脆弱性TODAYのキュレーターからのコメントを掲載します。
脆弱性トレンド情報 2023年11月度の記事と併せてぜひご覧ください。
GRCSのコンサルタントが毎日インターネット上で公開される国内外の脆弱性情報を
収集・整理して、当日午後にメールでレポートを配信するサービスです。
API連携も可能(※有料オプション)で、効率的に脆弱性情報を収集することができます。
キュレーターからのコメント
2023年11月の脆弱性TODAYでは、以下の脆弱性情報の再掲載および新規掲載を行っています。再掲載に関しては、対象となる脆弱性の悪用が発見されたものや、米CISAが悪用リストに追加したものなどが含まれます。また、新規掲載の脆弱性には、NVDやVuldbなどのパブリック・ポータルが未対応のものや、対応が遅れたものなどが含まれます。
これらの脆弱性情報は、いずれも海外メディアが、インシデント情報として掲載したものです。つまり、通常のキュレーションとは別の切り口から、注目すべき脆弱性情報として取得されたものとなります。それにより、ユーザー様に注意喚起を促すプロセスを提供しています。その一例として、スタッフブログに情報を開示していきます。
=========================================================
■■■ Roundcube Server
Roundcube Webmail サーバに存在するクロス・サイト・スクリプティング (XSS) ゼロデイ脆弱性 CVE-2023-5631 を、Winter Vivern グループが悪用して大規模な攻撃を行っています。10月25日 (水) に発表された ESET Research のアドバイザリには、この新たなキャンペーンの標的は、欧州の政府機関およびシンクタンクで利用される Roundcube Webmail サーバだと記されています。この脆弱性は 10月12日の時点で、ESET Research から Roundcube に報告されました。この問題を認めた Roundcube チームは、短期間でパッチを適用し、10月16日にセキュリティアップデートをリリースしました。
https://iototsecnews.jp/2023/10/25/winter-vivern-zero-day-xss-exploit-targets-roundcube-servers/
CVE-2023-5631
CWE-79(クロスサイト・スクリプティング)
CVSS 5.4
https://nvd.nist.gov/vuln/detail/CVE-2023-5631
https://www.infosecurity-magazine.com/news/winter-vivern-zero-day-targets/
===================================
■■■ Citrix
Citrix Bleed と名付けられた脆弱性 CVE-2023-4966 に対して、PoC エクスプロイトがリリースされました。この脆弱性の悪用に成功した攻撃者は、脆弱な Citrix NetScaler ADC/NetScaler Gateway アプライアンスから、認証セッション・クッキーを取得できるようです。脆弱性 CVE-2023-4966 は、リモートからの悪用が可能な、クリティカルな情報漏えいの欠陥であり、10月10日の時点で Citrix は、詳細を明らかにすることなく修正しています。その一方で、10月17日に Mandiant は、この脆弱性がゼロデイとして、2023年8月下旬以降の限定的な攻撃で悪用されていることを明らかにしました。
https://iototsecnews.jp/2023/10/25/citrix-bleed-exploit-lets-hackers-hijack-netscaler-accounts/
https://iototsecnews.jp/2023/10/30/citrix-bleed-mass-exploitation-in-progress-cve-2023-4966/
https://iototsecnews.jp/2023/11/09/worlds-largest-commercial-bank-icbc-confirms-ransomware-attack/
https://iototsecnews.jp/2023/11/12/lockbit-ransomware-leaks-gigabytes-of-boeing-data/
CVE-2023-4966
CWE-119(バッファ・エラー)
CVSS 9.4
https://nvd.nist.gov/vuln/detail/CVE-2023-4966
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
https://www.jpcert.or.jp/at/2023/at230026.html
CVE-2023-23583, CVE-2023-46835
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-23583
===================================
■■■ VMware
VMware が発表したのは、vCenter Server の脆弱性を悪用するリモートコード実行攻撃に対応するセキュリティ・アップデートです。vCenter Server は、VMware vSphere スイートの中央集権管理ハブであり、管理者たちによる仮想化インフラを管理/監視を効果的にするものです。この脆弱性 CVE-2023-34048 (CVSS 9.8) は、Trend Micro Zero Day Initiative の Grigory Dorodnov により報告されたものであり、vCenter の DCE/RPC プロトコル実装における境界外書き込みに起因するものです。
https://iototsecnews.jp/2023/10/25/vmware-fixes-critical-code-execution-flaw-in-vcenter-server/
CVE-2023-34048
CVSS 9.8
https://www.vmware.com/security/advisories/VMSA-2023-0023.html
CVE-2023-34060
CVSS 9.8
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
https://nvd.nist.gov/vuln/detail/CVE-2023-34060
https://www.security-next.com/151130
===================================
■■■ F5
2023年の Cloudflare DDoS 脅威レポートによると、同社は数千件のハイパー・ボリューム・メトリック HTTP 分散型サービス拒否 (DDoS) 攻撃を阻止したようです。同社が阻止した攻撃のうちの 89 件が、100 million rps (requests per second) を超えていたようです。最大の攻撃のピーク値は 201 million rps であり、これは過去最大の攻撃 71M rps の3倍に相当しています。これらの攻撃は、HTTP/2 Rapid Reset が脆弱性 CVE-2023-44487 を悪用したものです。
CVE-2023-44487
CVSS 5.3
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
https://thehackernews.com/2023/10/http2-rapid-reset-zero-day.html
https://www.cisa.gov/news-events/alerts/2023/10/10/cisa-adds-five-known-vulnerabilities-catalog
https://www.cisa.gov/news-events/alerts/2023/10/10/http2-rapid-reset-vulnerability-cve-2023-44487
CVE-2023-46747
CWE-288(代替えパス・チャネルを用いた認証バイパス)
CVSS 9.8
https://my.f5.com/manage/s/article/K000137353
https://nvd.nist.gov/vuln/detail/CVE-2023-46747
CVE-2023-46748
CWE-89(SQLインジェクション)
CVSS 8.8
https://my.f5.com/manage/s/article/K000137365
https://nvd.nist.gov/vuln/detail/CVE-2023-46748
https://securityonline.info/cve-2023-46748-f5-big-ip-sql-injection-vulnerability/
===================================
■■■ Cisco
Cisco IOS XE の深刻な脆弱性 CVE-2023-20198 に対する、エクスプロイト・コードが公開されました。Cisco は、IOS XE ソフトウェアの大半のリリースに対してパッチをリリースしていますが、インターネット・スキャンによると、何千ものシステムが侵害され続けています。
CVE-2022-20713
CWE-444(HTTPリクエスト・スマグリング)
CVSS 4.3
CVE-2023-20048
CVSS 9.9
===================================
■■■ Kubernetes
NGINX Ingress controller for Kubernetes に存在する、以下の3件の深刻なゼロデイ脆弱性が公開されました。
CVE-2022-4886
CWE-200(情報漏えい)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2022-4886
https://groups.google.com/g/kubernetes-security-announce/c/ge7u3qCwZLI
CVE-2023-5043, CVE-2023-5044
CWE-77(コマンド・インジェクション)
CVSS 8.8
https://nvd.nist.gov/vuln/detail/CVE-2023-5043
===================================
■■■ Atlassian
Atlassian は、Confluence Confluence Data Center/Confluence Server に存在する深刻な脆弱性について公表し、この脆弱性が未認証の攻撃者に悪用された場合に、重大なデータ損失につながる可能性があると警告しています。この脆弱性 CVE-2023-22518 (CVSS:9.1) は、不適切な権限付与の脆弱性 と説明されています。
CVE-2023-22518
CWE-285(不適切な認証)
CVSS 9.1
https://nvd.nist.gov/vuln/detail/CVE-2023-22518
先日にパッチが適用された、Atlassian Confluence に存在する深刻な認証バイパスの脆弱性を悪用する Cerber ランサムウェアが、被害者のファイルを暗号化しています。Atlassian が不適切な認証の脆弱性と説明する CVE-2023-22518 (CVSS:9.1) は、Confluence Data Center/Confluence Server ソフトウェアの全てのバージョンに影響を及ぼす。10月31日 (火) にセキュリティ・アップデートをリリースした Atlassian は、この脆弱性の悪用によりデータが消去される可能性もあるため、脆弱性のある全てのインスタンスに対して、直ちにパッチを当てるよう管理者たちに警告しました。
CVE-2023-22515
CVSS 10.0
CVE-2023-22518
CWE-285(不適切な認証)
CVSS 9.1
https://nvd.nist.gov/vuln/detail/CVE-2023-22518
===================================
■■■ Apache
インターネットに公開されている、3,000台以上の Apache ActiveMQ サーバ上に、深刻なリモート・コード実行 (RCE) が存在することが、先日に公表されました。Apache ActiveMQ は、クライアント/サーバ間の通信を促進する、スケーラブルなオープンソースのメッセージ・ブローカーであり、Java などのクロス・ランゲージ型のクライアントおよび、AMQP/MQTT/OpenWire/STOMP などの多様なプロトコルをサポートしています。
https://iototsecnews.jp/2023/11/06/tellyouthepass-ransomware-joins-apache-activemq-rce-attacks/
https://iototsecnews.jp/2023/11/20/kinsing-malware-exploits-apache-activemq-rce-to-plant-rootkits/
CVE-2023-46604
CWE-502(安全でないデシリアライゼーション)
CVSS 10.0
https://nvd.nist.gov/vuln/detail/CVE-2023-46604
Apache Submarine で発見された脆弱性 CVE-2023-46302 は、深刻なリモートコード実行 (RCE) を引き起こす可能性のあるものです。この、End-to-End 機械学習 (ML) プラットフォームの脆弱性は、snakeyaml (CVE-2022-1471) のセキュリティ欠陥に起因しており、脆弱なシステム上での任意のコードを実行するものであり、 Apache Submarine ユーザーに深刻な脅威をもたらします。
https://iototsecnews.jp/2023/11/19/cve-2023-46302-critical-apache-submarine-rce-vulnerability/
CVE-2023-46302
CWE-502(安全でないデシリアライゼーション)
CVSS 5.5
https://nvd.nist.gov/vuln/detail/CVE-2023-46302
===================================
■■■ QNAP
台湾のベンダーである QNAP Systems は、同社の NAS デバイス上の QTS オペレーティングシステム/アプリケーションに影響を及ぼす、2件の深刻なコマンド・インジェクションの脆弱性 CVE-2023-23368/CVE-2023-23369 に対処しました。
https://iototsecnews.jp/2023/11/06/qnap-fixed-two-critical-vulnerabilities-in-qts-os-and-apps/
CVE-2023-23368
CWE-78(OS コマンド・インジェクション)
CVSS 9.8
https://www.qnap.com/en/security-advisory/qsa-23-311
https://nvd.nist.gov/vuln/detail/CVE-2023-23368
CVE-2023-23369
CWE-78(OS コマンド・インジェクション)
CVSS 9.0
https://www.qnap.com/en/security-advisory/qsa-23-35
https://nvd.nist.gov/vuln/detail/CVE-2023-23369
===================================
■■■ GNU
最近パッチが適用された GNU C Library (glibc) に存在する深刻な特権昇格の脆弱性が、Kinsing マルウェアの展開やクリプトジャッキング攻撃を操る脅威グループにより、クラウドへの攻撃で悪用されています。Looney Tunablesと名付けられた脆弱性 CVE-2023-4911 は、Debian/Gentoo/Red Hat/Ubuntu などの主要 Linux ディストリビューションに影響を及ぼすことが判明しています。この脆弱性により、ローカル攻撃者は昇格した権限で、任意のコードを実行できるようです。
https://iototsecnews.jp/2023/11/06/looney-tunables-glibc-vulnerability-exploited-in-cloud-attacks/
CVE-2017-9841
CWE-94(コード・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2017-9841
CVE-2023-4911
CWE-120(バッファ・オーバーフロー)
CVSS 7.8
https://vuldb.com/ja/?id.241210
https://nvd.nist.gov/vuln/detail/CVE-2023-4911
https://access.redhat.com/security/cve/CVE-2023-4911
===================================
■■■ Veeam
Veeam ONE IT Monitoring and Analytics プラットフォームに存在する4件の脆弱性に対して、セキュリティ・アップデートがリリースされました。脆弱性 CVE-2023-38547/CVE-2023-38548/CVE-2023-41723 は Veeam ONE 11/11a/12 に影響を及ぼすが、CVE-2023-38548 は Veeam ONE 12 のみに影響しています。
CVE-2023-38547
CVSS 7.3
https://securityaffairs.com/153790/security/veeam-one-multiple-vulnerabilities.html
CVE-2023-38548
https://securityaffairs.com/153790/security/veeam-one-multiple-vulnerabilities.html
CVE-2023-38549, CVE-2023-41723
CWE-200(情報漏えい)
CVSS 4.5
https://nvd.nist.gov/vuln/detail/CVE-2023-38549
https://securityaffairs.com/153790/security/veeam-one-multiple-vulnerabilities.html
===================================
■■■ Progress
ファイル共有プラットフォーム MOVEit Transfer の開発元である Progress Software ですが、最新のサイバー・セキュリティ警告の中で、同社の WS_FTP Server ソフトウェアに存在する深刻な脆弱性に直ちにパッチを適用するよう、顧客に対して促しています。この脆弱性 CVE-2023-42659 (CVSS:9.1) は、WS_FTP サーバ・アプリケーションをホストする OS 上の任意の場所に、認証された Ad Hoc Transfer ユーザーによるファイル・アップロードを許します。この破壊的な脆弱性の悪用に成功した攻撃者が、機密データへの無制限のアクセスを許可されることで、システム全体を危険にさらす可能性が生じます。
CVE-2023-42659
CWE-434(危険なタイプのファイルの無制限アップロード)
CVSS 9.1
https://community.progress.com/s/article/WS-FTP-Server-Service-Pack-November-2023
https://nvd.nist.gov/vuln/detail/CVE-2023-42659
===================================
■■■ SysAid
Microsoft の新たな調査結果によると、SysAid IT サポート・ソフトウェアのゼロデイ脆弱性を悪用する限定的な攻撃に、Lace Tempest という脅威アクターが関連しているようです。Cl0p ランサムウェアを配布する Lace Tempest は、これまでに MOVEit Transfer や PaperCut サーバのゼロデイ脆弱性を悪用してきました。SysAid IT のパス・トラバーサルの脆弱性 CVE-2023-47246 は、オンプレミス・インストール内でコード実行にいたるものだとされ、バージョン 23.3.36 で修正されています。
https://iototsecnews.jp/2023/11/17/researchers-to-release-sysaid-cve-2023-47246-exploit/
CVE-2023-47246
CWE-22(パス・トラバーサル)
CVSS 5.5
https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification
https://nvd.nist.gov/vuln/detail/CVE-2023-47246
https://www.security-next.com/151023
===================================
■■■ OpenVPN
OpenVPN Access Server に存在する2件の脆弱性にパッチが適用されたが、この脆弱性が攻撃者に悪用されると、機密情報への不正アクセスが生じる恐れがあるようです。脆弱性 CVE-2023-46849/CVE-2023-46850 は、OpenVPN Access Server のバージョン 2.11.0/2.11.1/2.11.2/2.11.3/2.12.0/2.12.1 に影響を及ぼすものです。一連のバージョンは、OpenVPN 2.6 を継承しており、そこで2つの脆弱性が発見されました。
CVE-2023-46849
CWE-369(ゼロ除算)
CVSS 3.5
https://nvd.nist.gov/vuln/detail/CVE-2023-46849
CVE-2023-46850
CWE-416(解放済みメモリの使用)
CVSS 6.3
https://nvd.nist.gov/vuln/detail/CVE-2023-46850
===================================
■■■ PostgreSQL
PostgreSQL Global Development Group が、3件のセキュリティ脆弱性の修正を含む、PostgreSQL 16.1/15.5/14.10/13.13/12.17/11.22 をリリースしました。これらの脆弱性の悪用に成功した攻撃者は、侵害したシステムの制御や、機密データの窃取を可能すると思われます。
CVE-2023-5868
CWE-200(情報漏えい)
CVSS 4.3
https://nvd.nist.gov/vuln/detail/CVE-2023-5868
CVE-2023-5869
CWE-190(整数オーバーフロー)
CVSS 9.8
CVE-2023-5870
CWE-404(リソースの不適切な解放)
CVSS 2.1
===================================
■■■ Ivanti
エンタープライズ・ソフトウェアの分野で名高い Ivanti は、2023年11月9日に、同社の Endpoint Manager Mobile (旧 MobileIron Core) に存在する、2つの深刻な脆弱性 CVE-2023-39335/CVE-2023-39337 について情報を公表しました。これらの脆弱性は、広く使用されているこのエンタープライズ・モビリティ管理ソリューションの、すべてのバージョンに深刻な影響をおよぼします。
CVE-2023-39335
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-39335
CVE-2023-39337
CWE-200(情報漏えい)
CVSS 3.4
===================================
■■■ Fortinet
SIEM (Security Information and Event Management) ソリューションとして広く使用されている FortiSIEM に、深刻な脆弱性が発見されました。この脆弱性 CVE-2023-36553 (CVSS:9.3) は、FortiSIEM レポートサーバにおける OS コマンド・インジェクションの欠陥に起因するものであり、その悪用に成功した攻撃者は、リモートで任意のコマンドを実行できるようです。
CVE-2023-36553
CWE-78(OS コマンド・インジェクション)
CVSS 9.8
https://www.fortiguard.com/psirt/FG-IR-23-135
===================================
■■■ Synacor Zimbra
11月16日 (木) に Google の TAG (Threat Analysis Group) が明らかにしたのは、2023年の初頭に Zimbra Collaboration Suite のゼロデイ脆弱性が悪用され、数カ国の政府組織から電子メールデータが盗まれたことです。この脆弱性 CVE-2023-37580 の存在は、7月中旬に Zimbra が、同社の電子メール・サーバー・ソリューションの顧客に通知した際に判明しています。
https://iototsecnews.jp/2023/11/16/zimbra-zero-day-exploited-to-hack-government-emails/
CVE-2023-37580
CWE-79(クロスサイト・スクリプティング)
CVSS 6.1
https://nvd.nist.gov/vuln/detail/CVE-2023-37580
https://www.security-next.com/148231
https://www.securityweek.com/zimbra-zero-day-exploited-to-hack-government-emails/
===================================
■■■ Node.js
JSON Web Tokens (JWT) は、サイバー・セキュリティの領域において、安全な通信およびデータ交換のための不可欠なツールとなっています。しかし、このような広範に使われている技術にさえも、脆弱性が潜んでいる可能性があります。Node.js 用の人気の json-web-token ライブラリで、最近になって判明した問題が、この現実を浮き彫りにしています。
CVE-2023-48238
CWE-345(十分ではないデータ真正性の確認)
CVSS 7.5
https://nvd.nist.gov/vuln/detail/CVE-2023-48238
https://github.com/joaquimserafim/json-web-token/security/advisories/GHSA-4xw9-cx39-r355
===================================
■■■ CrushFTP
CrushFTP エンタープライズ・スイートに存在する、深刻なリモート・コード実行の脆弱性に対する PoC エクスプロイトが公開されました。この脆弱性の悪用に成功した未認証の攻撃者は、サーバ上のファイルにアクセスし、コードを実行し、プレーンテキストのパスワードを取得できるようになります。この脆弱性は、2023年8月に Converge のセキュリティ研究者により発見され、CVE-2023-43177 として追跡されています。この報告を受けた開発者は、一晩で修正を行い、CrushFTP 10.5.2 をリリースしました。
https://iototsecnews.jp/2023/11/18/exploit-for-crushftp-rce-chain-released-patch-now/
CVE-2023-43177
CVSS 3.4
https://iototsecnews.jp/2023/11/18/exploit-for-crushftp-rce-chain-released-patch-now/
===================================
■■■ Linux
Linux カーネル 6.3-rc1 に存在する、深刻度の高い脆弱性 CVE-2023-2598 (CVSS:7.8) の詳細と PoC エクスプロイトを、Cybersecurity の研究者 Yordan が公開しました。
CVE-2023-2598
CWE-125(境界外読み取り)
CVSS 7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-2598
===================================
■■■ Sophos
CISA は、Known Exploited Vulnerabilities カタログに3件の脆弱性を追加しました。そのうちの1件は、2023年4月にパッチが適用された Sophos Web Appliance の深刻な脆弱性 CVE-2023-1671 です。この脆弱性 CVE-2023-1671 は、Sophos Web Appliance の warn-proceed ハンドラに存在する事前認証コマンド・インジェクションの脆弱性であり、攻撃者に任意のコード実行をゆるす可能性があります。Sophos Web Appliance は、Web プロキシとして機能する Web ゲートウェイ・アプライアンスであり、潜在的に有害なコンテンツをスキャンし、多種多様なマルウェアを検出するためのものです。
CVE-2023-1671
CWE-77(コマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-1671
===================================
■■■ RARLabs WinRAR
ウクライナのセキュリティ研究者たちは、ロシアの大規模な新しいサイバースパイ・キャンペーンを明らかにしました。このキャンペーンは、アゼルバイジャンの軍事戦略に関する情報を収集するために設計された可能性があると、彼らは主張しています。ウクライナの NDSC (National Security and Defense Council) の新しい報告書によると、この攻撃の背後には APT29 がいたようです。同グループは、Cozy Bear/Nobelium などの呼び名でも知られています。
https://iototsecnews.jp/2023/11/20/russias-apt29-targets-embassies-with-ngrok-and-winrar-exploit/
CVE-2023-38831
CVSS 6.3
https://nvd.nist.gov/vuln/detail/CVE-2023-38831
https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/
===================================
■■■ CISA KEV 警告 23/11/08
2023/11/09 米国の CISA (Cybersecurity and Infrastructure Security Agency) が、SLP (Service Location Protocol) の脆弱性 CVE-2023-29552 (CVSS:7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加しました。SLP は、レガシーなサービス・プロトコルであり、コンピュータなどのデバイスにより、事前の設定なしに、LAN 内のサービスを見つけることを可能にするものです。
CVE-2023-29552
CWE-404(リソースの不適切な解放)
CVSS 5.3
https://nvd.nist.gov/vuln/detail/CVE-2023-29552
===================================
■■■ CISA KEV 警告 23/11/13
11月13日に CISA は連邦政府機関に対して、Juniper J-Web インターフェースに存在するリモート・コード実行 (RCE) の4件の脆弱性が、認証前のエクスプロイト・チェーンの一部として悪用されていることを受けて、一連のデバイスを保護するよう警告しました。1週間前に Juniper のアドバイザリにおいて、脆弱性 CVE-2023-36844/CVE-2023-36845/CVE-2023-36846/CVE-2023-36847 の悪用が顧客に通知され、その後に CISA も警告を発することになりました。
CVE-2023-36844, CVE-2023-36845, CVE-2023-36846, CVE-2023-36847
CVSS 9.8
https://github.com/watchtowrlabs/juniper-rce_cve-2023-36844
https://vulncheck.com/blog/juniper-cve-2023-36845
===================================
■■■ CISA KEV 警告 23/11/17
米国の CISA (Cybersecurity & Infrastructure Security Agency) は、既知の悪用脆弱性 (KEV:Known Exploited Vulnerabilities) カタログに、Microsoft/Sophos/Orale の製品に影響を及ぼす、3件の脆弱性を追加しました。KEV に登録される脆弱性は、サイバー攻撃での悪用が確認されたものです。したがって、このカタログは、世界中の企業にとって、優先的に対応すべき欠陥の保管庫として機能しています。
https://iototsecnews.jp/2023/11/17/cisa-warns-of-actively-exploited-windows-sophos-and-oracle-bugs/
CVE-2023-1671
CWE-77(コマンド・インジェクション)
CVSS 9.8
https://nvd.nist.gov/vuln/detail/CVE-2023-1671
https://www.sophos.com/en-us/security-advisories/sophos-sa-20230404-swa-rce
CVE-2023-36584
CVSS 5.4
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-365844
===================================
■■■ CISA KEV 警告 23/11/21
Qualys の Saeed Abbasi は、「この脆弱性 CVE-2023-4911 の悪用により、Fedora/Ubuntu/Debian などのプラットフォームにおいて、完全な root アクセスが不正に取得されるため、システム管理者は迅速に行動すべきだ」と警告しています。また、今日になって CISA は、この Linux の不具合を Known Exploited Vulnerabilities Catalog に追加しました。さらに CISA は、この脆弱性を、悪意のサイバー行為が頻繁に発生する攻撃ベクターのリストに取り込み、連邦政府企業に重大なリスクが生じていることを指摘しました。
https://iototsecnews.jp/2023/11/21/cisa-orders-federal-agencies-to-patch-looney-tunables-linux-bug/
CVE-2023-4911
CWE-120(バッファ・オーバーフロー)
CVSS 7.8
https://nvd.nist.gov/vuln/detail/CVE-2023-4911
===================================
■■■ Microsoft Office
Microsoft 365 アプリケーションに、SketchUp (SKP) ファイルのサポートが追加された後に、117 件のユニークな脆弱性が発見されたと、Zscaler の ThreatLabz 調査チームが指摘しています。Microsoft 365 の 3D コンポーネントの一部として、2022年6月に導入された SKP ファイル形式により、プレゼンテーションの作成とデータの視覚化において、多様な 3D ファイル形式の取り扱いが可能になりました。この独自のファイル形式は、2000年から存在しています。世界でもトップクラスの建築ソフトウェアである SketchUp は、そこに 3D モデルの作成に必要な情報を保存しています。
CVE-2023-28285
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28285
https://www.exploit-db.com/exploits/51552
CVE-2023-29344
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29344
CVE-2023-33146
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-33146
