリの使用)、CWE-787(境界外書き込み)

CVSS 8.8

https://support.apple.com/ja-jp/HT213720

https://support.apple.com/ja-jp/HT213721

https://support.apple.com/ja-jp/HT213722

https://support.apple.com/en-us/HT213723

https://nvd.nist.gov/vuln/detail/CVE-2023-28205

https://nvd.nist.gov/vuln/detail/CVE-2023-28206

===================================

■■■ Sophos

Sophos Web Appliance に存在する、３つの脆弱性への対応が完了しました。１つ目の、深刻度 Critical と評価される脆弱性 CVE-2023-1671 は、warn-proceed ハンドラに存在する、認証前のコマンド・インジェクションに起因する問題であり、バージョン 4.3.10.4 未満に影響を及ぼすものです。２つ目の、深刻度 High と評価される脆弱性 CVE-2022-4934 は、コード実行を引き起こす恐れがあります。この問題は、exception wizard に存在する、認証後のコマンド・インジェクションに起因する問題であり、管理者に対して、任意のコード実行を許す可能性があります。

https://iototsecnews.jp/2023/04/10/sophos-patches-three-issues-in-the-sophos-web-security-appliance-one-of-them-rated-as-critical/

CVE-2020-36692

CWE-79(クロスサイト・スクリプティング)

CVSS 6.5

https://vuldb.com/?id.224850

https://nvd.nist.gov/vuln/detail/CVE-2020-36692

https://www.sophos.com/en-us/security-advisories/sophos-sa-20230404-swa-rce

CVE-2022-4934, CVE-2023-1671

CWE-77(コマンド・インジェクション)

CVSS 9.8

https://vuldb.com/?id.224855

https://vuldb.com/?id.224856

https://nvd.nist.gov/vuln/detail/CVE-2022-4934

https://nvd.nist.gov/vuln/detail/CVE-2023-1671

https://www.sophos.com/en-us/security-advisories/sophos-sa-20230404-swa-rce

===================================

■■■ Fortinet

Fortinet の FortiPresence は、ホスト型クラウド・サービスまたは仮想マシンとして、プライベート・インストールが可能なデータ分析ソリューションであり、ヒートマップやレポートなどを提供します。今週にFortinet は、FortiPresence インフラ・サーバに存在する深刻な認証欠落の脆弱性が、Redis／MongoDB インスタンスへの不正アクセスに悪用される可能性があると発表しました。

https://iototsecnews.jp/2023/04/12/fortinet-patches-critical-vulnerability-in-data-analytics-solution/

CVE-2022-0847

CVSS 7.8

https://www.fortiguard.com/psirt/FG-IR-22-050

https://nvd.nist.gov/vuln/detail/CVE-2022-0847

CVE-2022-41331

CWE-306(認証機能の欠落)

CVSS 9.8

https://www.fortiguard.com/psirt/FG-IR-22-355

https://nvd.nist.gov/vuln/detail/CVE-2022-41331

===================================

■■■ KYOCERA

京セラの Android 印刷アプリに、不適切なインテント処理の脆弱性が存在し、この欠陥を悪用するアプリが、マルウェアを端末にダウンロード／インストールする可能性が生じています。JVN (Japanese Vulnerability Notes) のセキュリティ通知によると、この問題は、CVE-2023-25954 として追跡されています。

https://iototsecnews.jp/2023/04/12/kyocera-android-app-with-1m-installs-can-be-abused-to-drop-malware/

CVE-2023-25954

CWE-668(不適切なサイトへ向けたリソース漏えい)

CVSS 5.0

https://jvn.jp/en/vu/JVNVU98434809/

https://jvn.jp/vu/JVNVU98434809/index.html

https://nvd.nist.gov/vuln/detail/CVE-2023-25954

===================================

■■■ Google

Google が緊急リリースした、Chrome のセキュリティ・アップデートは、2023年に入ってから初めて攻撃で悪用された、ゼロデイ脆弱性に対処するためのものです。4月14日に同社が公開したセキュリティ・アドバイザリには、「Google は、脆弱性 CVE-2023-2033 が、野放し状態で悪用されていることを認識している」と記されています。この問題に対応した、Chrome の新バージョンは、Stable Desktop チャネルのユーザーに対して展開されており、今後の数日から数週間かけて、すべてのユーザーに行き渡る予定だそうです。

https://iototsecnews.jp/2023/04/14/google-chrome-emergency-update-fixes-first-zero-day-of-2023/

CVE-2023-2033

CWE-843(タイプ・コンフュージョン)

CVSS 6.3

https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

https://vuldb.com/?id.226057

https://nvd.nist.gov/vuln/detail/CVE-2023-2033

https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/

===================================

■■■ CISA KEV 警告 23/04/01

CISA は、KEV (Known Exploited Vulnerabilities) カタログに、９件の脆弱性を新たに追加しました。そのうちの５件は、セキュリティ監視ベンダーが自社の商用スパイウェアでモバイル機器を狙うために使用するエクスプロイトの一部です。これらの脆弱性のカタログへの追加は、Google Threat Analysis Group (TAG) が最近に発表した、Android／iOS／Chrome などに対して複数のゼロデイ脆弱性を使用した２つの異なるキャンペーンに関する詳細レポートを受けたものです。

https://iototsecnews.jp/2023/04/01/cisa-adds-bugs-exploited-by-commercial-surveillance-spyware-to-known-exploited-vulnerabilities-catalog/

CVE-2013-3163

CWE-94(コード・インジェクション)

CVSS 9.3

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-adds-ten-known-exploited-vulnerabilities-catalog

https://vuldb.com/?id.9418

https://nvd.nist.gov/vuln/detail/CVE-2013-3163

CVE-2017-7494

CVSS 7.5

http://www.securityfocus.com/bid/98636

https://access.redhat.com/security/cve/CVE-2017-7494

CVE-2021-30900

CWE-787(境界外書き込み)

CVSS 7.8

https://support.apple.com/ja-jp/HT212867

https://support.apple.com/ja-jp/HT212868

https://nvd.nist.gov/vuln/detail/CVE-2021-30900

CVE-2022-22706

CVSS 7.8

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-adds-ten-known-exploited-vulnerabilities-catalog

https://vuldb.com/?id.194162

https://nvd.nist.gov/vuln/detail/CVE-2022-22706

CVE-2022-3038

CWE-416(解放済みメモリの使用)

CVSS 8.8

https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_30.html

https://nvd.nist.gov/vuln/detail/CVE-2022-3038

CVE-2022-38181

CWE-416(解放済みメモリの使用)

CVSS 8.8

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-adds-ten-known-exploited-vulnerabilities-catalog

https://vuldb.com/?id.212213

https://nvd.nist.gov/vuln/detail/CVE-2022-38181

CVE-2022-39197

CWE-79(クロスサイト・スクリプティング)

CVSS 6.1

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-adds-ten-known-exploited-vulnerabilities-catalogg

https://cloud.google.com/blog/ja/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse

https://vuldb.com/?id.209281

https://nvd.nist.gov/vuln/detail/CVE-2022-39197

CVE-2022-42948

CWE-74(インジェクション)

CVSS 9.8

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-adds-ten-known-exploited-vulnerabilities-catalog

https://cloud.google.com/blog/ja/products/identity-security/making-cobalt-strike-harder-for-threat-actors-to-abuse

https://vuldb.com/?id.223806

https://nvd.nist.gov/vuln/detail/CVE-2022-42948

CVE-2023-0266

CWE-416(解放済みメモリの使用)

CVSS 7.8

https://vuldb.com/?id.219756

https://nvd.nist.gov/vuln/detail/CVE-2023-0266

https://www.cisa.gov/news-events/alerts/2023/03/30/cisa-adds-ten-known-exploited-vulnerabilities-catalog

===================================

■■■ CISA KEV 警告 23/04/03

CISA が連邦政府機関に要請したのは、NATO 諸国を標的とした攻撃でロシアのハッカーがＥメールを盗むために悪用した、Zimbra Collaboration (ZCS) に存在する XSS (Cross-Site Scripting) の脆弱性の修正です。NATO に加盟する複数の政府のポータルへの攻撃で、Winter Vivern および TA473 として追跡されているロシアのハッキング・グループが、この脆弱性 CVE-2022-27926 を悪用して、当局／政府／軍人／外交官などのメール・ボックスに不正アクセスしていたようです。

https://iototsecnews.jp/2023/04/03/cisa-warns-of-zimbra-bug-exploited-in-attacks-against-nato-countries/

CVE-2022-27926

CWE-79(クロスサイト・スクリプティング)

CVSS 4.3

https://vuldb.com/?id.1982866

https://nvd.nist.gov/vuln/detail/CVE-2022-27926

===================================

■■■ CISA KEV 警告 23/04/07

2023年4月7日 (金) に CISA は、KEV (Known Exploited Vulnerabilities) カタログに５つの脆弱性を追加しました。そのうちの３つは Veritas Backup Exec の脆弱性であり、ランサムウェアを展開するために悪用されています。残りの２つは、Samsung の Web ブラウザを標的としたエクスプロイト・チェーンの一部としてゼロデイで悪用された脆弱性と、Microsoft Windows Certificate Dialog における権限昇格の脆弱性です。

https://iototsecnews.jp/2023/04/07/cisa-orders-agencies-to-patch-backup-exec-bugs-used-by-ransomware-gang/

CVE-2019-1388

CVSS 7.8

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1388

CVE-2021-27876, CVE-2021-27878

CWE-287(不適切な認証)

CVSS 8.1

https://vuldb.com/?id.170553

https://vuldb.com/?id.170555

https://nvd.nist.gov/vuln/detail/CVE-2021-27876

https://nvd.nist.gov/vuln/detail/CVE-2021-27878

https://www.veritas.com/content/support/en_US/security/VTS21-001#issue2

CVE-2021-27877

CWE-287(不適切な認証)

CVSS 9.8

https://vuldb.com/?id.170554

https://nvd.nist.gov/vuln/detail/CVE-2021-27877

CVE-2023-26083

CWE-401(有効期限後のメモリの解放の欠如)

CVSS 5.5

https://www.cisa.gov/news-events/alerts/2023/04/07/cisa-adds-five-known-exploited-vulnerabilities-catalogg

https://vuldb.com/?id.225160

https://nvd.nist.gov/vuln/detail/CVE-2023-26083

===================================

■■■ CISA KEV 警告 23/04/10

https://iototsecnews.jp/2023/04/10/cisa-orders-govt-agencies-to-update-iphones-macs-by-may-1st/

CVE-2023-28205, CVE-2023-28206

CWE-416(解放済みメモリの使用)、CWE-787(境界外書き込み)

CVSS 8.8

https://support.apple.com/ja-jp/HT213720

https://support.apple.com/ja-jp/HT213721

https://support.apple.com/ja-jp/HT213722

https://support.apple.com/en-us/HT213723

https://nvd.nist.gov/vuln/detail/CVE-2023-28205

https://nvd.nist.gov/vuln/detail/CVE-2023-28206

===================================

■■■ IBM Aspera Faspex

IBM のファイル転送スタック Aspera Faspex に存在する、任意のコード実行の脆弱性に対するパッチ適用が滞っていることで、ランサムウェア・ギャングなどのサイバー犯罪者の目に留まりはじめています。この深刻な脆弱性に対して、IBM がパッチをリリースしてから数ヶ月が経ちますが、脅威アクターたちにより野放し状態で悪用されていると、今週に Rapid7 の研究者たちが報告しています。先日に、Rapid7 の顧客が、この脆弱性 CVE-2022-47986 により危険にさらされたことで、研究者たちは、早急な対策が必要であると述べています。

https://iototsecnews.jp/2023/03/30/patch-now-cybercriminals-set-sights-on-critical-ibm-file-transfer-bug/

CVE-2022-47986

CWE-502(安全でないデシリアライゼーション)

