脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年8月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2023年8月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ Redis
7月11日にセキュリティ研究者たちは、インターネットに公開された Windows/Linux 上で動作する Redis インスタンスを標的とする、自己拡散機能を備えた新しい P2P マルウェアを発見しました。Lua サンドボックス・エスケープの脆弱性 CVE-2022-0543 が放置されている Redis サーバに、この Rust ベースのワーム (P2PInfect と命名) が侵入することも、Unit 42 の研究者たちは発見しました。この2週間において、インターネットに公開された 307,000 台以上の Redis サーバが発見されていますが、P2PInfect の攻撃に対して潜在的に脆弱なのは 934 インスタンスに過ぎないと、研究者たちは述べています。
CVE-2022-0543
CWE-265(不適切な権限)
CVSS 6.3
https://nvd.nist.gov/vuln/detail/CVE-2022-0543
===================================
■■■ Zyxel
Zyxelファイアウォールで発見された深刻な脆弱性が、分散型サービス拒否 (DDoS) ボットネットに積極的に悪用されています。Fortinet のセキュリティ研究者たちが特定した、この脆弱性 CVE-2023-28771 は Linux プラットフォームに影響を及ぼすものです。この脆弱性の悪用に成功したリモートの攻撃者は、脆弱性のあるシステムを不正に制御し、DDoS 攻撃を行うことが可能になります。
https://iototsecnews.jp/2023/07/20/zyxel-vulnerability-exploited-by-ddos-botnets-on-linux-systems/
CVE-2023-28771
CWE-78(OSコマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-28771
===================================
■■■ Apache OpenMeetings
Web 会議ソリューションである Apache OpenMeetings に、複数のセキュリティ上の脆弱性が存在することが明らかになりました。その悪用に成功した攻撃者により、管理者アカウントの制御を奪取され、サーバ上で悪意のコードを実行される可能性があるようです。Sonar の Vulnerability Researcher である Stefan Schiller は、「攻撃者は、アプリケーションを想定外の状態に追い込み、管理者アカウントなどの、各種のユーザー・アカウントを乗っ取ることができる」と、The Hacker News と共有したレポートの中で述べています。
CVE-2023-28936
CWE-697(不正確な比較)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2023-28936
CVE-2023-29032
CWE-287(不適切な認証)
CVSS 5.0
https://nvd.nist.gov/vuln/detail/CVE-2023-29032
CVE-2023-29246
CWE-20(不適切な入力確認)
CVSS 4.3
https://nvd.nist.gov/vuln/detail/CVE-2023-29246
===================================
■■■ Citrix
CISA の 7月20日の発表によると、先日に公表された Citrix のゼロデイ脆弱性CVE-2023-3519 が、重要インフラ組織への攻撃に悪用されているようです。CISA は、この攻撃が既知の脅威アクターによるものとは断定していません。そして CISA は、標的となった重要インフラ組織で確認された TTPs (Tactics, Techniques, and Procedures) を、潜在的な攻撃を検知する際に有効な情報として共有しています。これまでにも Citrix の脆弱性は、金銭的な動機に基づくサイバー犯罪者および、国家に支援される中国などの脅威アクターといった、双方の敵対者により悪用されてきました。
CVE-2023-3466, CVE-2023-3467, CVE-2023-3519
CWE-20(不適切な入力確認)
CVSS 9.8
https://www.jpcert.or.jp/at/2023/at230013.html
===================================
■■■ Progress
NCC Group の Global Threat Intelligence Team の分析によると、6月のランサムウェア攻撃は前年同月比 221%増の 434件となり、過去最高を記録したことが判明しました。この増加の要因として挙げられるのは、MOVEit の脆弱性を悪用する Clop によるグローバル組織への攻撃、および、Lockbit 3.0 などのグループによる一貫したハイレベルの活動、そして5月以降に登場した新たなグループだと、同社は主張しています。
https://iototsecnews.jp/2023/07/21/clop-drives-record-ransomware-activity-in-june/
CVE-2023-34362
CWE-89(SQLインジェクション)
CVSS 9.8
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
https://nvd.nist.gov/vuln/detail/CVE-2023-34362
===================================
■■■ OpenBSD OpenSSH
Qualys Threat Research Unit (TRU) の研究者たちが、OpenSSH の forwarded ssh-agent に存在するリモートコード実行の脆弱性を発見しました。OpenSSH (Open Secure Shell) は、ネットワーク上で安全な暗号化通信を提供する、オープンソースのツール/ユーティリティのセットです。つまり、SSH (Secure Shell) プロトコルの実装として広く使われており、インターネットなどの安全でないネットワーク上で、他のコンピューターやサーバとの安全なリモート接続を、ユーザーは確立できることになります。
CVE-2023-25136
CWE-415(メモリの二重解放)
5.6
https://nvd.nist.gov/vuln/detail/CVE-2023-25136
CVE-2023-38408
CVSS 7.3
https://www.openssh.com/releasenotes.html#9.3p2
https://nvd.nist.gov/vuln/detail/CVE-2023-38408
https://securityaffairs.com/148770/hacking/openssh-critical-flaw.html
https://access.redhat.com/security/cve/cve-2023-38408
===================================
■■■ Atlassian
Atlassian は、Confluence Data Center/Server に存在する2つの RCE 脆弱性、および、Bamboo Data Center の脆弱性に対するパッチをリリースしました。これらの脆弱性のうち、最も深刻なものは CVE-2023-22508 (CVSS:8.5) であり、Confluence 7.4.0 に影響を及ぼす。2つ目の脆弱性 CVE-2023-22505 (CVSS:8.0) は、Confluence 8.0.0 に影響を及ぼすものです。これらの脆弱性の悪用に成功した攻撃者は、機密性/完全性/可用性に影響を与える任意のコードを実行する可能性があります。その悪用にはユーザーとのインタラクションは不要ですが、攻撃者は有効なユーザーとして認証される必要があります。
CVE-2023-22505
CVE-2023-22506
CVE-2023-22508
CVSS 8.5
https://confluence.atlassian.com/security/security-bulletin-july-18-2023-1251417643.html
https://jira.atlassian.com/browse/CONFSERVER-88221
===================================
■■■ Atera
リモート監視/管理ソフトウェアである Atera の Windows インストーラーに、権限昇格のゼロデイ脆弱性が発見されました。これらの脆弱性は、2023年2月28日に Mandiant により発見され、CVE-2023-26077/CVE-2023-26078 として追跡されており、Atera が 2023年4月17日にリリースした 1.8.3.7 と、2023年6月26日にリリースした 1.8.4.9 で、それぞれが修正されています。
CVE-2023-26077
CWE-377(不適切なテンポラリ・ファイル操作)
CVSS 5.5
CVE-2023-26078
CVSS 5.3
https://nvd.nist.gov/vuln/detail/cve-2023-26077
https://thehackernews.com/2023/07/critical-zero-days-in-atera-windows.html
===================================
■■■ Ivanti
7月23日に、米国の IT ソフトウェア企業である Ivanti は、同社のモバイル・デバイス管理ソフトウェアである Endpoint Manager Mobile (EPMM/旧 MobileIron Core) のゼロデイ脆弱性にパッチを適用しました。この、リモート認証を必要としない API アクセスの脆弱性は、CVE-2023-35078 として追跡されています。そしてパッチ適用は、EPM 11.8.1.1/11.9.1.1/11.10.0.2 で対処されています。なお、11.7.0.0/11.5.0.0 を含む、11.8.1.0 以下の未サポート/サポート終了のバージョンも対象となります。
https://iototsecnews.jp/2023/07/24/ivanti-patches-mobileiron-zero-day-bug-exploited-in-attacks/
CVE-2023-35078
CWE-287(不適切な認証)
CVSS 10.0
https://www.ivanti.com/blog/cve-2023-35078-new-ivanti-epmm-vulnerability
https://www.security-next.com/148111
https://nvd.nist.gov/vuln/detail/CVE-2023-35078
CVE-2023-32560
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-32560
CVE-2023-32561
CWE-287(不適切な認証)
CVSS 7.1
https://nvd.nist.gov/vuln/detail/CVE-2023-32561
https://forums.ivanti.com/s/article/Avalanche-Vulnerabilities-Addressed-in-6-4-1?language=en_US
CVE-2023-32566
CVSS 9.1
https://nvd.nist.gov/vuln/detail/CVE-2023-32566
===================================
■■■ Apple
7月24日に Apple は、同社の主力プラットフォームである iOS/macOS/iPadOS に対して、大規模なセキュリティ・アップデートを行ないました。今回のアップデートには、iOS/macOS におけるコード実行の深刻な脆弱性に対するパッチも含まれています。また、Apple によると、iOS/iPadOS/macOS 搭載デバイスに影響する、カーネルの脆弱性 CVE-2023-38606 は、iOS 15.7.1 以下において、すでに活発に悪用されていたようです。
CVE-2023-38606
CVSS 5.5
https://support.apple.com/en-us/HT213841
https://support.apple.com/ja-jp/HT213842
https://support.apple.com/ja-jp/HT213848
https://support.apple.com/ja-jp/HT213846
https://support.apple.com/ja-jp/HT213845
https://support.apple.com/ja-jp/HT213844
https://support.apple.com/ja-jp/HT213843
https://nvd.nist.gov/vuln/detail/CVE-2023-38606
===================================
■■■ VMware
VMware の Tanzu Application Service for VMs (TAS for VMs) および Isolation Segment に存在する、情報漏えいの脆弱性が修正されました。TAS for VMは、オンプレミス/パブリック/プライベート・クラウド (vSphere/AWS/Azure/GCP/OpenStack など) にまたがるアプリケーションを、ユーザー企業がデプロイする際の自動化を促進するものです。この脆弱性 CVE-2023-20891 は、7月25日に Vmware が対処したものであり、パッチを適用していないシステムにおいて、Cloud Foundry API の管理者認証情報に対して、低権限のリモート攻撃者によるアクセスを許すものとなっています。
https://iototsecnews.jp/2023/07/25/vmware-fixes-bug-exposing-cf-api-admin-credentials-in-audit-logs/
CVE-2023-20891
CVSS 6.5
https://www.vmware.com/security/advisories/VMSA-2023-0016.html
===================================
■■■ MikroTik
MikroTik RouterOS に深刻な権限昇格の脆弱性が発見されました。この脆弱性の悪用に成功した攻撃者が、リモートで任意のコードを実行し、脆弱なデバイスを完全に制御する可能性があります。VulnCheck は 7月25日のレポートで、この脆弱性 CVE-2023-30799 (CVSS:9.1) により、合計で約 140万台の RouterOS システムが、Web/Winbox インターフェイスを介して悪用の危険にさらされると明らかにしました。
CVE-2023-30799
CWE-269(不適切な権限管理)
CVSS 9.1
https://nvd.nist.gov/vuln/detail/CVE-2023-30799
https://vulncheck.com/advisories/mikrotik-foisted
===================================
■■■ Ubuntu
先日に、Ubuntu カーネルに取り込まれてしまった2つの Linux 脆弱性により、権限のないローカル・ユーザーによる昇格昇格が、発生する可能性が生じています。Ubuntu は、最も広く利用されている Linux ディストリビューションの1つであり、特に米国では人気が高く、約 4000万人以上のユーザーを抱えています。Wiz の研究者である S. Tzadik と S. Tamari により発見された、脆弱性 CVE-2023-32629/CVE-2023-2640 が、このオペレーティング・システムに取り込まれてしまったことで、Ubuntu のユーザー・ベースの約 40% に影響が生じています。
CVE-2023-2640 CVE-2023-32629
CVSS 7.8
https://ubuntu.com/security/notices/USN-6247-1
https://ubuntu.com/security/notices/USN-6248-1
https://ubuntu.com/security/notices/USN-6249-1
https://ubuntu.com/security/notices/USN-6246-1
https://ubuntu.com/security/notices/USN-6250-1
https://nvd.nist.gov/vuln/detail/CVE-2023-32629
https://nvd.nist.gov/vuln/detail/CVE-2023-2640
===================================
■■■ WordPress
WordPress で人気のフォーム作成プラグイン Ninja Forms には、攻撃者に特権への昇格を許し、ユーザー・データ窃取へといたる、3つの脆弱性が存在しています。2023年6月22日に Patchstack の研究者たちは、この3つの脆弱性を発見し、プラグインの開発元である Saturday Drive に情報を公開しました。そして、2023年7月4日に、Saturday Drive はバージョン 3.6.26 をリリースし、脆弱性を修正しました。しかし、WordPress.org の統計によると、Ninja Forms の最新リリースをダウンロードしたのは、すべてのユーザーの約半数に過ぎず、約 40万件のサイトに攻撃の可能性が残されているようです。
CVE-2023-37979
CWE-79(クロスサイト・スクリプティング)
CVSS 7.1
