脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年7月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2023年7月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ Zyxel
Zyxel の NAS デバイスに影響を及ぼす脆弱性 CVE-2023-27992 (CVSS: 9.8) に対する、セキュリティ・アップデートがリリースされました。この脆弱性は、認証前のコマンド・インジェクションの問題です。リモートの認証されていない攻撃者が、特別に細工された HTTP リクエストを送信し、この脆弱性の悪用に成功すると、オペレーティング・システム (OS) コマンドを実行することが可能になります。なお、この脆弱性が影響を及ぼす範囲は、Zyxel NAS326 ファームウェア V5.21 (AAZF.14) C0 以前、および、NAS540 ファームウェア V5.21 (AATB.11) C0 以前、NAS542 ファームウェア V5.21 (ABAG.11) C0 以前となります。
https://iototsecnews.jp/2023/06/20/zyxel-addressed-critical-flaw-cve-2023-27992-in-nas-devices/
CVE-2023-27992
CWE-78(OSコマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-27992
CVE-2023-28771
CWE-78(OSコマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-28771
CVE-2023-33009, CVE-2023-33010
CWE-120(バッファ・オーバーフロー)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-33009
https://nvd.nist.gov/vuln/detail/CVE-2023-33010
===================================
■■■ Progress MOVEit
MOVEit 攻撃の新たな被害者5社が、Clop ランサムウェア・グループにより、ダークウェブのリークサイトに追加されました。そのうちの Schneider Electric と Siemens Energy の2社は、世界中の重要な国家インフラで利用される、産業用制御システム ICS (Industrial Control Systems) を提供するベンダーです。
CVE-2023-34362
CWE-89(SQLインジェクション)
CVSS 7.3
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
https://nvd.nist.gov/vuln/detail/CVE-2023-34362
CVE-2023-35036
CWE-89(SQLインジェクション)
CVSS 9.1
https://nvd.nist.gov/vuln/detail/CVE-2023-35036
CVE-2023-35708
CWE-285(不適切な権限付与)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-35708
===================================
■■■ Progress MOVEit Transfer
Clop ランサムウェアの最近における大規模な侵入で、主として悪用されているソフトウェアである MOVEit Transfer の、深刻な SQL インジェクション脆弱性を含む3つの脆弱性が修正されました。この SQL インジェクションの脆弱性は、特別なクエリを細工した攻撃者による、データベースへの不正アクセスやコード実行および、データベースの改ざんを可能にするものです。そして、これらの攻撃の前提条件として挙げられるのは、対象となるアプリケーションの入出力データにおける、適切なサニタイズが欠落となります。
https://iototsecnews.jp/2023/07/07/moveit-transfer-customers-warned-to-patch-new-critical-flaw/
CVE-2023-36932 CVE-2023-36934
CWE-89(SQLインジェクション)
CVSS 7.3
https://community.progress.com/s/article/MOVEit-Transfer-2020-1-Service-Pack-July-2023
https://nvd.nist.gov/vuln/detail/CVE-2023-36932
https://nvd.nist.gov/vuln/detail/CVE-2023-36934
CVE-2023-36933
CWE-841(行動ワークフローの不適切な実施)
CVSS 3.5
https://community.progress.com/s/article/MOVEit-Transfer-2020-1-Service-Pack-July-2023
https://nvd.nist.gov/vuln/detail/CVE-2023-36933
===================================
■■■ WordPress
WordPress の2つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告しています。1つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS:9.8) であり、すでに3万件以上のアクティブなインストールがあります。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているようです。
CVE-2023-2834
CWE-287(不適切な認証)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-2834
CVE-2023-2986
CWE-288(代替えパス・チャネルを用いた認証バイパス)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-2986
===================================
■■■ WordPress
miniOrange の WordPress 用 Social Login and Register プラグインに、致命的なセキュリティ上の脆弱性が存在しています。その悪意の脅威アクターは、ユーザーから提供されたメールアドレスを知っていると想定され、ログインできる可能性があることが判明しました。この認証バイパスの脆弱性 CVE-2023-2982 (CVSS:9.8) は、バージョン 7.6.4 以前の全バージョンに影響を及ぼします。この脆弱性については、2023年6月2日に適切な開示が行われた後の、2023年6月14日に修正され、バージョン 7.6.5 がリリースされました。
CVE-2023-2982
CWE-287(不適切な認証)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-2982
CVE-2023-3105
CWE-99(リソース識別子に対する不適切な制御)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-3105
CVE-2023-32960
CWE-352(クロスサイト・リクエスト・フォージェリ)
CVSS 7.1
https://nvd.nist.gov/vuln/detail/CVE-2023-32960
===================================
■■■ WordPress
WordPress プラグインである Ultimate Member に存在する、権限昇格のゼロデイ脆弱性を悪用するハッカーにより、セキュリティ・バイパスと不正な管理者アカウント登録が発生し、多くの Web サイトが侵害されています。Ultimate Member は、WordPress サイトでのサインアップやコミュニティ構築を容易にする、ユーザー・プロファイル/メンバーシップ・プラグインであり、現時点で 20万以上のアクティブ・インストールを有しています。
CVE-2023-3460
CWE-269(不適切な権限管理)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2023-3460
https://www.security-next.com/147504
===================================
■■■ VMware
VMware Aria Operations for Networks (旧 vRealize Network Insight) に存在する、コマンド・インジェクションの脆弱性 CVE-2023-20887 の悪用が検出されました。企業の管理担当者に対しては、パッチを適用してデプロイメントをアップグレードすることが推奨されています。
CVE-2023-20888
CWE-502(安全でないデシリアライゼーション)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-20888
===================================
■■■ VMware
VMware は、vCenter Server における複数の深刻なセキュリティ脆弱性に対処しました。VMware の vSphere スイートのコントロールセンターである vCenter Server は、管理者が仮想化インフラを管理/監視するのに役立つサーバ管理ソリューションです。新たに修正されたセキュリティ脆弱性は、vCenter Server で使用されている DCE/RPC プロトコルの実装で発見されたものです。このプロトコルは、仮想的な統合コンピューティング環境を構築することで、複数のシステム間でのシームレスな運用を可能にするとされています。
CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896
CVSS 8.1
https://www.vmware.com/security/advisories/VMSA-2023-0014.html
https://nvd.nist.gov/vuln/detail/CVE-2023-20892
===================================
■■■ VMware
7月10日 (月) に仮想化技術大手の VMware は、企業向けの VMware Aria Operations for Logs 製品に存在する、認証前のリモート・コード実行の脆弱性対するエクスプロイト・コードが公開されたことを警告しました。今年の4月に発表されたクリティカル・レベルのアドバイザリのアップデートで VMware は、脆弱性 CVE-2023-20864 の悪用コードが公開されていることを確認したと述べ、企業のネットワーク管理者に対して利用可能なパッチを適用すべきという、緊急性を強調していました。
CVE-2023-20864
CVSS 9.8
https://www.vmware.com/security/advisories/VMSA-2023-0007.htmll
https://www.security-next.com/145584
===================================
■■■ Apple
Apple は、iOS/iPadOS/macOS/watchOS/Safari で発見された脆弱性のうち、野放し状態で活発に悪用されている脆弱性に対処しました。具体的に言うと、先日に公開された Triangulation オペレーションでも悪用されていた、セロデイ脆弱性 CVE-2023-32434/CVE-2023-32435 です。Kaspersky の研究者たちは、Triangulation オペレーションを調査し、iOS デバイスにスパイウェアを配信するために採用された、エクスプロイト・チェーンに関する詳細を発見しました。6月の上旬に Kaspersky の研究者たちは、Triangulation という名の長期的なキャンペーンの一環として、ゼロクリックのエクスプロイトで iOS デバイスを標的にする未知の APT グループを発見しています。
CVE-2023-32434
CWE-190(整数オーバーフロー)
CVSS 7.8
https://forest.watch.impress.co.jp/docs/news/1510590.html
https://support.apple.com/ja-jp/HT213808
https://support.apple.com/ja-jp/HT213809
https://support.apple.com/ja-jp/HT213810
https://support.apple.com/ja-jp/HT213811
https://support.apple.com/ja-jp/HT213812
https://support.apple.com/ja-jp/HT213813
https://support.apple.com/ja-jp/HT213814
https://www.jpcert.or.jp/newsflash/2023062201.html
https://nvd.nist.gov/vuln/detail/CVE-2023-32434
CVE-2023-32435
https://support.apple.com/ja-jp/HT213811
https://www.jpcert.or.jp/newsflash/2023062201.html
https://forest.watch.impress.co.jp/docs/news/1510590.html
===================================
■■■ Apple
Apple が Rapid Security Response (RSR) アップデートの新ラウンドを発行したのは、完全にパッチが適用された iPhone/Mac/iPad への攻撃で悪用されている、新たなゼロデイバグに対処するためです。この、匿名のセキュリティ研究者により報告された CVE-2023-37450 の脆弱性について、iOS と macOS のアドバイザリには、「Apple は、この問題が活発に悪用されている可能性があるという報告を認識している」と記されています。
CVE-2023-37450
CVSS 6.3
https://support.apple.com/ja-jp/HT213825
https://support.apple.com/ja-jp/HT213823
https://support.apple.com/ja-jp/HT213826
https://www.jpcert.or.jp/newsflash/2023071101.html
===================================
■■■ Cisco
先日パッチが適用された、Cisco AnyConnect Secure Mobility Client および Secure Client for Windows の深刻な脆弱性を証明するために、あるセキュリティ研究者が PoC エクスプロイト・コードを公開しました。この Cisco のソフトウェアは、組織のネットワークへの安全な VPN 接続を、リモートの従業員に提供し、また、その監視機能を実現するものです。そして、脆弱性 CVE-2023-20178 (CVSS:7.8) は、このソフトウェアのクライアント・アップデート・プロセスに影響を及ぼし、低権限のローカル攻撃者に対して、アクセス権の昇格とシステム特権でのコード実行を許すものです。
https://iototsecnews.jp/2023/06/22/poc-exploit-published-for-cisco-anyconnect-secure-vulnerability/
CVE-2023-20178
CVSS 7.8
===================================
■■■ Cisco
Cisco Application Centric Infrastructure (ACI) の Multi-Site CloudSec 暗号化機能に、深刻なセキュリティ脆弱性が発見されました。この脆弱性の悪用に成功した攻撃者は、サイト間の暗号化されたトラフィックの読み取り/改ざんを行う可能性があるようです。この脆弱性 CVE-2023-20185 は、Cisco Nexus 9000 Series Fabric Switches の 14.0 以降に影響し、特にマルチサイト・トポロジーの一部で CloudSec 暗号化機能が有効になっている場合に発生します。7月5日に Cisco は、この脆弱性を公表し、影響を受けるスイッチの CloudSec 暗号化機能で使用される、実装上の問題に起因すると述べています。
https://iototsecnews.jp/2023/07/06/cisco-enterprise-switch-flaw-exposes-encrypted-traffic/
CVE-2023-20185
CVSS 7.4
===================================
■■■ Cisco
Cisco SD-WAN vManage 管理ソフトウェアには、影響を受けるインスタンスの設定における限定的な読取/書込みの権限を、認証されていないリモートの攻撃者に許してしまう脆弱性が存在しています。Cisco SD-WAN vManage はクラウドベースのソリューションであり、複数の場所に分散したネットワークの、ユーザー企業による設計/展開/管理を可能にします。vManage のインスタンスは、集中型ネットワーク管理/VPN の設定/SD-WAN オーケストレーション/デバイス設定の展開/ポリシーの適用などに使用される。
https://iototsecnews.jp/2023/07/13/cisco-sd-wan-vmanage-impacted-by-unauthenticated-rest-api-access/
CVE-2023-20214
CVSS 9.1
===================================
■■■ TP-Link
Mirai ボットネットの亜種が、D-Link/Arris/Zyxel/TP-Link/Tenda/Netgear/MediaTek などのデバイスを制御し、分散型サービス拒否 (DDoS) 攻撃を実行するために、約 20件の脆弱性を標的にしているようです。このマルウェアは、3月14日に始まり 4月と6月に急増しています。そして、この2つの進行中のキャンペーンを調査していたPalo Alto Networks Unit 42 の研究者たちにより発見されています。6月22日に発表されたレポートの中で研究者たちは、このボットネット開発者は、悪用可能な脆弱性に関するコードを追加し続けていると警告しています。
https://iototsecnews.jp/2023/06/22/mirai-botnet-targets-22-flaws-in-d-link-zyxel-netgear-devices/
CVE-2023-1389
CWE-77(コマンド・インジェクション)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-1389
===================================
■■■ Fortinet
Fortinet の Network Access Control (NAC) ソリューションである FortiNAC は、セキュリティポリシーの適用/デバイスの監視/アクセス権限の管理などにより、企業におけるネットワークへのアクセスを安全に制御するためのものです。その FortiNAC で、未認証の攻撃者が任意のコード/コマンドを実行できる深刻な脆弱性 CVE-2023-33299 (CVSS:9.6) が発見され、Fortinet によるセキュリティ・アップデートがリリースされました。
https://iototsecnews.jp/2023/06/23/fortinet-fixes-critical-fortinac-rce-install-updates-asap/
CVE-2023-33299
CWE-502(安全でないデシリアライゼーション)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-23-074
===================================
■■■ Fortinet
数十万台の FortiGate ファイアウォールに影響を及ぼすとされる、深刻な脆弱性 CVE-2023-27997 ですが、この問題に対処するアップデートを Fortinet がリリースしてから、約 1ヶ月が経過しました。この、深刻度スコア 9.8 の脆弱性は、リモートコード実行にいたるものであり、すべてのネットワーキング・コンポーネントを、Fortiner のセキュリティ・ファブリック・プラットフォームに接続する、FortiOS のヒープバッファ・オーバーフローに起因するものだと説明されています。
https://iototsecnews.jp/2023/07/03/300000-fortinet-firewalls-vulnerable-to-critical-fortios-rce-bug/
CVE-2023-27997
CWE-122(ヒープバッファ・オーバーフロー)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-23-097
https://blog.lexfo.fr/Forensics-xortigate-notice.html
===================================
■■■ Fortinet
7月11日 (火) に Fortinet は、FortiOS/FortiProxy に存在する、深刻なリモート・コード実行 (RCE) の脆弱性に対処するセキュリティ・アップデートを発表しました。この脆弱性 CVE-2023-33308 (CVSS:9.8) は、プロキシ・モードのディープ・インスペクション機能に影響をおよぼす、スタック・オーバーフローに起因すると説明されています。
CVE-2023-33308
CWE-121(スタックバッファ・オーバーフロー)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-23-183
===================================
■■■ Grafana
Grafana がリリースした、複数のバージョン向けのセキュリティ修正は、攻撃に成功した脅威アクターに対して、認証バイパスを許すという深刻なものです。具体的に言うと、認証に Azure Active Directory を使用している、すべての Grafana アカウントに乗っ取りの可能性が生じることになります。Grafanaは、広範 に使用されているインタラクティブなオープンソースの分析および可視化のアプリであり、監視のためのプラットフォームや、アプリケーション統合のオプションを提供しています。
CVE-2023-3128
CWE-290(成りすましによる認証バイパス)
CVSS 9.4
https://grafana.com/blog/2023/06/22/grafana-security-release-for-cve-2023-3128/
https://nvd.nist.gov/vuln/detail/CVE-2023-3128
===================================
■■■ Zoho ManageEngine
最近発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターですが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明しました。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡しています。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明しています。
CVE-2021-40539
CVSS 7.3
https://nvd.nist.gov/vuln/detail/CVE-2021-40539
===================================
■■■ ISC BIND
DNS ソフトウェア・スイートである BIND に存在する、3件のサービス拒否 (DoS) 脆弱性に対処するためのセキュリティ・アップデートを、ISC (Internet Systems Consortium) がリリースしました。CVE-2023-2828/CVE-2023-2829/CVE-2023-2911 として追跡されている、これらの脆弱性は、リモートから悪用可能です。ISC によると、これらの3つの脆弱性は深刻度が高く、悪用されるとデバイス・メモリの飽和や、BIND のデーモン named のクラッシュにいたる可能性があるようです。
https://iototsecnews.jp/2023/06/26/internet-systems-consortium-isc-fixed-three-dos-flaw-in-bind/
CVE-2023-2828
CWE-400(リソースの異常消費)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-2828
https://kb.isc.org/docs/cve-2023-2828
CVE-2023-2829
CWE-404(リソースの不適切な解放)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-2829
https://kb.isc.org/docs/cve-2023-2829
CVE-2023-2911
CWE-121(スタックバッファ・オーバーフロー)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-2911
https://kb.isc.org/docs/cve-2023-2911
===================================
■■■ Gentoo Soko
Gentoo Soko に存在する複数の SQL インジェクションの脆弱性が公開され、脆弱なシステム上ではリモートコード実行 (RCE) につながる可能性があると解説されています。SonarSource の研究者である Thomas Chauchefoin は、「Object-Relational Mapping (ORM) ライブラリとプリペアド・ステートメントを使用しているにもかかわらず、これらの SQL インジェクションの脆弱性は発生しています。データベースのミスコンフィグレーションにより、Soko上で RCE が発生する可能性がある」と付け加えています。
CVE-2023-28424
CWE-89(SQLインジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-28424
https://gitweb.gentoo.org/sites/soko.git/commit/?id=4fa6e4b619c0362728955b6ec56eab0e0cbf1e23
===================================
■■■ ArcServe UDP
Arcserve Unified Data Protection (UDP) エンタープライズ・データ保護ソリューションの認証バイパスの脆弱性 (CVE-2023-26258) を悪用して、管理者アカウントを侵害し、脆弱なインスタンスを乗っ取ることが可能です。この問題を発見した、MDSec の研究者である Juan Manuel Fernandez と Sean Doherty は PoC エクスプロイトも公開しています。
CVE-2023-26258
https://support.arcserve.com/s/article/KB000015720?language=ja
https://www.mdsec.co.uk/2023/06/cve-2023-26258-remote-code-execution-in-arcserve-udp-backup/
https://www.fujitsu.com/jp/products/software/partners/partners/arcserve/technical/2023-26258/
===================================
■■■ Barracuda
メール/ネットワークのセキュリティ企業である Barracuda は、無効なログイン・エラーが発生し、Email Gateway Defense アカウントにサインインできないという問題に対して、継続して修正に取り組んでいます。The link to login is invalid (ログインへのリンクが無効) エラーが表示される、サインイン問題の根本的な原因は特定されているようです。同社によると、この既知の問題は、現在の予測スケジュールに従って、来週の金曜日までに対処される予定です。
https://iototsecnews.jp/2023/07/07/barracuda-working-on-fix-for-ongoing-email-gateway-login-issues/
CVE-2023-2868
CWE-20(不適切な入力確認)
CVSS 9.4
https://nvd.nist.gov/vuln/detail/CVE-2023-2868
===================================
■■■ Citrix
7月12日に Citrix は、Ubuntu 版 Secure Access クライアントに存在する、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2023-24492 (CVSS:9.6) に対するパッチをリリースしました。Citrix のアドバイザリによると、この脆弱性の悪用においては、ユーザーによる操作が必要なようです。
CVE-2023-24492
CWE-94(コード・インジェクション)
CVSS 9.6
CVE-2023-24491
CWE-269(不適切な権限管理)
CVSS 7.8
===================================
■■■ SonicWall
7月12日に SonicWall がリリースした緊急パッチは、同社のファイアウォール管理ソフトウェアである Global Management System (GMS) /Analytics network reporting engine software suite における、複数の深刻な脆弱性に対するものです。GMS 9.3.2-SP1 以下/Analytics 2.5.0.4-R7 以下を実行している脆弱なオンプレミス・システムに対して、脅威アクターが認証を回避してアクセスする脆弱性などの、合計で 15件のセキュリティ欠陥が修正されました。
CVE-2023-34124, CVE-2023-34133, CVE-2023-34134, CVE-2023-34137
CVSS 9.8
===================================
■■■ Linux
サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているようです。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続/未承認のシステム・アクセス試行/非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見しました。
https://iototsecnews.jp/2023/07/13/fake-linux-vulnerability-exploit-drops-data-stealing-malware/
CVE-2022-34918
CWE-843(タイプ・コンフュージョン)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2022-34918
CVE-2023-35829
CWE-416(解放済みメモリの使用)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2023-35829
===================================
■■■ Juniper
7月13日に Juniper Networks が発表したソフトウェア・アップデートは、同社の Junos OS/Junos OS Evolved/Junos Space に存在する、複数の深刻度の高い脆弱性に対処するものです。Juniper が発表した 17件のアドバイザリには、約 12 件の Junos OS のセキュリティ脆弱性と、同社製品で使用されているサードパーティ製コンポーネントにおける 30 件以上もの脆弱性について詳述されています。
CVE-2021-21708, CVE-2022-31627
CVSS 9.8
===================================
■■■ WooCommerce
人気の WordPress プラグインを侵害しようとする試みが、この数日間で 100万回以上を記録したと、セキュリティ研究者たちが警告しています。Wordfence によると、この攻撃は 7月14日に始まり、週末にかけて続き、7月16日には 157,000 件のサイトに対する 130万件の攻撃というピークに達したようです。この攻撃は WooCommerce Payments プラグインの、深刻な脆弱性 CVE-2023-28121 (CVSS:9.8) を悪用するものです。
https://iototsecnews.jp/2023/07/18/woocommerce-bug-exploited-in-targeted-wordpress-attacks/
CVE-2023-28121
CWE-287(不適切な認証)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-28121
https://iototsecnews.jp/2023/07/18/new-vulnerabilities-found-in-adobe-coldfusion/
===================================
■■■ Adobe
Web 開発コンピューティング・プラットフォームである Adobe ColdFusion に、複数の脆弱性が存在することを、Rapid7 のセキュリティ研究者たちが発見しました。2023年7月11日に Adobe は、Rapid7 が発見したアクセス制御バイパスの脆弱性 CVE-2023-29298 および、任意のコード実行を可能にする安全でないデシリアライズの脆弱性 CVE-2023-29300 を含む、ColdFusion に影響を及ぼす複数の脆弱性にパッチをリリースしています。しかし、最近になって Rapid7 は、これらの脆弱性の一部が数日後も悪用されており、また、一部のパッチが不完全であることを確認しました。彼らは、7月17日にアドバイザリで調査結果を公表しました。
https://iototsecnews.jp/2023/07/18/new-vulnerabilities-found-in-adobe-coldfusion/
CVE-2023-29298, CVE-2023-29300
CWE-284(不適切なアクセス制御)、CWE-307(法外な認証攻撃に対する不適切な制約)
CVSS 9.8
https://helpx.adobe.com/security/products/coldfusion/apsb23-40.html
CVE-2023-38203
CWE-502(安全でないデシリアライゼーション)
CVSS 9.8
https://helpx.adobe.com/security/products/coldfusion/apsb23-41.html
===================================
7月18日 (火) に Google が発表したのは、外部の研究者から報告された 11件を含む、20件の脆弱性に対するパッチを適用した、Chrome 115 のステイブル・チャンルへのリリースです。外部から報告されたセキュリティ欠陥のうちの4件は、深刻度 High と評価されています。バグ報奨金をベースに考えると、それらの中で最も深刻なのは、WebRTC の use-after-free に起因する、脆弱性 CVE-2023-3727/CVE-2023-3728 です。Google によると、それぞれの研究者に対して、$7,000 の報奨金が支払われたようです。
https://iototsecnews.jp/2023/07/19/chrome-115-patches-20-vulnerabilities/
CVE-2023-3727, CVE-2023-3728, CVE-2023-3730, CVE-2023-3732
https://chromereleases.googleblog.com/2023/07/stable-channel-update-for-desktop.html
https://www.securityweek.com/chrome-115-patches-20-vulnerabilities/
===================================
■■■ GE
先日に GE がパッチを適用した、Cimplicity 製品における十数件の脆弱性は、悪名高いロシアのハッカー・グループによる ICS 攻撃を彷彿とさせるものです。7月18日 (火) に CISA は、世界中の主要組織の重要インフラ部門などで使用されている、GE の Cimplicity の HMI/SCADA 製品で見つかった脆弱性について、ユーザーに対するアドバイザリを発表しました。CISA アドバイザリには、任意のコード実行のために悪用される可能性のある、一連の欠陥に割り当てられた CVE-2023-3463 について記されています。
CVE-2023-3463
CWE-122(ヒープバッファ・オーバーフロー)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-3463
===================================
■■■ Atlassian
Atlassian Jira のプラグインである、Stagil navigation for Jira - Menus & Themes における2つのパストラバーサル脆弱性を悪用する攻撃者がいるらしいと、SANS Internet Storm Center が警告しています。このプラグインは、Atlassian のマーケット・プレイスを通じて配布され、Jira インスタンスをナビゲータ/サブメニューなどを要素で、カスタマイズすることを可能にするものです。2023年2月に公開された、脆弱性 CVE-2023-26255/CVE-2023-26256 の深刻度は High であり、プラグインのバージョン 2.0.52 で対処されています。
https://iototsecnews.jp/2023/07/19/two-jira-plugin-vulnerabilities-in-attacker-crosshairs/
CVE-2023-26255, CVE-2023-26256
CWE-22(パス・トラバーサル)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-26255
https://nvd.nist.gov/vuln/detail/CVE-2023-26256
https://www.securityweek.com/two-jira-plugin-vulnerabilities-in-attacker-crosshairs/
===================================
■■■ Microsoft
今日は Microsoft の July 2023 Patch Tuesday であり、積極的に悪用される脆弱性6件と、リモート・コード実行の脆弱性 37件を含む、132件の欠陥に対するセキュリティ更新プログラムが提供されました。37件の RCE バグが修正されましたが、Microsoft が Critical と評価したのは、そのうちの9件のみです。しかし、それらの RCE の欠陥のうちの1つは、依然としてパッチが適用されておらず、攻撃で積極的に悪用されていると、多くのサイバー・セキュリティ企業が指摘しています。
https://iototsecnews.jp/2023/07/11/microsoft-july-2023-patch-tuesday-warns-of-6-zero-days-132-flaws/
CVE-2023-32046 CVE-2023-36874
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32046
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36874
CVE-2023-32049
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32049
https://www.cisa.gov/news-events/alerts/2023/07/11/cisa-adds-five-known-vulnerabilities-catalog
CVE-2023-35311
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35311
https://www.cisa.gov/news-events/alerts/2023/07/11/cisa-adds-five-known-vulnerabilities-catalog
CVE-2023-36884
CVSS 8.3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
悪意の Office 文書を介して拡散する、LokiBot と呼ばれる巧妙なマルウェアに、Windows ユーザーたちが再び狙われています。Fortinet の Security Researcher である Cara Lin の最新アドバイザリによると、攻撃者たちは既知の脆弱性 CVE-2021-40444/CVE-2022-30190 などを悪用することで、Microsoft Office 文書内に悪意のマクロを埋め込んでいるようです。これらのマクロが実行されると、被害者のシステム上に LokiBot マルウェアがドロップされ、機密情報の収集などが行われます。
https://iototsecnews.jp/2023/07/14/lokibot-malware-targets-windows-users-in-office-document-attacks/
CVE-2021-40444
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444
https://www.jpcert.or.jp/at/2021/at210038.html
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。