Agent Tesla マルウェアの新たな亜種が、ZPAQ 圧縮形式のルアー・ファイルを介して配信され、複数の電子メール・クライアントと、40近くの Web ブラウザから、データを採取していることが確認されました。G Data のマルウェア・アナリストである Anna Lvova は、「ZIP や RAR などの広く使用されているフォーマットと比較して ZPAQ は、より優れた圧縮率とジャーナリング機能を提供する、ファイル圧縮フォーマットである」と、月曜日の分析で述べています。
最近のことですが、Cisco Talos インテリジェンス・グループが、Microsoft Excel の深刻な脆弱性を発見しました。この脆弱性 CVE-2023-36041 (CVSS:7.8) は、Microsoft Office Professional Plus 2019 Excel 内 の、ElementType 属性の処理に関連するものです。この問題を発見した Cisco Talos の Marcin ‘Icewall’ Noga は、攻撃者が標的のマシン上で任意のコードを実行する可能性があると述べています。
CVE-2017-11882
CVSS 7.8
https://portal.msrc.microsoft.com/en-us/security-guidance
https://www.microsoft.com/en-us/download/details.aspx?id=56206
https://www.microsoft.com/en-us/download/details.aspx?id=56250
https://www.microsoft.com/en-us/download/details.aspx?id=56251
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2017-11882
https://nvd.nist.gov/vuln/detail/CVE-2017-11882
https://thehackernews.com/2023/11/new-agent-tesla-malware-variant-using.html
CVE-2023-36041
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36041
===================================
■■■ Microsoft 2023-11 月例
今日は Microsoft の November 2023 Patch Tuesday であり、合計で58件の脆弱性と、5件のゼロデイ対するセキュリティ更新プログラムが提供されています。今月は、14件のリモートコード実行 (RCE) の脆弱性が修正されましたが、Critical と評価されたのは1件のみです。また、今日の Critical は、Azure の情報漏えいのバグ/Windows の Internet Connection Sharing (ICS) の RCE/SYSTEM権限 でホスト上のプログラム実行を許す Hyper-V エスケープの3件があります。
https://iototsecnews.jp/2023/11/14/microsoft-november-2023-patch-tuesday-fixes-5-zero-days-58-flaws/
CVE-2023-36025
CVSS 8.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-360255
CVE-2023-36033
CVSS 7.8
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36033
CVE-2023-36036
CVSS 8.4
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36036
===================================
■■■ Azure CLI
Microsoft は、Azure CLI (Command-Line Interface) を介して作成された GitHub Actions/Azure DevOps のログから、攻撃者が認証情報を盗む可能性のある、深刻な脆弱性を修正しました。この脆弱性 CVE-2023-36052 は、Palo Alto のセキュリティ研究者である Aviad Hahami により報告されたものです。認証されていない攻撃者が悪用に成功すると、Azure CLI により CI/CD (Continuous Integration and Continuous Deployment (CI/CD) ログに書き込まれた平文のコンテンツ対して、リモートからのアクセスが許されてしまうようです。
CVE-2023-36052
CVSS 8.6
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36052
===================================
■■■ Microsoft Exchange Server
Microsoft Exchange に存在する、深刻なリモートコード実行の脆弱性 CVE-2023-36439 に対して、パッチが適用されていない 63,000台以上のサーバが、オンライン上に公開された状態にあリます。この脆弱性は、Microsoft の 2023年11月の Patch Tuesday で対処されたものであり、悪用の可能性があるため、組織にとって重大な脅威となっています。
CVE-2023-36439
CVSS 8.0
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36439
===================================
トライアル・お問い合わせはこちらから▼
■脆弱性情報配信サービス *サンプルファイルダウンロード可能* >>>脆弱性TODAY
■脆弱性情報収集後のフローに活用するなら >>>CSIRT MT.mss
本ブログに掲載している情報はGRCSが資料の作成時点で入手・判明し得たものであり、できるだけ正確な情報の提供を心掛けておりますが、GRCSは、利用者が本資料の情報を用いて行う一切の行為について何ら責任を負うものではありません。