脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年10月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2023年10月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ Apple/Google
Google の Threat Analysis Group によると、iOS/Chrome のゼロデイ脆弱性の悪用と中間者攻撃 (MitM) により、Predator スパイウェアが iPhone/Android デバイスに配信されているようです。先週に Apple が通知したのは、脆弱性 CVE-2023-41991 (署名検証バイパス)/CVE-2023-41992 (ローカル特権の昇格)/CVE-2023-41993 (悪意の Web ページを介した任意のコード実行) という3つのゼロデイにして、パッチが適用されたことです。Apple は、iOS/macOS などのソフトウェアの脆弱性を修正したが、その一方で、悪用を認識しているのは、iOS のバージョン 16.7 以前のデバイスのみだと指摘していました。
CVE-2023-41991,CVE-2023-41992,CVE-2023-41993
CVSS 7.8
https://support.apple.com/en-us/HT213926
https://support.apple.com/en-us/HT213927
CVE-2023-4762
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop.html
===================================
■■■ Apple
Apple は、iOS/iPadOS 向けのセキュリティ・アップデートをリリースして、悪用が確認されているゼロデイ脆弱性 CVE-2023-42824 を修正しました。この脆弱性はカーネルに存在し、影響を受ける iPhone/iPad におけるローカルの脅威アクターに対して、特権への昇格を許す可能性があるようです。
https://iototsecnews.jp/2023/10/05/apple-patches-another-ios-zero-day-under-attack-cve-2023-42824/
CVE-2023-41061
CVSS 6.3
https://support.apple.com/en-us/HT213907
https://nvd.nist.gov/vuln/detail/CVE-2023-41061
https://www.cisa.gov/news-events/alerts/2023/09/11/cisa-adds-two-known-vulnerabilities-catalog
CVE-2023-41064
https://support.apple.com/en-us/HT213905
https://nvd.nist.gov/vuln/detail/CVE-2023-41064
https://www.cisa.gov/news-events/alerts/2023/09/11/cisa-adds-two-known-vulnerabilities-catalog
CVE-2023-41991, CVE-2023-41992
CVSS 7.8
https://support.apple.com/en-us/HT213931
CVE-2023-41993
CWE-754(不適切な例外チェック)
CVSS 9.8
https://support.apple.com/en-us/HT213926
https://support.apple.com/en-us/HT213927
CVE-2023-42824, CVE-2023-5217
CVSS 8.8
https://support.apple.com/en-us/HT213961
https://nvd.nist.gov/vuln/detail/CVE-2023-5217
https://nvd.nist.gov/vuln/detail/CVE-2023-42824
===================================
■■■ BIND
DNS ソフトウェア BIND において、リモートから悪用可能な2件のサービス拒否 (DoS) 脆弱性に対処するセキュリティ・アップデートが、Internet Systems Consortium (ISC) からリリースされました。ISC によると、どちらのバグも named (権威ネームサーバ//再帰的リゾルバとして動作する BIND デーモン) に存在し、予想外の終了にいたる可能性があるようです。
https://iototsecnews.jp/2023/09/22/bind-updates-patch-two-high-severity-dos-vulnerabilities/
CVE-2023-3341
CWE-674(制御不能な再帰)
CVSS 7.5
https://www.jpcert.or.jp/newsflash/2023092101.html
https://nvd.nist.gov/vuln/detail/CVE-2023-3341
CVE-2023-4236
CWE-617(到達可能なアサーション)
CVSS 7.5
https://www.jpcert.or.jp/newsflash/2023092101.html
https://nvd.nist.gov/vuln/detail/CVE-2023-4236
===================================
■■■ Openfire
Openfireメッセージング・サーバの深刻な脆弱性を積極的に悪用するハッカーたちが、ランサムウェアによる暗号化と、クリプトマイナー侵害を展開しています。Openfire は、Java ベースのオープンソース・チャット (XMPP) サーバであり、すでに 900 万回もダウンロードされ、安全なマルチプラットフォーム・チャット通信のために広く使用されているものです。脆弱性 CVE-2023-32315 の悪用により、Openfire の管理コンソールで、認証バイパスが引き起こされます。その結果として、未認証の攻撃者による、脆弱なサーバー上での新たな管理者アカウント作成にいたる可能性が生じます。
https://iototsecnews.jp/2023/09/26/hackers-actively-exploiting-openfire-flaw-to-encrypt-servers/
CVE-2023-32315
CWE-287(不適切な認証)
CVSS 8.6
https://nvd.nist.gov/vuln/detail/CVE-2023-32315
https://github.com/igniterealtime/Openfire/security/advisories/GHSA-gw42-f939-fhvm
===================================
■■■ JetBrains
TeamCity CI/CD サーバに存在する致命的な脆弱性により、未認証でのリモートからの悪用/任意のコード実行/脆弱なサーバの不正制御などが発生する可能性があるようです。JetBrains が開発した TeamCity は、ビルド管理および継続的インテグレーションのための汎用プラットフォームであり、オンプレミス/クラウドの双方で利用が可能です。先日に確認された深刻な認証バイパスの脆弱性 CVE-2023-42793 (CVSS:9.8) は、オンプレミス版の TeamCity に影響を及ぼすと説明されています。
JetBrains の TeamCity の CI/CD (continuous integration and continuous deployment) サーバに存在する深刻な脆弱性を、ランサムウェア・ギャングたちが標的にしはじめました。この脆弱性 CVE-2023-42793 (CVSS : 9.8) は、ユーザーとの対話を必要としない複雑度の低い攻撃を可能にしています。したがって、認証バイパスに成功した未認証の攻撃者により、リモートからのコードを実行 (RCE) が引き起こされます。この脆弱性を発見/報告したのは、スイスのセキュリティ企業 Sonar です。そして、9月21日に JetBrains が、TeamCity 2023.05.4 をリリースし、この深刻な脆弱性に対処した1週間後に、Sonar による技術的な詳細が発表されました。
https://iototsecnews.jp/2023/10/02/ransomware-gangs-now-exploiting-critical-teamcity-rce-flaw/
CVE-2023-42793
CWE-288(代替えパス・チャネルを用いた認証バイパス)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-42793
https://www.jetbrains.com/privacy-security/issues-fixed/
===================================
WebP フォーマットで画像をレンダリングするための、libwebp 画像ライブラリに存在する深刻な脆弱性について、Google が新たな CVE 識別子を割り当てました。この脆弱性 CVE-2023-5129 (CVSS : 10.0) は、ハフマン符号化アルゴリズムに根ざした問題と説明されています。
CVE-2023-5129
CWE-20(不適切な入力確認)
CVSS 10.0
https://nvd.nist.gov/vuln/detail/CVE-2023-5129
https://thehackernews.com/2023/09/new-libwebp-vulnerability-under-active.html
9月27日にリリースされた緊急セキュリティ・アップデートで Google は、今年に入ってから攻撃に悪用された5番目の、Chrome のゼロデイ脆弱性にパッチを適用しました。Google のアドバイザリには、「脆弱性 CVE-2023-5217 の悪用が、野放し状態で攻撃されていることを認識している」と記されています。このセキュリティの脆弱性は、Google Chrome 117.0.5938.132 で対処され、Windows/Mac/Linux ユーザー向けの Stable Desktop チャネルを介して、全世界に展開されます。
https://iototsecnews.jp/2023/09/27/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/
CVE-2023-4863
CWE-787(境界外書き込み)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://thehackernews.com/2023/09/new-libwebp-vulnerability-under-active.html
10月10日 (火) に、Google は Chrome 118 stable channel 版をリリースし、20件の脆弱性を修正しましたが、その中には、外部の研究者から報告された 14件も含まれるようです。外部から報告された脆弱性のうち、最も深刻なものは CVE-2023-5218 であり、Chrome のコンポーネント Site Isolation に存在する、use-after-free に起因する深刻なバグだと説明されています。
https://iototsecnews.jp/2023/10/11/chrome-118-patches-20-vulnerabilities/
CVE-2023-5218
CWE-416(解放済みメモリの使用)
CVSS 8.8
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_10.html
https://chromereleases.googleblog.com/2023/10/stable-channel-update-for.html
https://nvd.nist.gov/vuln/detail/CVE-2023-5218
===================================
■■■ Progress
9月28日 (木) に、エンタープライズ・テクノロジー・ベンダーの Progress Software は、同社のファイル転送ソフトウェア WS_FTP の深刻な脆弱性にパッチを適用しました。そして、この脆弱性を認証前の攻撃者が悪用することで、基盤となる OS に大混乱が生じる可能性があると警告しました。Progress Software による緊急速報は、リモートから悪用される可能性のある、少なくとも8件のセキュリティ欠陥を文書化したものです。また、ユーザー組織に推奨されるのは、WS_FTP Server 2020.0.4 (8.7.4)/WS_FTP Server 2022.0.2 (8.8.2) への早急なアップグレードとなります。
Progress Software の WS_FTP サーバ製品に存在する、認証前の深刻な脆弱性に対するパッチがリリースされたが、その僅か数日後に、複数のターゲット環境に対する積極的な悪用を検出されたと、セキュリティ専門家たちが警告しています。サイバーセキュリティ・ベンダー Rapid7 は、さまざまな顧客の環境で、WS_FTP の脆弱性が悪用されている事例を検出し、この週末に警鐘を鳴らし始めました。
CVE-2023-40044
CWE-502(安全でないデシリアライゼーション)
CVSS 10.0
https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023
https://nvd.nist.gov/vuln/detail/CVE-2023-40044
https://www.rapid7.com/blog/post/2023/09/29/etr-critical-vulnerabilities-in-ws_ftp-server/
CVE-2023-42657
CWE-22(パス・トラバーサル)
CVSS 9.6
https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023
https://nvd.nist.gov/vuln/detail/CVE-2023-42657
Sony Interactive Entertainment (Sony) は、サイバー・セキュリティ侵害により個人情報が流出したとして、現従業員および元従業員と、その家族に対して通知を行いました。Sony は、約 6,800人の個人に対して情報漏えいの通知を送付し、MOVEit Transfer プラットフォームのゼロデイ脆弱性が悪用され、不正アクセス者に侵入されたことを認めました。
https://iototsecnews.jp/2023/10/04/sony-confirms-data-breach-impacting-thousands-in-the-u-s/
CVE-2023-34362
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
https://nvd.nist.gov/vuln/detail/CVE-2023-34362
===================================
■■■ Apache NiFi
Apache NiFi に存在する深刻なリモートコード実行 (RCE) の脆弱性と、すでに出回っているエクスプロイト・ツールにより、不正アクセスやデータ漏洩にいたる可能性があると、Cyfirma が警告しています。データ統合/自動化のための OSS ツールである Apache NiFi は、データの処理と配布に使用されるものです。この脆弱性 CVE-2023-34468 (CVSS : 8.8) は、2023年6月に対処された問題です。具体的に言うと、認証されたユーザーが悪用に成功すると、カスタム・コード実行を可能にする H2 ドライバーを用いて、データベース URL のコンフィグレーションが実行される可能性が生じるようです。
CVE-2023-34468
CWE-94(コード・インジェクション)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-34468
===================================
■■■ Exim
Exim MTA (Mail Transfer Agent) の、すべてのバージョンに存在する深刻なゼロデイ脆弱性により、インターネットに公開されたサーバ上で、未認証の攻撃者によるリモートコードを実行 (RCE) が引き起こされる可能性が生じています。匿名のセキュリティ研究者により発見され、Trend Micro の Zero Day Initiative (ZDI) を介して公開された脆弱性 CVE-2023-42115 は、SMTP サービスに存在する Out-of-bounds Write に起因するものです。
https://iototsecnews.jp/2023/09/29/millions-of-exim-mail-servers-exposed-to-zero-day-rce-attacks/
CVE-2019-10149
CWE-20(不適切な入力確認)、CWE-269(不適切な権限管理)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2019-10149
https://exim.org/static/doc/security/CVE-2019-10149.txt
CVE-2023-42115
CWE-787(境界外書き込み)
CVSS 9.8
Exim の3件の脆弱性に対して、パッチがリリースされました。匿名のセキュリティ研究者により発見され、Trend Micro の Zero Day Initiative (ZDI) を通じて公開された脆弱性 CVE-2023-42115 は、SMTP サービスに存在する Out-of-bounds Write の欠陥が起因するものです。この脆弱性の悪用に成功したリモートの未認証の攻撃者は、サービス・アカウントのコンテキストで、コード実行を可能にするようです。
https://iototsecnews.jp/2023/10/02/exim-patches-three-of-six-zero-day-bugs-disclosed-last-week/
CVE-2023-42114, CVE-2023-42119
CWE-125(境界外読み取り)
CVSS 3.7
CVE-2023-42115
CWE-787(境界外書き込み)
CVSS 9.8
CVE-2023-42116
CWE-121(スタックバッファ・オーバーフロー)
CVSS 8.1
CVE-2023-42117
CWE-707(不適切なメッセージやデータ構造の適用)
CVSS 8.1
CVE-2023-42118
CWE-191(整数アンダーフロー)
CVSS 7.5
===================================
■■■ OpenRefine
OpenRefine のデータ・クリーンアップおよび変換ツールに存在する深刻な脆弱性により、影響を受けるシステム上で任意のコードが実行される可能性があります。この OSS ソフトウェアの脆弱性 CVE-2023-37476 (CVSS: 7.8) は、OpenRefine バージョン 3.7.3 以下において、特別に細工されたプロジェクトをインポートする際に引き起こされる、Zip Slip の脆弱性に起因するものです。
CVE-2023-37476
CWE-22(パス・トラバーサル)
CVSS 7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-37476
===================================
■■■ GNU C Library
Looney Tunables と呼ばれる、新たな Linux の脆弱性が判明しました。GNU C ライブラリの ld.so ダイナミック・ローダーに存在する、バッファ・オーバーフローの弱点を悪用することで、ローカル攻撃者が root 権限を取得することが可能になるようです。GNU C ライブラリ (glibc) は、GNU システムの C ライブラリであり、大半の Linux カーネル・ベース・システムに含まれています。glibc が提供する機能には、open/malloc/printf/exit などのシステムコールが含まれ、また、典型的なプログラム実行に必要な機能も含まれます。glibc 内のダイナミック・ローダーは、glibc を使用する Linux システム上でプログラムの準備と実行を行うため、最も重要なものです。
https://iototsecnews.jp/2023/10/03/new-looney-tunables-linux-bug-gives-root-on-major-distros/
CVE-2023-4911
CWE-120(バッファ・オーバーフロー)
CVSS 7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-4911
===================================
■■■ Atlassian
10月4日 (水) に Atlassian が公表したのは、Confluence Data Center/Server 製品に存在する深刻なセキュリティ上の欠陥が、すでにゼロデイとして悪用されているという警告です。Atlassian からの緊急アドバイザリーには、「一握りの顧客が、Confluence Data Center/Server のインスタンス上で、リモートから悪用が可能な脆弱性を狙う、エクスプロイトを受けたことを確認している」と記されています。
https://iototsecnews.jp/2023/10/04/atlassian-ships-urgent-patch-for-exploited-confluence-zero-day/
Microsoft の警告によると、Storm-0062 (別名 DarkShadow/Oro0lxy) として追跡されている中国の脅威グループが、2023年9月14日以降において、Atlassian Confluence Data Center/Server の親告な特権昇格のゼロデイを悪用しているようです。2023年10月4日に Atlassian は、脆弱性 CVE-2023-22515 について情報を公開した際に、すでに積極的なエクスプロイト状態であることを通知していました。しかし同社は、この脆弱性を悪用している脅威グループについては、具体的な詳細を明らかにしていません。
10月16日 (月) に、CISA/FBI/MS-ISAC はネットワーク管理者に対して、攻撃で積極的に悪用されている Atlassian Confluence の脆弱性に対して、直ちにパッチを適用するよう警告しました。この深刻な特権昇格の脆弱性 CVE-2023-22515 は、Confluence Data Center/Server 8.0.0 以降に影響を及ぼすものであり、ユーザーによる操作を必要としない、リモートからの容易な悪用が可能なものです。
https://iototsecnews.jp/2023/10/16/cisa-fbi-urge-admins-to-patch-atlassian-confluence-immediately/
CVE-2023-22515
CVSS 10.0
===================================
■■■ curl
10月3日の X (Twitter) で、オープンソース開発者であり、curl のメンテナでもある Daniel Stenberg が、curl 8.4.0 で修正される深刻度の高い脆弱性について発表しました。Daniel は、新しいバージョンは、予定より早目の 10月11日にリリースされると述べています。また、 Twitter スレッドへの返信で、「これまでと比べて、curl で発見された最悪のセキュリティ欠陥である」と指摘しています。
10月10日に、データ転送プロジェクト cURL のメンテナたちは、エンタープライズで使用される大量の OS/アプリ/デバイスを、ハッカーからの攻撃にさらす可能性のある、深刻なメモリ破壊の脆弱性に対するパッチを配布しました。このハイリスクな脆弱性は、cURL の SOCKS5 プロキシ・ハンドシェイク・プロセスに直接的な影響をもたらし、一部の非標準的なコンフィグレーションでは、リモートからの悪用を許す可能性があるようです。この脆弱性 CVE-2023-38545 は、デバイスとサーバの間でデータ交換を処理する、libcurl ライブラリに存在しています。
CVE-2023-38545
CWE-122(ヒープバッファ・オーバーフロー)
CVSS 7.5
https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/
https://daniel.haxx.se/blog/2023/10/11/how-i-made-a-heap-overflow-in-curl/
https://curl.se/docs/CVE-2023-38545.html
https://access.redhat.com/security/cve/CVE-2023-38545
CVE-2023-38546
CWE-73(ファイル名やパス名の外部制御)
CVSS 5.0
https://daniel.haxx.se/blog/2023/10/11/curl-8-4-0/
https://curl.se/docs/CVE-2023-38546.html
https://access.redhat.com/security/cve/cve-2023-38546
===================================
■■■ Citrix
Citrix NetScaler Gateway において、最近発見された脆弱性 CVE-2023-3519 を悪用するハッカーたちが、ユーザー認証情報を盗み出すという、大規模なキャンペーンを展開しています。Citrix NetScaler ADC/NetScaler Gateway に存在する脆弱性は、2023年7月にゼロデイとして発見された、認証を必要としないリモートコード実行のバグです。8月の初旬までの期間において、この脆弱性は、少なくとも 640台の Citrix サーバのバックドアとして悪用され、その数は8月中旬の時点で 2,000台に達しています。
https://iototsecnews.jp/2023/10/09/hackers-hijack-citrix-netscaler-login-pages-to-steal-credentials/
Citrix NetScaler ADC/NetScaler Gateway に存在する脆弱性 CVE-2023-4966 (CVSS : 9.4) により、アプライアンスから機密情報が漏洩する恐れがあります。ただし、この攻撃の前提条件としては、対象となるアプライアンスがゲートウェイ (VPN Virtual Server/ICA Proxy/CVPN/RDP Proxy) または、AAA 仮想サーバとして設定されている必要があります。
https://iototsecnews.jp/2023/10/10/new-critical-citrix-netscaler-flaw-exposes-sensitive-data/
先日にパッチが適用された Citrix NetScaler Application Delivery Controller (ADC)/NetScaler Gateway に存在する深刻な脆弱性ですが、8月以降においてゼロデイとして悪用されていたことが、Google の Mandiant サイバーセキュリティ部門により報告されました。この脆弱性 CVE-2023-4966 (CVSS:9.4) は、認証を必要とすることなく悪用が可能であり、Gateway/AAA 仮想サーバとしてコンフィグレーションされたオンプレミス・アプライアンスから、機密情報が漏洩してしまう可能性があるようです。
10月23日 (月) に Citrix が発表したのは、脆弱性 CVE-2023-4966 のを悪用する攻撃から、すべての NetScaler ADC/Gateway アプライアンスを直ちに保護すべきだという警告です。Citrix は2週間前に、この深刻な機密情報漏洩の脆弱性 CVE-2023-4966 (CVSS 9.4) にパッチを適用しました。この脆弱性は、未認証の脅威アクターが、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモートから悪用できるものだとされます。
CVE-2023-3519
CWE-20(不適切な入力確認)
CVSS 9.8
https://www.jpcert.or.jp/at/2023/at230013.html
CVE-2023-4966, CVE-2023-4967
CWE-119(バッファ・エラー)
CVSS 9.4
https://nvd.nist.gov/vuln/detail/CVE-2023-4966
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.jpcert.or.jp/at/2023/at230026.html
===================================
■■■ SnakeYAML
PyTorch モデルを提供しスケーリングするための TorchServe ツールに、複数の深刻なセキュリティ上の欠陥があることを、サイバー・セキュリティ研究者たちが公表しました。この問題を発見したイスラエルのランタイム・アプリケーション・セキュリティ企業 Oligo は、この脆弱性を ShellTorch と呼んでいます。
CVE-2022-1471
CWE-502(安全でないデシリアライゼーション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2022-1471
CVE-2023-43654
CWE-918(サーバサイド・リクエスト・フォージェリ)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-43654
https://github.com/pytorch/serve/security/advisories/GHSA-8fxr-qfr9-p34w
===================================
■■■ GNU C Library
GNU C Library の Dynamic Loader に存在する深刻度の高い脆弱性を介して、主要な Linux ディストリビューション上でローカル攻撃者が root 権限を取得するという、PoC エクスプロイトがオンライン上で提供されています。Looney Tunables と名付けられた脆弱性 CVE-2023-4911 は、バッファオーバー・フローに起因するものであり、デフォルトでインストールされている Debian 12/13 および、Ubuntu 22.04/23.04、Fedora 37/38 に影響を及ぼします。
https://iototsecnews.jp/2023/10/05/exploits-released-for-linux-flaw-giving-root-on-major-distros/
CVE-2023-4911
CWE-120(バッファ・オーバーフロー)
CVSS 7.8
https://vuldb.com/ja/?id.241210
https://nvd.nist.gov/vuln/detail/CVE-2023-4911
===================================
■■■ GNOME Tracker Miners
GNOME デスクトップ環境を実行している Linux システム上の、オープンソース libcue ライブラリに存在するメモリ破壊の脆弱性により、攻撃者に任意のコード実行を許す可能性があります。libcue は、Cue Sheet File を解析するために設計されたライブラリであり、Tracker Miners File Metadata Indexer に統合され、最新の GNOME バージョンではデフォルトとして取り込まれています。Cue Sheet (CUE) ファイルは、CD のオーディオ・トラックの長さ/曲名/ミュージシャンなどのレイアウトを取り込んだプレーン・テキスト・ファイルであり、通常は 、FLAC オーディオ・ファイル・フォーマットとペアになっています。
https://iototsecnews.jp/2023/10/09/gnome-linux-systems-exposed-to-rce-attacks-via-file-downloads/
CVE-2023-43641
CWE-129(配列インデックスの不適切な確認)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-43641
https://github.blog/2023-10-09-coordinated-disclosure-1-click-rce-on-gnome-cve-2023-43641/
https://www.securityweek.com/one-click-gnome-exploit-could-pose-serious-threat-to-linux-systems/
===================================
■■■ D-Link
人気の D-Link DAP-X1860 WiFi 6 Range Extender には、DoS (サービス拒否) 攻撃およびリモート・コマンド・インジェクションの脆弱性が存在しています。現時点において、この製品は D-Linkのサイトで販売中と表示されており、また、Amazonでは数千件のレビューがあり、消費者の間で人気を得ています。この脆弱性を CVE-2023-45208 を発見したドイツの研究者チーム (RedTeam) は、D-Link に対して何度も警告を発したが、ベンダー側は沈黙を守っており、修正プログラムもリリースされていない状況のようです。
CVE-2023-45208
CWE-78(OSコマンド・インジェクション)
CVSS 8.0
https://nvd.nist.gov/vuln/detail/CVE-2023-45208
===================================
■■■ Juniper
10月12日 (木) に、ネットワーク機器メーカーの Juniper Networks は、Junos OS/Junos OS Evolved に存在する、30件以上の脆弱性に対するパッチを発表しました。これらの問題のうち、最も深刻なのは、不正確なデフォルト・パーミッションのバグであり、認証されていない攻撃者が、脆弱なデバイスへのローカル・アクセスを行い、ルート権限でバックドアを作成できるというものです。この脆弱性 CVE-2023-44194 (CVSS:8.4) は、特定のシステム・ディレクトリに対して、不適切なパーミッションが関連付けられていることに起因しています。
https://iototsecnews.jp/2023/10/13/juniper-networks-patches-over-30-vulnerabilities-in-junos-os/
CVE-2023-44194
CVSS 8.4
===================================
■■■ WinRAR
先日に公表された WinRAR アーカイブ・ユーティリティの脆弱性を悪用する、親ロシア派のハッキング・グループが、脆弱なシステムから認証情報を採取するフィッシング・キャンペーンを展開しています。先週の Cluster25 のレポートには、「この攻撃は、WinRAR 圧縮ソフトウェアのバージョン 6.23 未満に存在する脆弱性 CVE-2023-38831 を介して、悪意のアーカイブ・ファイルを使用するものだ」と記されています。
CVE-2023-38831
CVSS 6.3
https://nvd.nist.gov/vuln/detail/CVE-2023-38831
https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/
===================================
■■■ Milesight Router/Titan Server
Milesight の産業用セルラー・ルーターに影響を及ぼす深刻な脆弱性が、実際の攻撃で積極的に悪用されている可能性があることが、VulnCheck の新たな調査結果により明らかになりました。 脆弱性 CVE-2023-43261 (CVSS:7.5) は、UR5X/UR32L/UR32/UR35/UR41 ルーターの 35.3.0.7 未満に影響を及ぼす、情報漏えいの欠陥だと説明しています。この脆弱性の悪用に成功した攻撃者は、httpd.log などのログを含む、各種の機密情報にアクセスできる可能性があります。その結果として、リモートの未認証の攻撃者が、Web インターフェイスに不正にアクセスできるようになり、VPN サーバーの設定やファイアウォールの保護の解除などが可能になります。
CVE-2023-43261
CWE-200(情報漏えい)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-43261
https://github.com/win3zz/CVE-2023-43261
CVE-2023-45685 CVE-2023-45689
CWE-22(パス・トラバーサル)
CVSS 9.1
https://nvd.nist.gov/vuln/detail/CVE-2023-45685
CVE-2023-45686
CWE-22(パス・トラバーサル)
CVSS 7.2
https://nvd.nist.gov/vuln/detail/CVE-2023-45686
CVE-2023-45687
CWE-384(セッションの固定化)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-45687
CVE-2023-45688
CWE-22(パス・トラバーサル)
CVSS 4.3
https://nvd.nist.gov/vuln/detail/CVE-2023-45688
CVE-2023-45690
CWE-276(不正確なディフォルト・パーミッション)
CVSS 4.9
https://nvd.nist.gov/vuln/detail/CVE-2023-45690
===================================
■■■ Synology
Synology DiskStation Manager (DSM) に存在する脆弱性 CVE-2023-2729 (CVSS:5.9) を、Claroty Team82 の研究者たちが発見しました。Team82 によると、NAS 製品上で動作する Synology の DiskStation Manager (DSM) Linux ベースの OS で、脆弱な乱数ジェネレータが使用されていたようです。この脆弱性は、NAS デバイスの管理者パスワードの生成に使用される、Javascript の安全ではない Math.random() 関数に起因するものです。
CVE-2023-2729
CWE-330(不十分なランダム値の使用)
CVSS 5.9
https://nvd.nist.gov/vuln/detail/CVE-2023-2729
https://www.synology.com/en-global/security/advisory/Synology_SA_23_08
===================================
■■■ SolarWinds
SolarWinds Access Rights Manager Tool (ARM) に存在する8件の脆弱性が新たに発見されましたが、そのうちの3件は深刻なものであるようです。それにより、パッチの適用されていないシステムを侵害した攻撃者が、最高レベルの特権を獲得する可能性があるようです。3年前に世界中が苦労して学んだのは、広範な IT 管理プラットフォームである SolarWinds が、企業ネットワークにおいて独特の重要な位置を占めていることでした。企業ネットワーク内の重要なコンポーネントを監視し、影響を及ぼす力を、最も適切に表しているのが ARM ツールです。そして管理者は、データ/ファイル/システムに対する、ユーザーのアクセス権のプロビジョニング/管理/監査のために、ARM ツールを使用しています。
CVE-2023-35180 CVE-2023-35182 CVE-2023-35184 CVE-2023-35186
CWE-502(安全でないデシリアライゼーション)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-35180
https://nvd.nist.gov/vuln/detail/CVE-2023-35182
https://nvd.nist.gov/vuln/detail/CVE-2023-35184
https://nvd.nist.gov/vuln/detail/CVE-2023-35186
https://www.solarwinds.com/trust-center/security-advisories/CVE-2023-35184
CVE-2023-35181, CVE-2023-35183
CWE-276(不正確なディフォルト・パーミッション)
CVSS 7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-35181
https://nvd.nist.gov/vuln/detail/CVE-2023-35183
https://www.solarwinds.com/trust-center/security-advisories/CVE-2023-35181
CVE-2023-35185, CVE-2023-35187
CWE-22(パス・トラバーサル)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-35187
https://nvd.nist.gov/vuln/detail/CVE-2023-35185
https://www.solarwinds.com/trust-center/security-advisories/CVE-2023-35187
===================================
■■■ VMware
10月23日 (月) に VMware は、vRealize Log Insight (現在は VMware Aria Operations for Logs) に存在する認証バイパスの脆弱性対する、PoC エクスプロイト・コードが提供されたことを顧客に警告しました。同社のアドバイザリには、「脆弱性 CVE-2023-34051 の PoC エクスプロイト・コードの公開を確認し、VMSA を更新した」と記されています。この脆弱性 CVE-2023-34051 は、特定の条件が満たされた場合に、未認証の攻撃者に対して、root 権限でリモート・コード実行を許すものです。
https://iototsecnews.jp/2023/10/24/vmware-warns-admins-of-public-exploit-for-vrealize-rce-flaw/
CVE-2023-34051
CVSS 8.1
https://www.vmware.com/security/advisories/VMSA-2023-0021.html
https://www.security-next.com/150483
CVE-2022-31704, CVE-2022-31706, CVE-2022-31711
CVSS 9.8
https://www.vmware.com/security/advisories/VMSA-2023-0001.html
https://nvd.nist.gov/vuln/detail/CVE-2022-31704
===================================
■■■ HTTP/2
HTTP/2 Rapid Reset と名付けられた、新たなゼロデイ DDoS 攻撃手法が、8月以降の攻撃で悪用され、記録的な被害を及ぼしていることが、研究者たちにより明らかにされました。Google の発表は、ピーク時で 398 million rps (requests per second) に達する、一連の大規模な DDoS 攻撃を新たに観測したというものです。この攻撃は、ストリームの多重化をベースとする、斬新な HTTP/2 Rapid Reset 技法に依存し、複数のインターネット・インフラ企業に影響を与えています。
CVE-2023-44487
CVSS 5.3
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://thehackernews.com/2023/10/http2-rapid-reset-zero-day.html
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
===================================
■■■ CISA KEV 警告 23/09/28
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Red Hat JBoss RichFaces Framework に存在する深刻な脆弱性 CVE-2018-14667 (CVSS : 9.8) を、Known Exploited Vulnerabilities Catalog に追加しました。
CVE-2018-14667
CWE-94(コード・インジェクション)
CVSS 9.8
https://access.redhat.com/errata/RHSA-2018:3581
===================================
■■■ CISA KEV 警告 23/10/04
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、JetBrains TeamCity に存在する脆弱性 CVE-2023-42793 (CVSS : 9.8) と、Windows の脆弱性 CVE-2023-28229 (CVSS : 7.0) を、KEV (Known Exploited Vulnerabilities Catalog) に追加しました。
CVE-2023-28229
CVSS 7.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28229
CVE-2023-4211
CWE-416(解放済みメモリの使用)
CVSS 5.3
https://nvd.nist.gov/vuln/detail/CVE-2023-4211
CVE-2023-42793
CWE-288(代替えパス・チャネルを用いた認証バイパス)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-42793
https://www.jetbrains.com/privacy-security/issues-fixed/
===================================
■■■ CISA KEV 警告 23/10/10
10月10日 (火) に米国の CISA は、KEV (Known Exploited Vulnerabilities) カタログに5件のセキュリティ欠陥を追加し、今年の初めに明るみに出た Adobe Acrobat/Acrobat Reader の脆弱性を悪用する攻撃について、連邦政府組織に警告しました。Adobe Acrobat/Acrobat Reader に存在する use-after-free の脆弱性 CVE-2023-21608 の悪用により、ユーザーのコンテキスト権限でリモートコード実行 (RCE) が可能になるようです。
