脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年6月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2023年6月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ CISA KEV 警告:23/05/26
終わりのないサイバー戦争において、新たな脅威が出現しました。米国の Cybersecurity and Infrastructure Security Agency (CISA) が発した警告は、Barracuda の Email Security Gateway (ESG) アプライアンスに存在する、セキュリティ脆弱性に関するものです。この脆弱性 CVE-2023-2868 (CVSS:9.4) は、リモートの攻撃者にシステム・コマンド実行を許すため、侵入やデータ漏洩の可能性が生じるようです。
https://iototsecnews.jp/2023/05/26/cisa-adds-cve-2023-2868-vulnerability-to-kev-catalog/
CVE-2023-2868
CWE-20(不適切な入力確認)
CVSS 9.4
https://nvd.nist.gov/vuln/detail/CVE-2023-2868
===================================
■■■ CISA KEV 警告:23/06/02
CISA は、Progress MOVEit MFT (managed file transfer) ソリューションに存在し、積極的に悪用される脆弱性を、既知の悪用リストに追加し、米国連邦政府機関に対しては、6月23日までにシステムにパッチを当てるよう命じました。この深刻な脆弱性 CVE-2023-34362 は、SQL インジェクションの欠陥であり、認証されていないリモートの攻撃者に対して、MOVEit Transfer データベースへのアクセスと、任意のコード実行を許すものだとされます。
CVE-2023-34362
CWE-89(SQLインジェクション)
CVSS 7.3
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
https://nvd.nist.gov/vuln/detail/CVE-2023-34362
===================================
■■■ Microsoft Visual Studio
セキュリティ研究者たちが警告しているのは、Microsoft Visual Studio のインストーラに存在するバグにより、悪意のエクステンションを作成するサイバー攻撃者が、正規のソフトウェア・パブリッシャーを装い、アプリケーション開発者に配布する方法が生じる点です。そのような悪意のエクステンションを介して開発環境に侵入し、制御を奪い、コードを汚染させ、価値の高い知的財産を盗むことが可能になるようです。
CVE-2023-28299
CVSS 5.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28299
===================================
■■■ Microsoft Windows
Microsoft Windows の脆弱性 CVE-2023-29336 (CVSS:7.8) は、Win32k コンポーネントに存在する特権昇格の問題です。Win32k.sys は、Windows オペレーティング・システムにおけるシステム・ドライバであり、ユーザーモード・アプリケーションと Windows グラフィカル・サブシステムとの間に、インターフェイスを提供する役割を担っています。
CVE-2023-29336
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29336
===================================
■■■ Microsoft Patch Tuesday
今日は Microsoft 2023年6月の Patch Tuesday であり、リモート・コード実行の脆弱性 38件を含む、全体で 78件の不具合に対するセキュリティ更新プログラムが提供されました。 RCE のバグは 38個修正されましたが、Microsoft が Critical だと指摘したものは、サービス拒否攻撃/リモート・コード実行/権限昇格などの、6件の不具合です。
https://iototsecnews.jp/2023/06/13/microsoft-june-2023-patch-tuesday-fixes-78-flaws-38-rce-bugs/
CVE-2023-29357
CVSS 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29357
CVE-2023-32031
CVSS 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29357
===================================
■■■ Apple
Apple macOS における、すでに修正済みの脆弱性の詳細を、Microsoft が発表しました。この脆弱性が、root アクセス権を持つ脅威アクターにより悪用されると、影響を受けるデバイス上でセキュリティを回避され、任意のアクションを実行される可能性があるようです。
CVE-2023-28204 CVE-2023-32373 CVE-2023-32409
https://support.apple.com/ja-jp/HT213758
https://support.apple.com/ja-jp/HT213762
https://support.apple.com/ja-jp/HT213764
https://support.apple.com/ja-jp/HT213761
https://support.apple.com/ja-jp/HT213765
https://support.apple.com/ja-jp/HT213758
https://www.security-next.com/146242
CVE-2023-32369
CVSS 5.5
https://support.apple.com/ja-jp/HT213758
https://support.apple.com/ja-jp/HT213759
https://support.apple.com/ja-jp/HT213760
https://www.rapid7.com/db/vulnerabilities/apple-osx-libxpc-cve-2023-32369/
CVE-2023-27930
CWE-843(タイプ・コンフュージョン)
CVSS 7.5
https://support.apple.com/ja-jp/HT213757
https://support.apple.com/ja-jp/HT213764
https://support.apple.com/ja-jp/HT213761
https://support.apple.com/ja-jp/HT213758
https://www.security-next.com/146242
===================================
■■■ KeePass
パスワード管理ソフトウェアの KeePass 2.X に脆弱性が発見されました。この脆弱性の悪用に成功した攻撃者は、プログラムのメモリからマスター・パスワードをダンプすることが可能になります。脆弱性 CVE-2023-32784 は、セキュリティ研究者の Dominik Reichl により発見されたものであり、2023年6月上旬にリリースされる KeePass 2.54 で修正される予定です。5月18日に Reichl が、この脆弱性を詳述するセキュリティ・レポートを GitHub で公開しています。その中で、この脆弱性は、マスター・パスワードがキーボードで入力された場合にのみ悪用され、クリップボードからコピーされた場合には悪用されないことも明らかにされました。
https://iototsecnews.jp/2023/05/19/keepass-flaw-exposes-master-passwords/
CVE-2023-32784
CWE-311(機密データに対する暗号化の欠如)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-32784
===================================
■■■ Zyxel
先日に修正された、Zyxel ファイアウォールに存在するコマンド・インジェクションの脆弱性 CVE-2023-28771 が、近い将来において野放し状態で悪用される可能性があると、Rapid7 の研究者たちが警告を発しています。彼らは、この脆弱性をトリガーして、リバース root シェルへといたる、PoC スクリプトも公開しています。
CVE-2023-28771
CWE-78(OSコマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-28771
===================================
■■■ OAuth
APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようです。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームです。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているようです。
CVE-2023-28131
CWE-601(信頼できないサイトへ向けたリダイレクション)
CVSS 9.6
https://nvd.nist.gov/vuln/detail/CVE-2023-28131
===================================
■■■ GitLab
GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS:10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされました。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有しています。
https://iototsecnews.jp/2023/05/24/gitlab-strongly-recommends-patching-max-severity-flaw-asap/
CVE-2023-2825
CVSS 10.0
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
===================================
■■■ D-Link
D-Link は、D-View 8 における2つの深刻な脆弱性 (CVSS:9.8) を修正しました。これらの脆弱性は、悪用に成功した攻撃者に対して、認証なしでリモート・コード実行を許すものです。D-View は、ネットワーク管理スイートであり、パフォーマンスの監視やデバイスの設定を行い、効率的にネットワークを管理するためのツールです。これらの脆弱性は、2022年12月23日に Trend Micro の Zero Day Initiative (ZDI) を通じて、D-Link に報告されました。
CVE-2023-32165
CWE-22(パス・トラバーサル)
CVSS 9.8
https://www.zerodayinitiative.com/advisories/ZDI-23-716/
CVE-2023-32169
CWE-321(暗号化鍵ハードコーディング)
CVSS 9.8
https://www.zerodayinitiative.com/advisories/ZDI-23-714/
===================================
■■■ Buhti ランサムウェア
Buhti と命名された新しいランサムウェア・オペレーションが、LockBit/Babuk ランサムウェア・ファミリーの流出コードを使用して、Windows/Linux システムを狙っています。Blacktail として追跡されている Buhti の背後にいる脅威アクターは、独自にランサムウェアを開発せずに、double-extortion として知られるカスタムデータ流出ユーティリティを使用して被害者を脅迫しています。2023年2月に Palo Alto Networks の Unit 42 チームにより、野放し状態で活動している Buhti が発見されたが、Goland ベースのランサムウェアであり、Linux を標的としていることが確認されています。
https://iototsecnews.jp/2023/05/25/new-buhti-ransomware-gang-uses-leaked-windows-linux-encryptors/
CVE-2022-47986
CVSS 9.8
CWE-502(安全でないデシリアライゼーション)
https://www.ibm.com/support/pages/node/6952319
https://nvd.nist.gov/vuln/detail/CVE-2022-47986
CVE-2023-27350
CWE-284(不適切なアクセス制御)
https://www.huntress.com/blog/critical-vulnerabilities-in-papercut-print-management-software
https://nvd.nist.gov/vuln/detail/CVE-2023-27350
https://www.zerodayinitiative.com/advisories/ZDI-23-233/
===================================
■■■ Mirai ボットネット
Mirai ボットネットの亜種が、最近にパッチがリリースされた脆弱性 CVE-2023-28771 を悪用して、Zyxel ファイアウォールを大量にハッキングしています。4月25日の時点で Zyxel は、影響を受ける ATP/VPN/USG Flex/ZyWALL/USG/ファイアウォールに対してパッチをリリースし、このセキュリティ脆弱性について顧客に通知を行っています。
https://iototsecnews.jp/2023/05/26/zyxel-firewalls-hacked-by-mirai-botnet/
CVE-2023-28771
CWE-78(OSコマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-28771
===================================
■■■ Python ReportLab PDF Lib
HTML 入力から PDF ファイルを生成するために、数多くのプロジェクトで使用されている人気の Python ライブラリ ReportLab Toolkit に存在しています。リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイトが公開されました。昨日に GitHub で公開された、脆弱性 CVE-2023-33733 の PoC エクスプロイトには、技術的な詳細を提供する記事も含まれるため、現実世界における悪用の可能性が高くなります。ReportLab Toolkit は、PDF ライブラリとして複数のプロジェクトで利用されており、PyPI (Python Package Index) において、月間約 350万のペースでダウンロードされています。
https://iototsecnews.jp/2023/05/31/exploit-released-for-rce-flaw-in-popular-reportlab-pdf-library/
CVE-2023-33733
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2023-33733
https://github.com/c53elyas/CVE-2023-33733
===================================
■■■ MOVEit Transfer
ルイジアナ州とオレゴン州が警告を発したのは、MOVEit Transfer MFT (Managed File Transfer) セキュリティファイル転送システムをハッキングしたランサムウェア・ギャングが、数百万の運転免許証がデータなどを含むデータを窃取し、流出させたインシデントに関するものです。これらの攻撃は、ゼロデイ脆弱性 CVE-2023-34362 を悪用して、5月27日に MOVEit Transfer サーバに対する世界的なハッキングを開始した、Clop ランサムウェア・オペレーションによるものです。一連の攻撃により、世界中で流出したデータが広く公開され、企業/政府/自治体などに影響が及んでいます。
https://iototsecnews.jp/2023/06/12/exploit-released-for-moveit-rce-bug-used-in-data-theft-attacks/
https://iototsecnews.jp/2023/06/16/millions-of-oregon-louisiana-state-ids-stolen-in-moveit-breach/
CVE-2023-34362
CWE-89(SQLインジェクション)
CVSS 7.3
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
https://nvd.nist.gov/vuln/detail/CVE-2023-34362
CVE-2023-35036
CWE-89(SQLインジェクション)
CVSS 9.1
https://nvd.nist.gov/vuln/detail/CVE-2023-35036
===================================
6月5日 (月) に Google は、2023年に入ってから Chrome で見つかった、3つ目のゼロデイ脆弱性に対してパッチを当てるセキュリティアップデートを公開しました。Google によると、Chrome の最新バージョン 114 では、V8 JavaScript エンジンに影響をおよぼす、タイプ・コンフュージョンの脆弱性 CVE-2023-3079 などの、2件の欠陥を修正したとのことです。同社は、この脆弱性は 6月1日に発見され、野放し状態で悪用されていると指摘しましたが、攻撃に関する情報は一切共有していません。
https://iototsecnews.jp/2023/06/06/google-patches-third-chrome-zero-day-of-2023/
CVE-2023-307
CWE-843(タイプ・コンフュージョン)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-3079
===================================
■■■ VMware
6月7日に、VMware Aria Operations for Networks における複数の深刻な脆弱性に対処するための、セキュリティ・パッチがリリースされました。これらの脆弱性の悪用に成功した攻撃者は、リモート・コード実行や機密情報へのアクセスが可能になります。このネットワーク可視化/分析ツールは、管理者によるネットワーク・パフォーマンスの最適化や、各種の VMware/Kubernetes 展開の管理/拡張などを可能にするものであり、以前は vRealize Network Insight (vRNI) として知られていました。
CVE-2023-20887, CVE-2023-20889
CWE-77(コマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-20887
https://nvd.nist.gov/vuln/detail/CVE-2023-20889
CVE-2023-20888
CWE-502(安全でないデシリアライゼーション)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-20888
===================================
■■■ Cisco
Cisco Secure Client (旧 AnyConnect Secure Mobility Client) で発見された、深刻な脆弱性 CVE-2023-20178 (CVSS:7.8) が修正されました。この脆弱性が、低特権の認証済みのローカル攻撃者に悪用されると、SYSTEM アカウントへの権限昇格を許すことになります。Cisco のアドバイザリには、「Cisco AnyConnect Secure Mobility Client Software for Windows および Cisco Secure Client Software for Windows のクライアント・アップデート機能に存在する脆弱性により、低特権の認証されたローカル攻撃者が、SYSTEM の特権に昇格する可能性がある」と記されています。
https://iototsecnews.jp/2023/06/08/cisco-fixes-privilege-escalation-bug-in-cisco-secure-client/
CVE-2023-20178
CVSS 7.8
===================================
■■■ Fortinet
先週パッチが適用された FortiOS SSL VPN の深刻な脆弱性ですが、政府機関/製造業/重要インフラ組織に影響を与える攻撃において、悪用された可能性があると、Fortinet が発表しました。この脆弱性 CVE-2023-27997 (FG-IR-23-097) は、FortiOS および FortiProxy SSL-VPN におけるヒープバッファ・オーバーフローに起因し、悪意を持って細工されたリクエストを介して、認証されていない攻撃者にリモートコード実行 (RCE) を許すものです。
https://iototsecnews.jp/2023/06/12/fortinet-new-fortios-rce-bug-may-have-been-exploited-in-attacks/
CVE-2023-27997
CWE-122(ヒープバッファ・オーバーフロー)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-23-097
===================================
■■■ GeoServer
地理空間データの閲覧/編集を可能にする、Javaで書かれたオープンソース・ソフトウェア GeoServer に、新たなセキュリティ脆弱性が発生しました。このソフトウェアは、Open Geospatial Consortium (OGC) が定めたオープン・スタンダードに準拠しており、柔軟な地図の作成やデータ共有のための有力なプラットフォームとなっています。しかし、そのための強固なサーバーが、攻撃を受け続けています。
CVE-2023-35042
CVSS 6.3
https://nvd.nist.gov/vuln/detail/CVE-2023-35042
===================================
■■■ Wordpress
WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見されました。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになります。WooCommerce Stripe Payment は、WordPress のEコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがあります。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa/MasterCard/American Express/Apple Pay/Google Pay などによる決済が可能になります。
https://iototsecnews.jp/2023/06/13/wordpress-stripe-payment-plugin-bug-leaks-customer-order-details/
CVE-2023-34000
CWE-639(ユーザ制御のキーによる認証回避)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-34000
===================================
■■■ Barracuda
Mandiant が UNC4841 として追跡している親中派ハッカー・グループへの疑いが、Barracuda ESG (Email Security Gateway) アプライアンス上の、パッチ適用済みゼロデイ脆弱性を悪用する、データ窃取攻撃と関連していることが判明しました。この脅威アクターは、2022年10月10日頃から、Barracuda の添付ファイル・スキャン・モジュールに存在する、ゼロデイ・リモート・コマンド・インジェクション脆弱性 CVE-2023-2868 を悪用し始めました。5月19日に、この欠陥を発見した Barracuda は、脆弱性が悪用されていることを直ちに公表し、CISA は米国連邦政府機関に対して、セキュリティ更新プログラムを適用するよう警告を発しました。
CVE-2023-2868
CWE-20(不適切な入力確認)
CVSS 9.4
https://nvd.nist.gov/vuln/detail/CVE-2023-2868
===================================
■■■ Western Digital
Western Digital は、同社の My Cloud シリーズ・ユーザーに対して、最新ファームウェア Ver 5.26.202 へのアップグレードが行われない場合は、2023年6月15日からクラウド・サービスに接続できなくなると警告しています。このストレージ・メーカーは、未認証の脅威アクターにリモート・コード実行を許す脆弱性に対して、最新のファームウェアで対応したことで、ユーザーをサイバー攻撃から保護するために抜本的な対策をとるという判断を下しました。
https://iototsecnews.jp/2023/06/16/western-digital-boots-outdated-nas-devices-off-of-my-cloud/
CVE-2022-29840
CWE-918(サーバサイド・リクエスト・フォージェリ)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2022-29840
CVE-2022-36326
CWE-400(リソースの異常消費)
CVSS 4.4
CVE-2022-36327
CWE-22(パス・トラバーサル)
CVSS 4.7
CVE-2022-36328
CWE-22(パス・トラバーサル)
CVSS 2.2
===================================
■■■ ASUS
ASUS が公開したのは、複数のルーター・モデルの脆弱性に対応しました。累積的なセキュリティ更新プログラムを含む新しいファームウェアであり、直ちに各デバイスをアップデートするよう警告しています。また、何らかの事情でアップデートが不可能な場合には、安全が確保されるまで WAN アクセスを制限するよう顧客に推奨しています。同社の説明によると、今回リリースされたファームウェアには、Critical および High と評価されるものを含む、9件の脆弱性に対する修正が含まれているとのことです。
https://iototsecnews.jp/2023/06/19/asus-urges-customers-to-patch-critical-router-vulnerabilities/
CVE-2018-1160
CVSS 6.3
https://www.debian.org/security/2018/dsa-4355
CVE-2022-26376
CWE-119(バッファ・エラー)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-26376
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。