CVSS 9.8

https://www.ibm.com/support/pages/node/6952319

https://nvd.nist.gov/vuln/detail/CVE-2022-47986

===================================

■■■ Microsoft Azure SFX

Azure Service Fabric Explorer (SFX) に存在する、未認証のリモートコード実行につながる脆弱性の詳細が明らかになったが、すでにパッチが適用されたようです。この脆弱性 CVE-2023-23383 (CVSS：8.2) は、2022年10月に Microsoft が修正した脆弱性 FabriXss (CVE-2022-35829 CVSS：6.2) にちなんで、Super FabriXss という名前が ORCA Security により付けられました。

https://iototsecnews.jp/2023/03/30/researchers-detail-severe-super-fabrixss-vulnerability-in-microsoft-azure-sfx/

CVE-2022-35829

CVSS 6.2

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-35829

CVE-2023-23383

CVSS 8.2

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23383

===================================

■■■ Microsoft Outlook

先日にパッチが適用された Outlook の脆弱性 CVE-2023-23397 について、Microsoft が悪用と攻撃に関するガイダンスを公開しました。Microsoft Outlook における成りすましの脆弱性から生じる、この問題は認証バイパスへとつながるものです。この脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステムに対して特別に細工した電子メールを送信することで、ユーザーの Net-NTLMv2 ハッシュに、未認証でアクセスできます。

https://iototsecnews.jp/2023/03/26/microsoft-shares-guidance-for-investigating-attacks-exploiting-cve-2023-23397/

CVE-2023-23397

CVSS 9.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-23397

https://www.cisa.gov/news-events/alerts/2023/03/14/cisa-adds-three-known-exploited-vulnerabilities-catalog

https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2023-patch-tuesday-fixes-2-zero-days-83-flaws/

===================================

■■■ Microsoft 2023-4 月例

今日は、Microsoft の April 2023 Patch Tuesday だ。新たに公表されたセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性１件を含む、合計で 97件の欠陥が修正されました。その中でも、７件の脆弱性はリモートコード実行を可能にする Critical に分類され、新たに修正された脆弱性として、最も深刻なものとなっています。

https://iototsecnews.jp/2023/04/11/microsoft-april-2023-patch-tuesday-fixes-1-zero-day-97-flaws/

CVE-2023-28252

CVSS 7.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252

CVE-2023-28285, CVE-2023-28311

CVSS 7.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28285

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28311

CVE-2023-28287, CVE-2023-28295

CVSS 7.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28287

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28295

===================================

■■■ Microsoft Windows のゼロデイ

Microsoft がパッチを適用した、Windows Common Log File System (CLFS) のゼロデイ脆弱性は、特権昇格や Nokoyawa ランサムウェアのペイロード展開などで、サイバー犯罪者たちに積極的に悪用されているものです。この、Windows のゼロデイ脆弱性 CVE-2023-28252 の悪用が続いていることを踏まえ、CISA も KEV (Known Exploited Vulnerabilities) カタログに追加し、連邦政府民間行政機関 (FCEB) に対して、5月2日までにシステムを保護するよう命じました。

https://iototsecnews.jp/2023/04/11/windows-zero-day-vulnerability-exploited-in-ransomware-attacks/

CVE-2023-28252

CVSS 7.8

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252

===================================

■■■ Microsoft OneNote

Emotet マルウェアは、悪意の OneNote ファイルを隠し持つスパムメール・キャンペーンにより、Check Point の Most Wanted Malware List ランキングを駆け上がっています。Emotet は、２月の３位から、３月の２位へと順位を上げています。このキャンペーンは、被害者を誘い、悪意の OneNote ファイルを開かせることで、マルウェアをインストールするものです。

https://iototsecnews.jp/2023/04/12/emotet-climbs-march-2023s-most-wanted-malware-list-with-onenote-campaign/

CVE-2021-44228

CWE-20(不適切な入力確認)

CVSS 10.0

https://www.jpcert.or.jp/at/2021/at210050.html

https://logging.apache.org/log4j/2.x/security.html

https://access.redhat.com/security/cve/cve-2021-44228

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

https://github.com/apache/logging-log4j2/pull/608

https://github.com/YfryTchsGD/Log4jAttackSurface

https://www.tenable.com/blog/cve-2021-44228-proof-of-concept-for-critical-apache-log4j-remote-code-execution-vulnerability

https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/