https://iototsecnews.jp/2023/10/11/cisa-warns-of-attacks-exploiting-adobe-acrobat-vulnerability/
CVE-2023-20109
CVSS 6.6
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
CVE-2023-20109
CVSS 6.6
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
CVE-2023-21608
CWE-416(解放済みメモリの使用)
CVSS 7.8
https://helpx.adobe.com/security/products/acrobat/apsb23-01.htmll
https://nvd.nist.gov/vuln/detail/CVE-2023-21608
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
CVE-2023-36563
CVSS 6.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
CVE-2023-41763
CVSS 5.3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-417633
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
CVE-2023-44487
CWE-404(リソースの不適切な解放)
CVSS 5.3
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-44487https://vuldb.com/?id.2416944
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://thehackernews.com/2023/10/http2-rapid-reset-zero-day.html
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
===================================
■■■ Cisco Adaptive Security Appliance
2023年3月に登場した Akira ランサムウェアは、それ以降において進化を続けています。その、攻撃範囲は当初の Windows システムから Linux サーバへと拡大され、数々の TTP (Tactics/Techniques/Procedures) を採用するようになっています。LogPoint の Akira に関する詳細なレポートでは、被害者のファイルを暗号化し、シャドウコピーを削除し、データ復旧との引き換えに身代金の支払いを要求するという、高度に洗練されたランサムウェアだと解説されています。その感染チェーンは、多要素認証のない Cisco ASA VPN を積極的にターゲットとし、脆弱性 CVE-2023-20269 をエントリポイントとして悪用するものです。
https://iototsecnews.jp/2023/09/23/akira-ransomware-mutates-to-target-linux-systems-adds-ttps/
CVE-2023-20269
CVSS 5.0
https://securityonline.info/cisco-fix-zero-day-cve-2023-20269-flaw-in-its-vpn-products/
https://www.cisa.gov/news-events/alerts/2023/09/13/cisa-adds-three-known-vulnerabilities-catalog
===================================
■■■ Cisco IOS Software/IOS XE Software
9月27日 (水) に Cisco は、攻撃者に狙われている IOS/IOS XE ソフトウェアのゼロデイ脆弱性にパッチを当てるよう顧客に警告しました。Cisco Advanced Security Initiatives Group (ASIG) の X. B. により発見された、この脆弱性 CVE-2023-20109 (深刻度 Medium) は、GET VPN 機能の Group Domain of Interpretation (GDOI) および G-IKEv2 プロトコル内における、不十分な属性検証に起因するものです。
CVE-2023-20109
CVSS 6.6
===================================
■■■ Cisco Catalyst SD-WAN Manager
Cisco が警告しているのは、 Catalyst SD-WAN Manager 製品に存在する、新たな5件の脆弱性についてです。その中で、最も深刻なものは、サーバへの未認証のリモート・アクセスを許すものです。Cisco Catalyst SD-WAN Manager for WAN は、管理者に対して WAN 上のデバイスの可視化/展開/管理を提供する、ネットワーク管理ソフトウェアです。今回に公表された欠陥のうち、最も深刻な影響を及ぼすものは、脆弱性 CVE-2023-20252 (CVSS:9.8) であり、SAML (Security Assertion Markup Language) API の問題により、不正アクセスを許してしまうものです。
https://iototsecnews.jp/2023/09/28/cisco-catalyst-sd-wan-manager-flaw-allows-remote-server-access/
CVE-2023-20034, CVE-2023-20252, CVE-2023-20253, CVE-2023-20254, CVE-2023-20262
CVSS 9.8
===================================
■■■ Cisco Emergency Responder
Cisco Emergency Responder (CER) の脆弱性を修正する、セキュリティ・アップデートがリリースされました。この問題は、ハードコードされた認証情報を悪用する攻撃者が、パッチ未適用のシステムにログインできるというものです。 CER は、IP 電話の正確な位置追跡を可能にし、緊急通報を適切な公共安全応答ポイント (PSAP) へとルーティングすることで、組織における緊急事態への対応を、効果的に支援するものです。
https://iototsecnews.jp/2023/10/04/cisco-fixes-hard-coded-root-credentials-in-emergency-responder/
CVE-2023-20101
CVSS 9.8
===================================
■■■ Cisco IOS XE
10月16日 (月) に Cisco は、IOS XE ソフトウェアに存在する深刻度の高い認証バイパス・ゼロデイ脆弱性について、管理者たちに警告を発しました。この脆弱性の悪用に成功した未認証の攻撃者は、完全な管理者権限を取得することで、影響を受けるルーターをリモートで完全に制御できるようです。同社によると、この脆弱性 CVE-2023-20198 (CVSS : 10.0) へのパッチは、現時点では適用されていません。なお、この脆弱性は、Web User Interface (Web UI) 機能が有効であり、HTTP/HTTPS サーバー機能がオンになっているデバイスにのみに影響するようです。
https://iototsecnews.jp/2023/10/16/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/
複数のサイバー・セキュリティ企業からの報告によると、IOS XE に存在するパッチ未適用の脆弱性の悪用により、Cisco デバイスの約 40,000 台がハッキングされているようです。悪用された脆弱性 CVE-2023-20198 は、IOS XE の Web UI に影響を及ぼす深刻な欠陥であり、リモートの未認証の攻撃者に対して、特権昇格を許す可能性があるとされます。現時点においても、Cisco はパッチをリリースしていません。また、遅くとも9月中旬以降に、この脆弱性がゼロデイとして悪用されていると、同社は警告しています。
米国の Cybersecurity and Infrastructure Security Agency (CISA) が、Cisco IOS XE に存在する脆弱性 CVE-2021-1435 を、KEV リストに追加しました。この脆弱性は、Web UI に存在するコマンド・インジェクションの欠陥であり、リモートの認証された攻撃者が root ユーザーとして、実行可能なコマンドを注入できるというものです。Cisco Talos の研究者たちは、この脆弱性が積極的に悪用され、デバイスへの感染が進むことを警告しています。
10月20日に Cisco は、深刻度の高い新たなゼロデイ脆弱性 CVE-2023-20273 を公表しました。このゼロデイは、今週の初めに公表されたゼロデイ CVE-2023-20198 の悪用により侵害された、IOS XE デバイス上に悪意のインプラントを展開するために積極的に悪用されます。Cisco は、この2つの脆弱性に対する修正プログラムを開発し、10月22日から週末にかけて、Cisco Software Download Centerを通じて顧客にリリースする予定だと述べています。
ハッキングされ、悪意のバックドアを埋め込まれた Cisco IOS XE デバイスの数が、50,000 台以上から僅か数百台へと急減するという不思議な現象が起こっており、その原因について研究者たちは首を傾げています。先日に Cisco は、2つのゼロデイ脆弱性 CVE-2023-20198/CVE-2023-20273 を悪用するハッカーが、50,000 万台以上の Cisco IOS XE デバイスをハッキングし、特権ユーザー・アカウントを作成し、悪意のある LUA バックドア・インプラントをインストールしたと警告しています。この LUA インプラントにより、脅威アクターたちはデバイスの最高特権レベル 15 のコマンドを、リモートで実行できるようになります。
Cisco が対処した、2つの脆弱性 CVE-2023-20198/CVE-2023-20273 は、先週にハッカーたちに悪用され、数万台の IOS XE デバイスの侵害を引き起こしたものです。このリリースは、脅威アクターたちが脆弱性をゼロデイとして悪用し、50,000 台以上の Cisco IOS XE ホストを侵害し、完全に制御した後に行われました。
https://iototsecnews.jp/2023/10/23/cisco-patches-ios-xe-zero-days-used-to-hack-over-50000-devices/
米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco IOS XE の脆弱性 CVE-2023-20273 を Known Exploited Vulnerabilities (KEV) カタログに追加しました。この脆弱性は、Web UI における、まだ不明確な問題を残すものです。この欠陥を CVE-2023-20198 と連鎖させる攻撃者は、新しいローカル・ユーザーを作成して root に特権を昇格させ、ファイル・システムにインプラントを書き込めるようです。
Rockwell Automation の Stratix 産業用スイッチに存在する、Cisco IOS XE ゼロデイ脆弱性が悪用された場合の影響について、顧客に警告が発生されました。Cisco IOS XE ゼロデイ脆弱性を CVE-2023-20198/CVE-2023-20273 の悪用に成功した正体不明のハッカーが、影響を受けるデバイス上に高特権アカウントを作成し、システムの完全な制御を可能にする Lua ベースのインプラントを展開しています。
CVE-2021-1435
CWE-77(コマンド・インジェクション)
CVSS 6.6
CVE-2023-20198 CVE-2023-20273
CVSS 10.0
https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
https://www.jpcert.or.jp/at/2023/at230025.html
https://news.mynavi.jp/techplus/article/20231022-2798392/
https://iototsecnews.jp/2023/10/16/cisco-warns-of-new-ios-xe-zero-day-actively-exploited-in-attacks/
===================================
■■■ Microsoft SharePoint
Microsoft SharePoint Server に存在する、2つの深刻な脆弱性を発見した研究者たちが、それらを連鎖させることで、影響を受けるサーバ上でのリモート・コード実行を可能にする、エクスプロイトの詳細を公開しました。それとは別に、今週には別のセキュリティ研究者が、SharePoint の脆弱性に関する PoC エクスプロイトコードを GitHub に投稿し、この欠陥を悪用して脆弱なシステムの管理者権限を取得する方法を示しています。
CVE-2023-24955
CVSS 7.2
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-249555
CVE-2023-29357
CVSS 9.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29357
https://iototsecnews.jp/2023/06/13/microsoft-june-2023-patch-tuesday-fixes-78-flaws-38-rce-bugs/
===================================
■■■ Microsoft 2023-10 月例アップデート
今日は Microsoft の October 2023 Patch Tuesday であり、104件の欠陥に対するセキュリティ更新プログラムが提供されましたが、その中には3件の積極的に悪用されるゼロデイ脆弱性も含まれます。また、45件のリモート・コード実行 (RCE) のバグが修正されましたが、その中の 12件の脆弱性に対してのみ、Microsoft は Critical と評価しています。
https://iototsecnews.jp/2023/10/10/microsoft-october-2023-patch-tuesday-fixes-3-zero-days-104-flaws/
CVE-2023-36563
CVSS 6.5
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36563
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
CVE-2023-41763
CVSS 5.3
CVE-2023-44487
CVSS 5.3
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://thehackernews.com/2023/10/http2-rapid-reset-zero-day.html
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
===================================
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。