CISA 警告:悪用脆弱性カタログに新旧あわせて 95 件が追加された

CISA warns organizations to patch 95 actively exploited bugs

2022/03/04 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているセキュリティ欠陥のリストに 95件の脆弱性を追加したが、この件数は、昨年に Binding Operational Directive (BOD) を発行してから最多のものとなる。その中には、20年近く前から認識されているバグもあるが、同庁は、「連邦政府の企業にとって重大なリスクをもたらす」と指摘している。

リストに掲載された最近の重要なバグ

既知の脆弱性悪用によるリスクを軽減する BOD 22-01 に基づき、新たに追加された 95件のセキュリティ上の欠陥を修正するために、連邦政府機関には3週間強の時間が与えられ、大半の期日は 3月24日となっている。27件の脆弱性については、パッチ適用期限が 3月17日と短くなっているが、その理由は、機密情報へのアクセスや、ネットワーク上での横への移動という、システムに深刻な影響を与えるためである。これらのバグのうち8件は、深刻度スコアが 9.8 以上と高いものとなる。

CVEVendor/ProjectProduct
CVE-2022-20708CiscoSmall Business RV160, RV260, RV340, and RV345 Series Routers
CVE-2022-20703CiscoSmall Business RV160, RV260, RV340, and RV345 Series Routers
CVE-2022-20701CiscoSmall Business RV160, RV260, RV340, and RV345 Series Routers
CVE-2022-20700CiscoSmall Business RV160, RV260, RV340, and RV345 Series Routers
CVE-2022-20699CiscoSmall Business RV160, RV260, RV340, and RV345 Series Routers
CVE-2020-1938ApacheTomcat
CVE-2019-16928EximExim Internet Mailer
CVE-2018-0151CiscoIOS and IOS XE Software

CISA の悪用脆弱性カタログの最新項目は、主に Microsoft (Windows/Office) および Cisco の製品に関するものとなる。ただし、Oracle/Adobe/Mozilla/Siemens/Apache/Exim/Linux/Treck TCP/IP Stack /ChakraCore などの、他のベンダーやプロジェクトの製品も含まれている。

まだ、従来からの欠陥が残っている

奇妙なことに、連邦政府機関では、2020年末にサポートが終了したにもかかわらず、いまだに Adobe Flash Player を搭載したシステムを稼働させているようだ。2021年初頭に Adobe も、Flash Player での Flash コンテンツの実行をブロックし、固有のセキュリティ・リスクを理由として、すべてのユーザーに直ちにアンインストールすることを強く推奨している。

CISA が特定した Flash Player のバグの中には、CVSS スコアが 9.8 である、5年以上も前の脆弱性 CVE-2016-4117/CVE-2016-1019 などが含まれている。しかし、このリストで最も古い特権昇格の脆弱性 CVE-2002-0367 は 2002年のものであり、Windows NT/Windows 2000 Windows の smss.exe デバッグ・サブシステムに影響するものだ。以下の表は、今週に Known Exploited Vulnerabilities Catalog に追加された、最も古い 10件の脆弱性のリストである。

CVEVendor/ProjectProductVulnerability NameShort Description
CVE-2011-0611AdobeFlash PlayerAdobe Flash Player Remote Code Execution VulnerabilityAdobe Flash Player contains a vulnerability which allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via crafted Flash content.
CVE-2010-3333MicrosoftOfficeMicrosoft Office Stack-based Buffer Overflow VulnerabilityA stack-based buffer overflow vulnerability exists in the parsing of RTF data in Microsoft Office and earlier allows an attacker to perform remote code execution.
CVE-2010-0232MicrosoftWindows KernelMicrosoft Windows Kernel Exception Handler VulnerabilityThe kernel in Microsoft Windows, when access to 16-bit applications is enabled on a 32-bit x86 platform, does not properly validate certain BIOS calls, which allows local users to gain privileges.
CVE-2010-0188AdobeReader and AcrobatAdobe Reader and Acrobat Arbitrary Code Execution VulnerabilityUnspecified vulnerability in Adobe Reader and Acrobat allows attackers to cause a denial of service or possibly execute arbitrary code.
CVE-2009-3129MicrosoftExcelMicrosoft Excel Featheader Record Memory Corruption VulnerabilityMicrosoft Office Excel allows remote attackers to execute arbitrary code via a spreadsheet with a FEATHEADER record containing an invalid cbHdrData size element that affects a pointer offset.
CVE-2009-1123MicrosoftWindowsMicrosoft Windows Improper Input Validation VulnerabilityThe kernel in Microsoft Windows does not properly validate changes to unspecified kernel objects, which allows local users to gain privileges via a crafted application.
CVE-2008-3431OracleVirtualBoxOracle VirtualBox Insufficient Input Validation VulnerabilityAn input validation vulnerability exists in the VBoxDrv.sys driver of Sun xVM VirtualBox which allows attackers to locally execute arbitrary code.
CVE-2008-2992AdobeAcrobat and ReaderAdobe Reader and Acrobat Input Validation VulnerabilityAdobe Acrobat and Reader contain an input validation issue in a JavaScript method that could potentially lead to remote code execution.
CVE-2004-0210MicrosoftWindowsMicrosoft Windows Privilege Escalation VulnerabilityA privilege elevation vulnerability exists in the POSIX subsystem. This vulnerability could allow a logged on user to take complete control of the system.
CVE-2002-0367MicrosoftWindowsMicrosoft Windows Privilege Escalation Vulnerabilitysmss.exe debugging subsystem in Microsoft Windows does not properly authenticate programs that connect to other programs, which allows local users to gain administrator or SYSTEM privileges.

今週に追加された 95件の脆弱性により、連邦政府機関が対処すべき、積極的に悪用されるバグを示す CISA カタログは、合計で 478件となった。セキュリティ・アップデートが利用可能になった時点で適用することは、公共部門と民間部門の両方の組織にとって優先されるべきことだ。CISA は、すべての組織がサイバー攻撃への露出を減らすために、このカタログに追加されたセキュリティ問題を修正することを推奨している。

この記事の、Adobe Flash Player に関する指摘の部分は面白いですね。なお、CISA の KNOWN EXPLOITED VULNERABILITIES CATALOG ですが、世界で共有する重要な情報というポジションを確立したという感じがします。このページをオープンすると、2021-11-03 を先頭にした長いリストが表示されますが、日付の項目をクリックすると最新のものから表示されます。また、CISA では、「CISA が編纂するリスト:サイバー・セキュリティのための無償ツール/サービス」に記されているように、ツール類に関する情報も整理しています。よろしければ ご参照ください。

%d bloggers like this: