CISA adds 8 vulnerabilities to list of actively exploited bugs
2022/01/31 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、現在進行形の攻撃での利用が確認されている脆弱性のカタログに、新旧取り混ぜた8件の脆弱性を追加した。これらの脆弱性を公表する目的は、サーバー攻撃に対する意識を高め、連邦政府組織が指定された厳しい期限までにアップデートを適用する義務があることを思い出させる点にある。
このカタログに掲載されている全ての脆弱性は、現時点で進行している脅威やサイバー攻撃に利用されており、モバイル・デバイスの乗っ取り/ネットワークへの不正アクセス/リモートで操作によるコマンド実行などの、組織にとって重大なリスクを生み出している。
先週に CISA が追加した8つの脆弱性は以下の通りである。
| CVE ID | Description | Patch Deadline |
| CVE-2022-22587 | Apple IOMobileFrameBuffer Memory Corruption Vulnerability | 2/11/2022 |
| CVE-2021-20038 | SonicWall SMA 100 Appliances Stack-Based Buffer Overflow Vulnerability | 2/11/2022 |
| CVE-2014-7169 | GNU Bourne-Again Shell (Bash) Arbitrary Code Execution Vulnerability | 7/28/2022 |
| CVE-2014-6271 | GNU Bourne-Again Shell (Bash) Arbitrary Code Execution Vulnerability | 7/28/2022 |
| CVE-2020-0787 | Microsoft Windows Background Intelligent Transfer Service (BITS) Improper Privilege Management Vulnerability | 7/28/2022 |
| CVE-2014-1776 | Microsoft Internet Explorer Use-After-Free Vulnerability | 7/28/2022 |
| CVE-2020-5722 | Grandstream Networks UCM6200 Series SQL Injection Vulnerability | 7/28/2022 |
| CVE-2017-5689 | Intel Active Management Technology (AMT), Small Business Technology (SBT), and Standard Manageability Privilege Escalation Vulnerability | 7/28/2022 |
最も新しい脆弱性である CVE-2022-22587 は、2022年に発見されたものであり、iOS/iPadOS/macOS Monterey に影響を与える、IOMobileFrameBuffer のメモリ破壊の欠陥である。先週の水曜日に Apple は、このゼロデイを修正するセキュリティ・アップデートを公開しているが、攻撃に積極的に悪用されていると警告している。この脆弱性が広く流通しているデバイスに影響を与える可能性があるため、CISA は連邦政府機関に対して、2022年2月11日までにセキュリティ・アップデートを適用するよう指示している。
また、CISA は、SonicWall SMA 100 Appliances に影響を与える脆弱性 CVE-2021-20038 についても、この脆弱性を積極的にスキャンする脅威アクターが存在し、悪用を試みようとしていることが判明したとしている。その結果として、CISA は各機関に対して、2022年2月11日までパッチを当てることも要求している。
古い脆弱性である CVE-2013-6271 は、敵対者が長期的に利用できる侵入経路であるという点で、特別な意味を持っている。CVE-2013-6271 は、2017年〜2019年の Sea Turtle キャンペーンで再浮上し、世界規模の高度な DNS ハイジャック攻撃で悪用された一連の欠陥の1つとなっている。多くのシステム管理者は、修正アップデートが初めて公開されてから約8年が経過した今でも、修正アップデートの適用が現実的に困難でだと感じているようだ。
今回の8件の脆弱性の追加により、CISA の既知の脆弱性カタログに掲載された、悪用が確認されている脆弱性は 351件となった。
この CISA の脆弱性悪用カタログですが、すっかりお馴染みになりましたね。2021年11月の「CISA が 306件の脆弱性カタログを発行:政府およびインフラに対する悪用を阻止する」で始まり、1月22日には「CISA の脆弱性カタログに 17件が追加:October CMS と SolarWinds Serv-U に注意」のアップデートがありました。基本的に、連邦政府組織へのパッチ適用要求のリストですが、その内容は民間企業にとっても有益なものとなっています。それにしても、このところの CISA の活動はダイナミックです。よろしければ、CISA で検索も ご利用ください。
IoT OT Security News 