https://nvd.nist.gov/vuln/detail/CVE-2023-37979
CVE-2023-38386 CVE-2023-38393
CWE-862(権限の喪失)
CVSS 6.3
===================================
■■■ Zimbra
Zimbra Collaboration Suite (ZCS) メール・サーバを標的とする攻撃で悪用された、ゼロデイ脆弱性を修正するセキュリティ・アップデートが、最初の情報公開から2週間後にリリースされました。この、脆弱性 CVE-2023-38750 は、Google Threat Analysis Group のセキュリティ研究者である Clement Lecigne により発見された反射型 XSS (Cross-Site Scripting) です。XSS 攻撃は深刻な脅威であり、その悪用に成功した脅威アクターは、脆弱なシステム上での機密情報の窃取や、悪意のコード実行を可能にしています。
https://iototsecnews.jp/2023/07/27/zimbra-patches-zero-day-vulnerability-exploited-in-xss-attacks/
CVE-2023-38750
https://wiki.zimbra.com/wiki/Security_Center
https://nvd.nist.gov/vuln/detail/CVE-2023-0464
CVE-2022-24682
CWE-74(インジェクション)
CVSS 6.1
https://nvd.nist.gov/vuln/detail/CVE-2022-24682
CVE-2022-27926
CWE-79(クロスサイト・スクリプティング)
CVSS 6.1
https://nvd.nist.gov/vuln/detail/CVE-2022-27926
===================================
■■■ AMD
AWS 環境の 62% パーセントが、新たに文書化された AMD Zen 2 プロセッサの、Zenbleed 情報漏洩脆弱性にさらされている可能性があると、クラウド・セキュリティ企業 Wiz の研究者たちが報告しています。7月23日 (水) に投稿されたリサーチ・ノートにおいて、AWS 環境の 60% 以上が Zen 2 CPU を搭載した EC2 インスタンスを実行しているため、use-after-free メモリ破損バグの影響を受ける可能性があると、Wiz は算出しています。
https://iototsecnews.jp/2023/07/27/wiz-says-62-of-aws-environments-exposed-to-zenbleed-exploitation/
CVE-2023-20583
CWE-203(誤った情報の提供)
CVSS 4.7
https://nvd.nist.gov/vuln/detail/CVE-2023-20583
CVE-2023-20593
CWE-416(解放済みメモリの使用)
CVSS 3.3
https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html
https://nvd.nist.gov/vuln/detail/CVE-2023-20593
===================================
■■■ Barracuda
Barracuda ESG (Email Security Gateway) アプライアンスの、すでにパッチが適用されているゼロデイバグを悪用する、Submarine と呼ばれる新しいマルウェアが、連邦政府機関のネットワーク上にバックドアに仕掛けていると、CISA が警告しています。2023年5月に検出された一連のデータ盗難攻撃で、親中国派と見られるハッカー・グループ UNC4841 が、バックドアを展開していたことが確認されました。そして、同グループは、遅くとも 2022年10月から活動していたようです。
CVE-2023-2868
CWE-20(不適切な入力確認)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-2868
===================================
■■■ Metabase
人気の BI データ可視化ソフトウェア・パッケージである Metabase のユーザーは、新たに発見された深刻なリモートコード実行の脆弱性を修正するために、最新バージョンへとアップデートするよう勧告されています。その悪用に関しては、認証が不要だとされる。この脆弱性 CVE-2023-38646 は、OpenSource Edition の Ver 0.46.6.1 以前および、Enterprise Edition の Ver 1.46.6.1 以前に存在しています。
CVE-2023-37470
CVSS 10.0
https://github.com/metabase/metabase/releases
https://github.com/metabase/metabase/security/advisories/GHSA-p7w3-9m58-rq83
http://blog.nsfocus.net/metabasecve-2023-37470/
CVE-2023-38646
CVSS 9.8
https://thehackernews.com/2023/07/major-security-flaw-discovered-in.html
https://nvd.nist.gov/vuln/detail/CVE-2023-38646
https://www.metabase.com/blog/security-advisory
===================================
■■■ Spring
Spring Security の最新バージョンに、新たな脆弱性 CVE-2023-34034 (CVSS:9.8) が見つかった。Spring Security は Java ベースの Spring フレームワークの不可欠なパートであり、強固な認証とアクセス制御に対応しています。その幅広いユーザー・ベースにより、このセキュリティ上の脆弱性が悪用されると、壊滅的な結果につながる可能性が生じます。
CVE-2023-34034
CWE-284(不適切なアクセス制御)
CVSS 9.1
https://nvd.nist.gov/vuln/detail/CVE-2023-34034
https://spring.io/security/cve-2023-34034
===================================
■■■ Intel
サイバー・セキュリティ研究者たちが、最新の CPU からの機密データ漏えいに悪用される可能性のある、3件のつのサイドチャネル攻撃の詳細を公開しました。それらの新たな手法は、Collide+Power (CVE-2023-20583)/Downfall (CVE-2022-40982)/Inception(CVE-2023-20569) として追跡されています。先日には、Zenbleed (CVE-2023-20593) として知られる、AMD Zen 2 アーキテクチャー・ベースのプロセッサーに影響を与える、別のセキュリティ脆弱性の公開に続くものです。
CVE-2022-40982
CVSS 6.5
CVE-2022-44611
CVSS 7.2
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00828.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00813.html
===================================
■■■ CODESYS
CODESYS V3 SDK (Software Development Kit) に存在する、16件の深刻なセキュリティ脆弱性が公開されました。これらの脆弱性が悪用されると、特定の条件下でのリモート・コード実行やサービス拒否が引き起こされ、OT 環境にリスクをもたらす可能性が生じます。これらの脆弱性は CoDe16 と命名され、CVE-2022-47378?CVE-2022-47393 (CVSS:7.5~8.8) として追跡されています。このうちの 12件は、バッファ・オーバーフローの脆弱性に分類されています。
CVE-2022-47378
CVSS 8.8
===================================
■■■ Python
Python の URL 解析関数に、深刻な脆弱性 CVE-2023-24329 が発見されました。その悪用に成功した攻撃者は、ブロック・リストを介して実装された、ドメインやプロトコルのフィルタリング方法のバイパスが可能になるようです。そして、最終的には、任意のファイルの読み取りや、コマンドの実行を引き起こすことになると判明しました。
CVE-2023-24329
CVSS 5.6
https://nvd.nist.gov/vuln/detail/CVE-2023-24329
===================================
■■■ Magento
Adobe の Magento 2 ソフトウェアを使用する E コマース・サイトが、遅くとも 2023年1月以降に発生しているキャンペーンで、継続的に標的とされています。この、Akamai により Xurum と名付けられた攻撃は、Adobe Commerce および Magento Open Source の、すでにパッチ適用されている深刻な脆弱性 CVE-2022-24086 (CVSS:9.8) を利用するものであり、その悪用に成功した攻撃者は、任意のコード実行を可能にするようです。この攻撃者は、過去 10 日間に Magento ストアで行われた、注文の支払い統計に興味を持っているようです。
CVE-2022-24086
CWE-20(不適切な入力確認)
CVSS 9.8
https://helpx.adobe.com/security/products/magento/apsb22-12.html
===================================
■■■ VPN 製品群
世の中に出回っている大半の VPN 製品に影響を及ぼす複数の脆弱性が、攻撃者に悪用されていることが、研究者たちにより発見されました。その悪用に成功した攻撃者たちにより、トラフィック盗聴/情報窃取/デバイス攻撃などが行われる可能性があるようです。ニューヨーク大学の Nian Xue と、ニューヨーク大学アブダビ校の Yashaswi Malla/Zihang Xia/Christina Popper、そして、KU ルーヴェン大学の Mathy Vanhoef は、「私たちが検証した攻撃方式では、コンピューティング・コストが掛からないため、適切なネットワーク・アクセスさえあれば誰もが実行可能であり、それぞれの環境で用いられている VPN プロトコルには非依存である」と主張しています。
CVE-2023-35838
CWE-404(リソースの不適切な解放)
CVSS 5.7
https://nvd.nist.gov/vuln/detail/CVE-2023-35838
CVE-2023-36671
CWE-319(機密情報の平文による転送)
CVSS 6.3
https://nvd.nist.gov/vuln/detail/CVE-2023-36671
CVE-2023-36672, CVE-2023-36673
CWE-284(不適切なアクセス制御)
CVSS 5.5
===================================
■■■ Iagona
ATM 監視ソフトウェアである ScrutisWeb に、複数の脆弱性 (CVE-2023-33871/CVE-2023-38257/CVE-2023-35763/CVE-2023-35189) が、Synack Red Team の研究者たちにより発見されました。これらの脆弱性の悪用に成功した攻撃者が、ATM をリモートでハッキングする可能性があります。Lagona が開発した ScrutisWeb は、ATM のリモート管理を可能にするソリューションであり、デバイスへのファイルの送受信/データの編集/デバイスの再起動/端末のシャットダウンなどの操作を実行できます。
CVE-2023-33871
CWE-36(絶対パス・トラバーサル)
CVSS 7.5
CVE-2023-38257
CWE-639(ユーザ制御のキーによる認証回避)
CVSS 7.5
CVE-2023-35763
CWE-321(暗号化鍵ハードコーディング)
CVSS 5.5
CVE-2023-35189
CWE-434(危険なタイプのファイルの無制限アップロード)
CVSS 10.0
https://jvn.jp/vu/JVNVU98433240/
https://www.cisa.gov/news-events/ics-advisories/icsa-23-199-03
https://nvd.nist.gov/vuln/detail/CVE-2023-33871
https://nvd.nist.gov/vuln/detail/CVE-2023-38257
https://nvd.nist.gov/vuln/detail/CVE-2023-35763
===================================
Google Chrome の最新バージョンをリリースされ、26件の脆弱性が対処されたが、その中の8件は High と評価されています。今回の Chrome 116 におけるアップデートでは、Offline/V8 Engine/Device Trust Connectors/Fullscreen/Network/ANGLE/Skia などの機能がカバーされています。Google の VP of Vulnerability and Threat Research であり、Action1 の共同設立者でもある Mike Walters は、最も脆弱性の1つとして CVE-2023-2312 を取り上げています。この、Offline における use-after-free のバグに対しては、Google から $30,000 バグ報奨金が提供されています。
https://iototsecnews.jp/2023/08/17/google-fixes-26-bugs-amid-fake-update-warning/
CVE-2023-2312, CVE-2023-4349
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html
===================================
■■■ Microsoft
Remote Desktop Protocol (RDP) が、ずっと昔から存在しているように見えるとしたら、わずか数年の間に栄枯盛衰を繰り返す多くのテクノロジーに比べて、それはそうだと納得できます。RDP 4.0 として知られる初期バージョンは、1996年に Windows NT 4.0 Terminal Server エディションの一部としてリリースされました。それにより、ネットワーク接続を介するユーザーが、Windows ベースのコンピューターにリモート・アクセスし、操作できるようになりました。その後の数十年の間に、 RDP は Windows ベースのシステムにおける、リモート・アクセスや管理で広範に利用されるプロトコルとなりました。RDP が果たす役割により、リモートワーク/IT サポート/システム管理などが実現されてきました。そして、さまざまなリモート・デスクトップや VDI (Virtual Desktop Infrastructure) ソリューションの基盤となっています。
https://iototsecnews.jp/2023/07/20/a-few-more-reasons-why-rdp-is-insecure-surprise/
CVE-2023-24905
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24905
CVE-2023-35332
CVSS 6.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35332
===================================
Microsoft Message Queuing (MSMQ) サービスで、3つの脆弱性が発見されました。MSMQ は、アプリケーション間の安全な通信を可能にするために、複数のコンピュータ上で動作するよう設計された、独自のメッセージング・プロトコルです。7月24日 (月) に発表したアドバイザリで、Fortinet のサイバー・セキュリティ研究部門である FortiGuard Labs が、これらの欠陥について説明しています。
https://iototsecnews.jp/2023/07/25/critical-flaws-found-in-microsoft-message-queuing-service/
CVE-2023-21554
CVSS 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21554
CVE-2023-21769 CVE-2023-28302
CVSS 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21769
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28302
===================================
今日は Microsoft の August 2023 Patch Tuesday であり、積極的に悪用される脆弱性2件と、リモート・コード実行の脆弱性 23件を含む、87件の脆弱性に対するセキュリティ更新プログラムが提供されました。23件の RCE バグが修正されましたが、Microsoft が Critical と評価したのは、そのうちの6件のみです。
CVE-2023-38180
CVSS 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180
CVE-2023-36884
CVSS 8.3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36884
===================================
Microsoft は、Windows カーネルに存在する情報漏えいの脆弱性に対する修正を、デフォルトで ON にするよう方針を変更しました。この修正は、Windows に変更を加える可能性があるとして、これまで無効にされていたものです。この脆弱性 CVE-2023-32019 は、CVSS 値は 4.7 ですが、Microsoft は Important と評価しています。このバグは、Google Project Zero のセキュリティ研究者 Mateusz Jurczyk により発見されたものであり、認証された攻撃者が特権プロセスのメモリにアクセスし、情報を引き出すことを可能にするものです。
https://iototsecnews.jp/2023/08/14/microsoft-enables-windows-kernel-cve-2023-32019-fix-for-everyone/
CVE-2023-32019
CVSS 4.7
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32019
===================================
■■■ CISA KEV 警告 23/08/10
米国 CISA は、.NET/Visual Studio に影響を及ぼすゼロデイ脆弱性 CVE-2023-38180 (CVSS:7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加しました。この脆弱性が悪用されると、サービス運用妨害 (DoS) 状態が引き起こされる可能性があるとして、Microsoft は August 2023 Patch Tuesday で対処しています。なお、この脆弱性のあるシステムは、ユーザーの操作なしに悪用可能であり、悪用には権限が不要だと、同社は述べています。
CVE-2023-38180
CVSS 7.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180
===================================
■■■ CISA KEV 警告 23/08/16
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現実の世界で活発に悪用されている証拠に基づき、ShareFile Storage Zones Controller に存在する深刻な脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加しました。この脆弱性 CVE-2023-24489 (CVSS:9.8) は、不適切なアクセス制御のバグとして説明されています。その悪用に成功した未認証の攻撃者は、脆弱なインスタンスをリモートから侵害することが可能になるようです。
CVE-2023-24489
CWE-284(不適切なアクセス制御)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-24489
===================================
■■■ Five Eyes/FBI/CISA/NSA 共同勧告
Five Eyes のサイバー・セキュリティ当局は、CISA/NSA/FBI と共同で、2022年に最も悪用された 12件の脆弱性リストを発表しました。米国/英国/豪州/カナダ/ニュージーランドの5カ国からなるサイバー・セキュリティ当局は、世界中の組織に対し、これらのセキュリティ上の脆弱性に対処し、パッチ管理システムを導入して、潜在的な攻撃にさらされる機会を最小限に抑えるよう呼びかけました。2022年に脅威アクターたちは、新たに公表された脆弱性よりも、古いとされる脆弱性に対して、攻撃を集中させる傾向を強め、特にパッチが適用されずにインターネット上に露出したままのシステムを標的としてきました。
https://iototsecnews.jp/2023/08/03/fbi-cisa-and-nsa-reveal-top-exploited-vulnerabilities-of-2022/
■ Fortinet FortiOS (Operating System) 6.0.4 以下の SSL VPN Web Portal コンポーネントにおけるディレクトリ・トラバーサルの脆弱性
CVE-2018-13379
CWE-22(パス・トラバーサル)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2018-13379
https://us-cert.cisa.gov/ncas/current-activity/2020/11/27/fortinet-fortios-system-file-leak
https://www.jpcert.or.jp/at/2020/at200044.html
https://www.fortinet.co.jp/blog/business-and-technology/update-regarding-cve-2018-13379.html
https://www.fortinet.com/blog/psirt-blogs/malicious-actor-discloses-fortigate-ssl-vpn-credentials
■ Apache log4j (Apache Logging Services) 2.14.1 以下におけるリモート・コード実行の脆弱性
CVE-2021-44228
CWE-20(不適切な入力確認)
CVSS 10.0
https://www.jpcert.or.jp/at/2021/at210050.html
https://logging.apache.org/log4j/2.x/security.html
https://nvd.nist.gov/vuln/detail/CVE-2021-44228
https://github.com/apache/logging-log4j2/pull/608
https://github.com/YfryTchsGD/Log4jAttackSurface
https://securityboulevard.com/2021/12/log4shell-apache-log4j-remote-code-execution/
https://github.com/apache/logging-log4j2/pull/608#issuecomment-991730650
https://lists.apache.org/thread/d6v4r6nosxysyq9rvnr779336yf0woz4
https://jvn.jp/vu/JVNVU96768815/
https://logging.apache.org/log4j/log4j-2.3.1/
https://logging.apache.org/log4j/log4j-2.12.3/
https://logging.apache.org/log4j/2.x/security.html#log4j-2.17.0
https://logging.apache.org/log4j/2.x/security.html#log4j-2.17.1
■ Atlassian Confluence Server/Confluence Data Center (Communication for developers) 6.13.22/7.4.10/7.11.5/7.12.4 以下におけるインジェクションの脆弱性
CVE-2021-26084
CWE-74(インジェクション)
CVSS 9.8
https://confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
https://www.jpcert.or.jp/at/2021/at210037.html
https://nvd.nist.gov/vuln/detail/CVE-2021-26084
https://www.exploit-db.com/exploits/50243
https://ja.confluence.atlassian.com/doc/confluence-security-advisory-2021-08-25-1077906215.html
■ Microsoft Exchange Server (mail server and calendaring server) におけるセキュリティ・バイパスの脆弱性
CVE-2021-31207
CVSS 6.6
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
■ Microsoft Exchange Server (mail server and calendaring server) におけるリモート・コード実行の脆弱性
CVE-2021-34473
CVSS 9.1
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
■Microsoft Exchange Server (mail server and calendaring server) における権限昇格の脆弱性
CVE-2021-34523
CVSS 8.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
■Zoho ManageEngine ADSelfService Plus (Active Directory Account Management) 6113 以下におけるリモート・コード実行の脆弱性
CVE-2021-40539
CVSS 7.3
https://nvd.nist.gov/vuln/detail/CVE-2021-40539
■F5 BIG-IP (Firewall Software) の iControl REST における認証機能の欠落の脆弱性
CVE-2022-1388
CWE-306(認証機能の欠落)
CVSS 9.8
https://support.f5.com/csp/article/K23605346
https://nvd.nist.gov/vuln/detail/CVE-2022-1388
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.exploit-db.com/exploits/50932
https://www.cisa.gov/uscert/ncas/alerts/aa22-138a
■VMware Workspace ONE Access (Support for the use of digital workspaces) などにおける複数の脆弱性
CVE-2022-22954, CVE-2022-22960
CVSS 9.8
https://www.vmware.com/security/advisories/VMSA-2022-0011.html
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
■ Microsoft Windows Server および Windows に影響をおよぼす Microsoft Windows Support Diagnostic Tool のリモート・コード実行の脆弱性
CVE-2022-30190
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30190
■ Atlassian Confluence Server/Confluence Data Center (Communication for developers) におけるリモート・コード実行の脆弱性
CVE-2022-26134
CVSS 9.8
https://www.jpcert.or.jp/at/2022/at220015.html
https://nvd.nist.gov/vuln/detail/CVE-2022-26134
https://jira.atlassian.com/browse/CONFSERVER-79016
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。