CISA adds 15 vulnerabilities to list of flaws exploited in attacks
2022/03/16 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、積極的な悪用が認められる脆弱性のリストに、さらに 15件の不具合を追加した。これらのアドバイザリは、セキュリティ更新プログラムを適用していないシステム管理者の注意を喚起し、優先的な対応を促すことを目的としている。一連の欠陥をターゲットにする脅威アクターが確認されているため、これらの問題に対処しないと、ネットワークが侵害され、データ漏洩やランサムウェア攻撃につながる可能性がある。
そのため、CISA は連邦政府機関に対して、2015年〜2020年に公開された、以下の 15件の古い脆弱性に注目し、セキュリティ更新プログラムを適用する期限を、2022年4月5日に定めている。
CVE ID | Description | Patch Deadline |
CVE-2020-5135 | SonicWall SonicOS Buffer Overflow Vulnerability | 4/5/2022 |
CVE-2019-1405 | Microsoft Windows UPnP Service Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2019-1322 | Microsoft Windows Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2019-1315 | Microsoft Windows Error Reporting Manager Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2019-1253 | Microsoft Windows AppX Deployment Server Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2019-1129 | Microsoft Windows AppXSVC Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2019-1069 | Microsoft Task Scheduler Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2019-1064 | Microsoft Windows AppXSVC Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2019-0841 | Microsoft Windows AppXSVC Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2019-0543 | Microsoft Windows Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2018-8120 | Microsoft Win32k Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2017-0101 | Microsoft Windows Transaction Manager Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2016-3309 | Microsoft Windows Kernel Privilege Escalation Vulnerability | 4/5/2022 |
CVE-2015-2546 | Microsoft Win32k Memory Corruption Vulnerability | 4/5/2022 |
CVE-2019-1132 | Microsoft Win32k Privilege Escalation Vulnerability | 4/5/2022 |
依然として狙われる従来からの脆弱性
CISA が新たに取り上げた欠陥の大半は、Windows の権限昇格に関するものであり、そのうちの CVE-2019-0841 については PoC エクスプロイトが公開されているため、脅威アクターによる積極的な悪用が懸念される。
Microsoft Task Scheduler の特権昇格の脆弱性 CVE-2019-1069 は、2021年4月に Ryuk ランサムウェアが利用し、感染したシステム上でコード実行権を高めるために使われた。この CVE-2019-1132 は、Buhtrap というハッキング・グループが政府機関に対して悪用し、カーネルモードで任意のコードを実行させたこともある。
Win32k の古い脆弱性 CVE-2018-8120 が、ゼロデイとして攻撃に悪用されたのは 2018年5月であるが、脅威アクターにとって依然として貴重な存在であるようだ。
また、CISAは、SonicWall VPN の深刻なバッファ・オーバーフローの脆弱性であり、発見時に80万台以上のデバイスに影響を与えた、CVE-2020-5135 にもフォーカスしている。そのときに SonicWall はパッチでの修正を試みたが、その内容が部分的であることが後に判明している。その結果として、SonicWall VPN の管理者は、すでに PoC エクスプロイトが流通している段階で、再びパッチを適用することになった。
これらの欠陥が追加されたことで、CISA の Known Exploited Vulnerabilities Catalog は合計 504件となった。そして、これらの脆弱性の全てが、脅威アクターにより悪用されているため、管理者としては無視できないものとなる。
ターゲットへの不正アクセスを可能にするものであるなら、どれだけ古い欠陥であっても、脅威アクターたちは気にしない。そのため、ユーザー組織は、このリストを監視し、すべてのセキュリティ・ギャップを確認する必要がある。
この CISA の悪用脆弱性リストですが、すでに 500件を超える欠陥が集められています。3月11日にポストした、「CISA の脆弱性カタログ:悪用という現実に基づく素晴らしい出発点」にあるように、対処すべてき脆弱性を拾い出すための、とても効率の良いリストになっています。上記のポストは、このリストが素晴らしい理由を、とても丁寧に説明してくれます。