CISA orders agencies to patch actively exploited Sophos firewall bug
2022/03/31 BleepingComputer — 木曜日に Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対して、Sophos のファイアウォールの深刻なバグを含む、現時点で悪用されている8つの脆弱性に対して、3週間以内にパッチを適用するよう命じた。ほぼ1週間前に Sophos 明らかにしたように、脆弱性 CVE-2022-1040 を悪用する攻撃者は、User Portal または Webadmin インターフェイスを介して認証をバイパスし、リモートで任意のコードを実行できる。
その2日後に Sophos はセキュリティ・アドバイザリを修正し、CVE-2022-1040 の悪用により標的となった、南アジアの小規模な組織に警告を発したと述べている。
また、CISA は、リモートコード実行攻撃に悪用される可能性のある、Trend Micro Apex Central 製品管理コンソールにおける、深刻度の高い任意のファイル・アップロードの脆弱性 CVE-2022-26871 も修正するよう連邦機関に命じた。火曜日に Trend Micro は、この脆弱性を悪用したと思われる攻撃について、少なくとも1件の活発な試みがあると発表している。
今日になって CISA は、Known Exploited Vulnerabilities Catalog に6件の脆弱性を追加したが、これらも全ては、進行中の攻撃で悪用されている脆弱性である。
| CVE | Vulnerability Name | Due Date |
| CVE-2022-26871 | Trend Micro Apex Central Arbitrary File Upload Vulnerability | 2022-04-21 |
| CVE-2022-1040 | Sophos Firewall Authentication Bypass Vulnerability | 2022-04-21 |
| CVE-2021-34484 | Microsoft Windows User Profile Service Privilege Escalation | 2022-04-21 |
| CVE-2021-28799 | QNAP NAS Improper Authorization Vulnerability | 2022-04-21 |
| CVE-2021-21551 | Dell dbutil Driver Insufficient Access Control Vulnerability | 2022-04-21 |
| CVE-2018-10562 | Dasan GPON Routers Command Injection Vulnerability | 2022-04-21 |
| CVE-2018-10561 | Dasan GPON Routers Authentication Bypass Vulnerability | 2022-04-21 |
| CVE-2014-6324 | Microsoft Windows Kerberos KDC Privilege Escalation | 2022-04-21 |
2021年11月に発行された拘束力のある運用指令 (BOD 22-01) によると、連邦民間行政機関 (FCEB) 機関は、これらのセキュリティ欠陥に対して、システムを保護する必要があり、4月21日までに追加された脆弱性にパッチを適用することと求められる。
CISA は、「この種の脆弱性は、あらゆる悪意のサイバー行為者が頻繁に用いる攻撃ベクターであり、連邦政府の企業にとって重大なリスクとなる」と説明している。この BOD 22-01 指令は、FCEB 機関に対してのみ適用されるが、民間および公共部門の組織に対しても、CISA は優先的なパッチ適用を促している。その背景には、これらの活発に悪用されている脆弱性を潰すことで、継続的なサイバー攻撃に対して、ネットワーク露出を低減させるという目論見がある。
CISA は、この拘束力のある指令を出した後に、積極的に悪用されるバグのリストに対して、数百もの脆弱性を追加し、米国連邦政府機関に対して、セキュリティ侵害を防ぐために可能な限り早急にパッチ適用するよう求めている。
今年に入ってからの CISA は、以下の積極的に悪用されるゼロデイ脆弱性に対しても、パッチを当てるよう各機関に命じている。
- Google Chrome (CVE-2022-1096)
- Mozilla’s Firefox web browser (CVE-2022-26485)
- Google Chrome (CVE-2022-0609) and Adobe Commerce/Magento Open Source (CVE-2022-24086)
- iPhones, iPads, and Macs (CVE-2022-22620)
2021年11月に始まった、CISA の悪用脆弱性リストは、当初は 300件でしたが、その後に続々と追加され、いまでは 600件を超えるほどになっていると思います。今日の内容を見ると、最新のものとして、Trend Micro と Sophos の脆弱性が追加されていますが、そこには、いくつかの古い脆弱性も含まれます。いずれもが、悪用の実績がアリとなっているものだけに、こうして整理してもらえると、とても助かりますね。3月11日の「CISA の脆弱性カタログ:悪用という現実に基づく素晴らしい出発点」は、この悪用脆弱性リストのことを解説している、とても良い記事だと思います。
IoT OT Security News 