CISA tells federal agencies to patch actively exploited Chrome, Magento bugs
2022/02/15 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chrome/Adobe Commerce/Magento Open Source に影響を与える、ゼロデイを含む9つの脆弱性を新たにリストに加えた。Chrome の脆弱性 CVE-2022-0609 は、深刻度の高いuse after free のバグであり、Chrome 98.0.4758.102 未満のバージョンを実行しているコンピュータで、任意のコード実行やセキュリティ・サンドボックス・エスケープなどを許す可能性がある。
また、Adobe Commerce と Magento Open Source の Ver 2.4.3-p1/2.3.7-p2 を対象としたエクスプロイトの悪用により、「非常に限られた攻撃で」リモートコード実行を許す深刻な脆弱性 CVE-2022-24086 を修正する緊急アップデートが、Adobe により公開されている。eコマース・セキュリティ企業である Sansec は、今回の Magento の脆弱性は、2015年に発生した Magento Shoplift と類似しており、脆弱な Magento サイトを乗っ取りが生じる可能性がると警告している。
CISA は、2022年3月1日までに、すべての連邦民間行政機関 (FCEB) が、これら2つのセキュリティ脆弱性に対するパッチを導入する必要があるとしている。本日、CISA の Known Exploited Vulnerabilities Catalog に追加された9つの欠陥リストには、以下の表が示すように、2013年から2022年までの新旧のバグが混在している。
| CVE Number | CVE Title | Patch Deadline |
| CVE-2022-24086 | Adobe Commerce and Magento Open Source Improper Input Validation | 03/01/22 |
| CVE-2022-0609 | Google Chrome Use-After-Free | 03/01/22 |
| CVE-2019-0752 | Microsoft Internet Explorer Type Confusion | 08/15/22 |
| CVE-2018-8174 | Microsoft Windows VBScript Engine Out-of-Bounds Write | 08/15/22 |
| CVE-2018-20250 | WinRAR Absolute Path Traversal | 08/15/22 |
| CVE-2018-15982 | Adobe Flash Player Use-After-Free | 08/15/22 |
| CVE-2017-9841 | PHPUnit Command Injection | 08/15/22 |
| CVE-2014-1761 | Microsoft Word Memory Corruption | 08/15/22 |
| CVE-2013-3906 | Microsoft Graphics Component Memory Corruption | 08/15/22 |
2021年11月に CISAが発行した拘束力のある運用指令 (BOD 22-01) に基づき、連邦政府機関は、これらの積極的に悪用されている脆弱性に対して、システムにパッチを適用することが求められている。
CISA は、「この種の脆弱性は、あらゆるタイプの脅威アクターが頻繁に用いる攻撃ベクターを持っているため、連邦企業に大きなリスクをもたらす。BOD 22-01 は FCEB 機関にのみ適用されるが、すべての組織における脆弱性管理の一環として、このカタログの脆弱性をタイムリーに修復することを優先し、サイバー攻撃への曝露を減らすことを強く求める」と述べている。
先週に、CISA は各機関に対して、Apple WebKit のリモートコード実行のバグが悪用されているため、2月25日までに iPhone/Mac/iPad をアップデートするよう指示している。その前日には、FCEB の各機関に対して、他の 15件の悪用されている欠陥にパッチを適用するよう要請している。特に、Windows の SeriousSAM の特権昇格バグは、攻撃者に対して SYSTEM権限での任意のコード実行を許す可能があるため、2月24日までにパッチを適用するよう要請している。
すっかりお馴染みになった、CISA の脆弱性悪用リストです。この BleepingComputer の記事が、Google Chrome と Adobe Magento をタイトルに入れているのは、その他の脆弱性が古いものだからなのでしょう。最も古いものは、2013年の CVE-2013-3906 ですが、このような誰もが忘れてしまった脆弱性こそが、脅威アクターたちにとっては、魅力的なのでしょう。なお、前回の追加は、2月11日の「CISA がカタログに追加した 15件の脆弱性:Windows SAM/SMBv3/D-Link などに注意」でした。
IoT OT Security News 