CISA 警告:Chrome/Redis などの 32 件の脆弱性を悪用リストに追加

CISA warns orgs to patch actively exploited Chrome, Redis bugs

2022/03/28 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対し、野放し状態で積極的に悪用されている Google Chome のゼロデイと、Redis の深刻な脆弱性に対して、3週間以内にパッチするよう命じた。金曜日に公開された Google アドバイザリによると、Chrome のゼロデイ脆弱性 CVE-2022-1096 は、Chrome V8 JavaScript エンジンに存在するタイプ・コンフュージョンであり、脅威者に対して標的デバイス上で任意のコード実行を許す可能性があるとのことだ。

マルウェア集団 Muhstik は、2021年3月10日に PoC エクスプロイトが公開された後に、Redis Lua サンドボックス脱出の脆弱性 CVE-2022-0543に対して、専用のスプレッダー・エクスプロイトを追加している。

2021年11月に発行された拘束力のある運用指令 (BOD 22-01) によると、連邦政府民間行政機関 (FCEB) は、これらの脆弱性に対してシステムを保護する必要があり、CISA は 4月18日までにパッチを適用するよう求めている。CISA は、「この種の脆弱性は、あらゆる種類の悪意のサイバー行為者が、頻繁に攻撃に使用するベクターであり、連邦政府の企業にとって深刻なリスクとなる」と説明している。

今日、CISA は、さらに30件の脆弱性を Known Exploited Vulnerabilities Catalog に追加したが、これらの脆弱性に関しても、現実に悪用されているという証拠に基づき選定されている。BOD 22-01 は FCEB 機関だけに適用されるものだが、あらゆる民間および公共の機関に対して、CISA は進行中のサイバー攻撃への曝露を減らすために、これらの欠陥の緩和を優先するよう促している。

悪用されつつある数百のセキュリティ欠陥

今年に入って CISA は、積極的に悪用されるバグのカタログに数百の脆弱性を追加し、セキュリティ侵害を避けるために可能な限り早急なパッチ適用を、連邦政府機関に対して命じている。先週の金曜日には、SYSTEM としてのコード実行を許す、Windows プリント・スプーラーのバグ (CVE-2022-21999) を含む、現実の攻撃で悪用されている 66 件のバグを追加している。

また、CISA は、約43億対1の比率で記録的な DDoS 攻撃の増幅に悪用された、Mitel TP-240 VoIP インターフェースの脆弱性 CVE-2022-26143 も追加している。2022年に入ってから、CISA は連邦民間機関に対して、積極的に悪用されたゼロデイへのパッチ適用を命じ続けている。

前回の CISA は、3月26日の「CISA 警告:Windows/Mitel などの 66 件の脆弱性を悪用リストに追加」でしたが、この悪用脆弱性リスト以外にも、ロシアに関連する警告が CISA から提供されています。よろしければ、3月16日の「CISA/FBI 警告:MFA プロトコルと PrintNightmare を悪用するロシアからの攻撃」や、3月20日の「CISA/FBI/EU の警告:ロシアによる衛星通信ネットワークの破壊は可能」なども、ご参照ください。

%d bloggers like this: