CISA: Patch actively exploited Firefox zero-days until March 21st
2022/03/08 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は連邦政府民間機関に対して、いくつかの攻撃で悪用されている、Firefox の深刻な脆弱性について、今後の2週間以内にパッチするよう命じた。この週末に公開された Mozilla のアドバイザリによると、この2つの Use After Free のバグ (CVE-2022-26485/CVE-2022-26486) の悪用に成功した攻撃者は、標的デバイス上でのクラッシュを誘発し、悪意のコードを実行できるという。
脆弱なバージョンの Firefox が動作しているシステム上で、これらの脆弱性の悪用に成功した攻撃者は、さらなる攻撃のためのマルウェアのダウンロードを含め、ほぼ全てのコマンドを実行できる可能性があるため、深刻度は Critical と評価されている。
Mozilla は、リモート・コード実行 (CVE-2022-26485) と、ブラウザのサンドボックスからの脱出 (CVE-2022-26486) に使用されると思われる、この2つの脆弱性を悪用したワイルドな攻撃の報告を受け取ったと述べている。
2021年11月に発行された BOD 22-01 に従う連邦政府民間行政機関 (FCEB) は、これらの脆弱性に対するシステムの安全確保を求められており、CISA は 3月21日までにパッチを適用するよう求めている。
CISA は、「この種の脆弱性は、あらゆる種類の悪意のあるサイバー行為者が、頻繁に攻撃するベクトルであり、連邦政府の企業にとって重大なリスクとなる」と説明している。
CISA は、脅威アクターがワイルドかつ積極的に悪用している証拠に基づき、他の9件の脆弱性に関しても、Known Exploited Vulnerabilities Catalog に追加した。そのうちの1つである CVE-2021-21973 は、VMware vCenter サーバーに影響を与え、情報漏えいにつながるものであり、2週間以内のパッチ適用が要求されている。
CVE ID | Vulnerability Name | Due Date |
CVE-2022-26486 | Mozilla Firefox Use-After-Free Vulnerability | 03/21/22 |
CVE-2022-26485 | Mozilla Firefox Use-After-Free Vulnerability | 03/21/22 |
CVE-2021-21973 | VMware vCenter Server, Cloud Foundation Server Side Request Forgery (SSRF) | 03/21/22 |
CVE-2020-8218 | Pulse Connect Secure Code Injection Vulnerability | 09/07/22 |
CVE-2019-11581 | Atlassian Jira Server and Data Center Server-Side Template Injection Vulnerability | 09/07/22 |
CVE-2017-6077 | NETGEAR DGN2200 Remote Code Execution Vulnerability | 09/07/22 |
CVE-2016-6277 | NETGEAR Multiple Routers Remote Code Execution Vulnerability | 09/07/22 |
CVE-2013-0631 | Adobe ColdFusion Information Disclosure Vulnerability | 09/07/22 |
CVE-2013-0629 | Adobe ColdFusion Directory Traversal Vulnerability | 09/07/22 |
CVE-2013-0625 | Adobe ColdFusion Authentication Bypass Vulnerability | 09/07/22 |
CVE-2009-3960 | Adobe BlazeDS Information Disclosure Vulnerability | 09/07/22 |
BOD 22-01 は FCEB 機関に対してのみ適用されるが、CISA はすべての民間および公共の機関に対して、これらのセキュリティ欠陥を優先的に緩和することで、進行中のサイバー攻撃への露出を減らすよう強く要請している。
今年に入ってからの CISA は、積極的に悪用されるバグのカタログに数百の脆弱性を追加し、セキュリティ侵害を避けるために、可能な限り早急にパッチを適用するよう連邦政府機関に命じている。
先週の金曜日には 95件のバグが追加され、そのうち8件は深刻度が 9.8 以上と高く、Cisco/Apache/Exim などの製品に影響を及ぼすものだ。
米国の CISA は、連邦政府の民間機関に対して、積極的に悪用される以下のバグに対するパッチ適用を命じている。
- Zabbix servers
- Google Chrome and Adobe Commerce/Magento Open Source
- iPhones, iPads, and Macs
- Windows systems [1, 2]
この、CISA の Known Exploited Vulnerabilities Catalog が、悪用されている既知の脆弱性を、1件ずつ潰していくというという意味で、とても現実的なアプローチだと思います。また、それらが、Department of Homeland Security (DHS) が発表した指令 BOD 22-01 に裏打ちされ、連邦政府機関に対して強制されている点も評価できます。