CISA がカタログに追加した 15件の脆弱性:Windows SAM/SMBv3/D-Link などに注意

CISA urges orgs to patch actively exploited Windows SeriousSAM bug

2022/02/11 BleepingComputer — 米国の CISA (Cybersecurity & Infrastructure Security Agency) は、サイバー攻撃に積極的に利用されている、15件のセキュリティ脆弱性をカタログに追加した。これらの脆弱性に関する CISA の警告は、組織のネットワークを保護する全てのシステム管理者にとって、優先的にインストールする必要があるセキュリティ・アップデートという警鐘を鳴らすものだ。

これを怠る企業は、デジタル施設への侵入や、データの侵害、機密アカウントへの不正アクセスなどの脅威の標的となりやすい。

CISA が新たに追加したセキュリティ上の欠陥の中でも、特に目を引くのが CVE-2021-36934 である。それは、Microsoft Windows SAM (Security Accounts Manager) の脆弱性であり、Windows 10/11 のレジストリ・データベース・ファイルに誰もがアクセスし、パスワード・ハッシュを抽出し、管理者権限を得ることができるというものだ。

この欠陥は、2021年7月に Microsoft により修正されたが、更新プログラムのインストールが必要となるシステムが、7カ月が経過した現在でも相当なレベルで存在している。また、この脆弱性に対する回避策は、ココで公開されている。

今回の 15件の欠陥は、下の表に詳述されているように、2014年〜2021年までのものが混在している。

CVE IDDescriptionPatch Deadline
CVE-2021-36934Microsoft Windows SAM Local Privilege Escalation Vulnerability2/24/2022
CVE-2020-0796Microsoft SMBv3 Remote Code Execution Vulnerability8/10/2022
CVE-2018-1000861Jenkins Stapler Web Framework Deserialization of Untrusted Data8/10/2022
CVE-2017-9791Apache Struts 1 Improper Input Validation Vulnerability8/10/2022
CVE-2017-8464Microsoft Windows Shell (.lnk) Remote Code Execution8/10/2022
CVE-2017-10271Oracle Corporation WebLogic Server Remote Code Execution8/10/2022
CVE-2017-0263Microsoft Win32k Privilege Escalation Vulnerability8/10/2022
CVE-2017-0262Microsoft Office Remote Code Execution Vulnerability8/10/2022
CVE-2017-0145Microsoft SMBv1 Remote Code Execution Vulnerability8/10/2022
CVE-2017-0144Microsoft SMBv1 Remote Code Execution Vulnerability8/10/2022
CVE-2016-3088 Apache ActiveMQ Improper Input Validation Vulnerability8/10/2022
CVE-2015-2051D-Link DIR-645 Router Remote Code Execution8/10/2022
CVE-2015-1635Microsoft HTTP.sys Remote Code Execution Vulnerability8/10/2022
CVE-2015-1130Apple OS X Authentication Bypass Vulnerability8/10/2022
CVE-2014-4404Apple OS X Heap-Based Buffer Overflow Vulnerability8/10/2022

その他の脆弱性のうち、このリストにおける CVE-2020-0796 は、管理者が対処すべき深刻なセキュリティ欠陥のひとつであり、最大の深刻度スコアを獲得している。このバグは、悪意を持って作成された圧縮データパケットを、SMBv3 が誤って処理するというものであり、悪用されるとリモートでコード実行を許す可能性が生じる。

このバグは、ワーム化する攻撃にも対応できる。つまり、脅威アクターは大規模なネットワークを、少ない労力で迅速に侵害することが可能となる。2020年3月の時点で、脆弱性 CVE-2020-0796 を持つシステムは、少なくとも 48,000台はあったとされるが、CISA の最新レポートでも強調されているように、この問題は多くのシステムで継続して発生している。

また CISA は、D-Link DIR-645 ルーターにおけるリモートコード実行の脆弱性 CVE-2015-2051 を追加し、攻撃者による悪用が続いていると述べている。この脆弱性における最近の悪用に関する報告は、2021年11月に BotenaGo ボットネットが、CVE-2015-2051 を含む 33件の脆弱性悪用セットを介して、数百万台の IoT デバイス/ルーターを標的にした攻撃となる。

CISA が発表した、今回の脆弱性の悪用リストは、ネットワークの重要な部分に存在する、古くてサポートされていないハードウェアに対しても、企業は意識する必要があると思い出させてくれる。なぜなら、侵入してくる敵対者たちは、脆弱性の古さを気にしないからである。

上記の 15件の欠陥を加え、CISA の既知の脆弱性カタログには、367件 のセキュリティ欠陥が掲載されている。

今回の CISA リストですが、Microsoft Windows SAM の脆弱性 CVE-2021-36934 について、お隣のキュレーション・チームに聞いてみたら、2021年7月24日にレポートしているとのことでした。日付からして、月例のパッチではないですね。 また、Microsoft SMBv3 の脆弱性 CVE-2020-0796 ですが、2021年9月14日の「ブルートフォースと脆弱性が人気の突破口:セキュリティ対策にズレは無いか?」という記事で解説されていました。よろしければ、ご参照ください。

%d bloggers like this: