CISA adds 17 vulnerabilities to list of bugs exploited in attacks
2022/01/22 BleepingComputer — 今週に CISA (Cybersecurity and Infrastructure Security Agency) は、積極的に悪用されている 17件の脆弱性を Known Exploited Vulnerabilities Catalog に追加しました。このカタログは、これまでに攻撃に悪用されたことが確認されている脆弱性のリストであり、FCEB (Federal Civilian Executive Branch) がパッチの適用を義務付けているものでもある。
CISA は、「BindingOperationalDirective (BOD) 22-01:Reducing the Significant Risk of Known Exploited Vulnerabilities は、連邦企業に深刻なリスクをもたらす既知の CVE の生きたリストとして、既知の悪用された脆弱性をカタログにしたものだ。また、BOD 22-01は Federal Civilian Executive Branch (FCEB) に対して、FCEB のネットワークを脅威から守るために、特定された脆弱性を期日までに修正することをFCEB機関に求めている。詳細は BOD 22-01 ファクトシートを参照してほしい」と説明している。
このカタログに掲載されている脆弱性は、認証情報の盗み出し/ネットワークへのアクセス/リモートでのコマンド実行/マルウェアのダウンロードと実行/デバイスからの情報の盗み出しなどの様々な攻撃を、脅威アクターに許す可能を持つ。
今回の 17件の脆弱性の追加により、カタログには合計341件の脆弱性が掲載され、また、各機関がセキュリティ・アップデートを適用すべき期日も記載されている。今週に、新たに追加された 17件の脆弱性は以下の通りである。CISA では、そのうちの10件を、2月の第1週以内にパッチを適用するよう求めている。
| CVE Number | CVE Title | Required Action Due Date |
| CVE-2021-32648 | October CMS Improper Authentication | 2/1/2022 |
| CVE-2021-21315 | System Information Library for node.js Command Injection Vulnerability | 2/1/2022 |
| CVE-2021-21975 | Server Side Request Forgery in vRealize Operations Manager API Vulnerability | 2/1/2022 |
| CVE-2021-22991 | BIG-IP Traffic Microkernel Buffer Overflow Vulnerability | 2/1/2022 |
| CVE-2021-25296 | Nagios XI OS Command Injection Vulnerability | 2/1/2022 |
| CVE-2021-25297 | Nagios XI OS Command Injection Vulnerability | 2/1/2022 |
| CVE-2021-25298 | Nagios XI OS Command Injection Vulnerability | 2/1/2022 |
| CVE-2021-33766 | Microsoft Exchange Server Information Disclosure Vulnerability | 2/1/2022 |
| CVE-2021-40870 | Aviatrix Controller Unrestricted Upload of File Vulnerability | 2/1/2022 |
| CVE-2021-35247 | SolarWinds Serv-U Improper Input Validation Vulnerability | 02/04/2022 |
| CVE-2020-11978 | Apache Airflow Command Injection Vulnerability | 7/18/2022 |
| CVE-2020-13671 | Drupal Core Unrestricted Upload of File Vulnerability | 7/18/2022 |
| CVE-2020-13927 | Apache Airflow Experimental API Authentication Bypass Vulnerability | 7/18/2022 |
| CVE-2020-14864 | Oracle Corporate Business Intelligence Enterprise Edition Path Traversal Vulnerability | 7/18/2022 |
| CVE-2006-1547 | Apache Struts 1 ActionForm Denial of Service Vulnerability | 07/21/2022 |
| CVE-2012-0391 | Apache Struts 2 Improper Input Validation Vulnerability | 07/21/2022 |
| CVE-2018-8453 | Microsoft Windows Win32k Privilege Escalation Vulnerability | 07/21/2022 |
特に注目すべきは、今週に公開された CVE-2021-32648 と CVE-2021-35247 の脆弱性であり、これらの脆弱性は積極的に攻撃に利用されているという。
CVE-2021-32648 として追跡されている、October CMS の Improper Authentication の脆弱性は、最近にウクライナ政府での Web サイトのハッキングや改ざんに利用されたことから、2022年2月1日までのパッチ適用が要求されている。ウクライナ政府は、一連の攻撃をロシアからものとしているが、セキュリティ専門家の中には、この攻撃をベラルーシに関連するハッキング・グループ Ghostwriter の仕業とする人もいる。
CVE-2021-35247 として追跡されている、新たな SolarWinds Serv-U Improper Input Validation の脆弱性は、LDAP サーバーとして設定されている Windows ドメイン・コントローラーに Log4j 攻撃を伝播させことが、Microsoft により発見された。
Windows ドメイン・コントローラーは、Log4j 攻撃に対して脆弱ではないため、Serv-U 脆弱性を利用した攻撃は最終的に失敗したが、CISA は各機関に対して、2022年2月4日までの修正を求めている。
すべてのセキュリティ専門家および管理者に対して、既知の脆弱性カタログを確認し、環境内の全て脆弱性にパッチを適用することが強く推奨されている。
年明け早々の 1月11日にも、「CISA から連邦政府機関へ警告:活発に悪用されている既知の脆弱性 15件」という、BOD 22-01 関連の記事がありました。こうして、積極的に悪用されている脆弱性のリストが、公的な機関から定期的に提供されるのは、とても有難いことです。それにしても、このところの CISA の活躍ぶりはスゴイですね。よろしければ、CISA で検索も、ご利用ください。
IoT OT Security News 