CISA 警告:Windows/Mitel などの 66 件の脆弱性を悪用リストに追加

CISA adds 66 vulnerabilities to list of bugs exploited in attacks

2022/03/26 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されている 66件の脆弱性の大規模なセットを、Known Exploited Vulnerabilities のカタログに追加した。これらの欠陥は、組織に対する現実のサイバー攻撃として観測されているため、システム管理者の意識を高め、セキュリティ更新プログラムを適用するための、公式勧告として公開されている。

今回、CISA は連邦政府機関に対して、掲載された脆弱性のパッチを 2022年4月15日までに適用し、サイバー攻撃の被害に遭遇するリスクを低減するよう求めている。

66件の膨大な脆弱性

CISA が公表した 66件の脆弱性は、2005年〜2022年に公表されたものであり、ソフトウェア/ハードウェアの種類とバージョンを幅広くカバーしている。2022年2月に公開された Mitel 脆弱性 の CVE-2022-26143 と、Windows の脆弱性 CVE-2022-21999 は、特に興味深いバグである。

Microsoft は 2022年2月の Patch Tuesday アップデートで、Windows Print Spoolerのバグ CVE-2022-21999 を修正したが、その頃の脅威アクターたちは、このバグを積極的に悪用していなかったようだ。この脆弱性の悪用に成功した攻撃者は、Windows の最高特権である SYSTEM としてコード実行が可能になる。

Mitel の脆弱性 CVE-2022-26143 は、MiVoice Business Express や MiCollab などのドライバー (TP-240) を使用するデバイスに影響するものだ。この欠陥により、内部反射の方法を用いて、約 43億対1という、記録的な DDoS 増幅率が可能なるという。この Mitel のバグを発見した Akamai は、2021年2月の時点から、政府/金融機関/ISP を標的とした攻撃が野放しになっていたと報告している。

さらに、今回のセットには、Hewlett Packard OpenView に関する 2005年の RCE の欠陥や、Adobe Reader/Acrobat に関する 2009年のバッファ・オーバーフロー、phpMyAdmin に関する 2009年の RCE などの、2010年〜2016年に発生した 23件の脆弱性が含まれている。

このタイミングで、これら 66件の脆弱性が追加されたことは、必ずしも CISA のアナリストが、それらの活発な悪用を発見しただけというわけではない。おそらく CISA は、システム管理者を圧倒しないように、新しい脆弱性セットを間隔を空けて公表し、現実的な制約と最善のセキュリティ対策の、バランスを取ろうと努めているのだろう。

また、このような古い脆弱性がカタログに追加された理由として、いまでも適用が可能な新たなエクスプロイト・チェーンで活用され、陳腐化した脆弱性から関連性のある脆弱性へとジャンプした可能性もある。

しかし、このリストは、ベンダーが脆弱性を公開すると、その脆弱性を脅威アクターが、如何に素早く標的にし始めるかを示している。たとえば、この2月に公開された、Windows Print Spooler の脆弱性 CVE-2022-21999 や、Mitel DDoS の脆弱性 CVE-2022-26143、WatchGuard の脆弱性 CVE-2022-26318は、その直後から脅威アクターたちに悪用されることになった。

そのため、管理者たちは、特にインターネットに公開されたデバイスに関しては、これらの悪用を防ぐために、可能な限り早急にセキュリティ・アップデートを適用することが重要になる。

今回の脆弱性は数が多いため、CISA は通常の要約表を提供していない。したがって、システム管理者はカタログを用いて新しいエントリを確認する必要がある。このカタログでは、追加日列のヘッダーをクリックすると、最も新しく追加された脆弱性でソートできる。

この CISA の悪用脆弱性リストですが、これで3月は5回目です。また、一度に 66件という大量の追加は、3月4日の 95件に次ぐものとなります。3月11日に「CISA の脆弱性カタログ:悪用という現実に基づく素晴らしい出発点」という記事をポストしていますが、このカタログの意味や活用を考える上で、とても適切な示唆を提供していると思います。とても、オススメです。

%d bloggers like this: