CISA warns organizations to patch 95 actively exploited bugs
2022/03/04 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているセキュリティ欠陥のリストに 95件の脆弱性を追加したが、この件数は、昨年に Binding Operational Directive (BOD) を発行してから最多のものとなる。その中には、20年近く前から認識されているバグもあるが、同庁は、「連邦政府の企業にとって重大なリスクをもたらす」と指摘している。
リストに掲載された最近の重要なバグ
既知の脆弱性悪用によるリスクを軽減する BOD 22-01 に基づき、新たに追加された 95件のセキュリティ上の欠陥を修正するために、連邦政府機関には3週間強の時間が与えられ、大半の期日は 3月24日となっている。27件の脆弱性については、パッチ適用期限が 3月17日と短くなっているが、その理由は、機密情報へのアクセスや、ネットワーク上での横への移動という、システムに深刻な影響を与えるためである。これらのバグのうち8件は、深刻度スコアが 9.8 以上と高いものとなる。
| CVE | Vendor/Project | Product |
|---|---|---|
| CVE-2022-20708 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2022-20703 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2022-20701 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2022-20700 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2022-20699 | Cisco | Small Business RV160, RV260, RV340, and RV345 Series Routers |
| CVE-2020-1938 | Apache | Tomcat |
| CVE-2019-16928 | Exim | Exim Internet Mailer |
| CVE-2018-0151 | Cisco | IOS and IOS XE Software |
CISA の悪用脆弱性カタログの最新項目は、主に Microsoft (Windows/Office) および Cisco の製品に関するものとなる。ただし、Oracle/Adobe/Mozilla/Siemens/Apache/Exim/Linux/Treck TCP/IP Stack /ChakraCore などの、他のベンダーやプロジェクトの製品も含まれている。
まだ、従来からの欠陥が残っている
奇妙なことに、連邦政府機関では、2020年末にサポートが終了したにもかかわらず、いまだに Adobe Flash Player を搭載したシステムを稼働させているようだ。2021年初頭に Adobe も、Flash Player での Flash コンテンツの実行をブロックし、固有のセキュリティ・リスクを理由として、すべてのユーザーに直ちにアンインストールすることを強く推奨している。
CISA が特定した Flash Player のバグの中には、CVSS スコアが 9.8 である、5年以上も前の脆弱性 CVE-2016-4117/CVE-2016-1019 などが含まれている。しかし、このリストで最も古い特権昇格の脆弱性 CVE-2002-0367 は 2002年のものであり、Windows NT/Windows 2000 Windows の smss.exe デバッグ・サブシステムに影響するものだ。以下の表は、今週に Known Exploited Vulnerabilities Catalog に追加された、最も古い 10件の脆弱性のリストである。
| CVE | Vendor/Project | Product | Vulnerability Name | Short Description |
|---|---|---|---|---|
| CVE-2011-0611 | Adobe | Flash Player | Adobe Flash Player Remote Code Execution Vulnerability | Adobe Flash Player contains a vulnerability which allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via crafted Flash content. |
| CVE-2010-3333 | Microsoft | Office | Microsoft Office Stack-based Buffer Overflow Vulnerability | A stack-based buffer overflow vulnerability exists in the parsing of RTF data in Microsoft Office and earlier allows an attacker to perform remote code execution. |
| CVE-2010-0232 | Microsoft | Windows Kernel | Microsoft Windows Kernel Exception Handler Vulnerability | The kernel in Microsoft Windows, when access to 16-bit applications is enabled on a 32-bit x86 platform, does not properly validate certain BIOS calls, which allows local users to gain privileges. |
| CVE-2010-0188 | Adobe | Reader and Acrobat | Adobe Reader and Acrobat Arbitrary Code Execution Vulnerability | Unspecified vulnerability in Adobe Reader and Acrobat allows attackers to cause a denial of service or possibly execute arbitrary code. |
| CVE-2009-3129 | Microsoft | Excel | Microsoft Excel Featheader Record Memory Corruption Vulnerability | Microsoft Office Excel allows remote attackers to execute arbitrary code via a spreadsheet with a FEATHEADER record containing an invalid cbHdrData size element that affects a pointer offset. |
| CVE-2009-1123 | Microsoft | Windows | Microsoft Windows Improper Input Validation Vulnerability | The kernel in Microsoft Windows does not properly validate changes to unspecified kernel objects, which allows local users to gain privileges via a crafted application. |
| CVE-2008-3431 | Oracle | VirtualBox | Oracle VirtualBox Insufficient Input Validation Vulnerability | An input validation vulnerability exists in the VBoxDrv.sys driver of Sun xVM VirtualBox which allows attackers to locally execute arbitrary code. |
| CVE-2008-2992 | Adobe | Acrobat and Reader | Adobe Reader and Acrobat Input Validation Vulnerability | Adobe Acrobat and Reader contain an input validation issue in a JavaScript method that could potentially lead to remote code execution. |
| CVE-2004-0210 | Microsoft | Windows | Microsoft Windows Privilege Escalation Vulnerability | A privilege elevation vulnerability exists in the POSIX subsystem. This vulnerability could allow a logged on user to take complete control of the system. |
| CVE-2002-0367 | Microsoft | Windows | Microsoft Windows Privilege Escalation Vulnerability | smss.exe debugging subsystem in Microsoft Windows does not properly authenticate programs that connect to other programs, which allows local users to gain administrator or SYSTEM privileges. |
今週に追加された 95件の脆弱性により、連邦政府機関が対処すべき、積極的に悪用されるバグを示す CISA カタログは、合計で 478件となった。セキュリティ・アップデートが利用可能になった時点で適用することは、公共部門と民間部門の両方の組織にとって優先されるべきことだ。CISA は、すべての組織がサイバー攻撃への露出を減らすために、このカタログに追加されたセキュリティ問題を修正することを推奨している。
この記事の、Adobe Flash Player に関する指摘の部分は面白いですね。なお、CISA の KNOWN EXPLOITED VULNERABILITIES CATALOG ですが、世界で共有する重要な情報というポジションを確立したという感じがします。このページをオープンすると、2021-11-03 を先頭にした長いリストが表示されますが、日付の項目をクリックすると最新のものから表示されます。また、CISA では、「CISA が編纂するリスト:サイバー・セキュリティのための無償ツール/サービス」に記されているように、ツール類に関する情報も整理しています。よろしければ ご参照ください。
IoT OT Security News 