CISA 警告 4/15:VMware や Chrome の脆弱性が悪用リストに追加

CISA orders agencies to fix actively exploited VMware, Chrome bugs

2022/04/15 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているバグのリストに、VMware の特権昇格の脆弱性および、Google Chrome のリモートコード実行のゼロデイ脆弱性などの、9件のセキュリティ欠陥を追加したことを発表した。4月6日にパッチが適用された VMwareの脆弱性 CVE-2022-22960 は、サポートスクリプトの不適切なパーミッションにより、脆弱なサーバー上での root への特権昇格を攻撃者に許してしまうものである。

また、CISA の KEV (Known Exploited Vulnerabilities) カタログには、Chrome のゼロデイ脆弱性 CVE-2022-1364 も含まれるが、V8 のタイプ・コンフュージョンによりリモートコード実行に至るものとされる。

2021年11月に発表された運用指令 (BOD 22-01) により、それぞれの連邦民間行政機関 (FCEB) は、CISA の KEV リストに追加された全セキュリティ・バグに対してパッチを適用する必要がある。これらの機関には、5月6日までの3週間が与えられ、現在進行中の悪用行為を確実に阻止できるよう、欠陥の緩和が求められている。

今日、CISA は、他の7件のセキュリティ脆弱性をカタログに追加したが、これらはすべて現在進行中の攻撃に悪用されているものである。

CVEVulnerability NameDue Date
CVE-2022-22960VMware Multiple Products Privilege Escalation Vulnerability2022-05-06
CVE-2022-1364Google Chromium V8 Type Confusion Vulnerability2022-05-06
CVE-2019-3929Crestron Multiple Products Command Injection Vulnerability2022-05-06
CVE-2019-16057D-Link DNS-320 Remote Code Execution Vulnerability2022-05-06
CVE-2018-7841Schneider Electric U.motion Builder SQL Injection2022-05-06
CVE-2016-4523Trihedral VTScada (formerly VTS) Denial-of-Service2022-05-06
CVE-2014-0780InduSoft Web Studio NTWebServer Directory Traversal2022-05-06
CVE-2010-5330Ubiquiti AirOS Command Injection Vulnerability2022-05-06
CVE-2007-3010Alcatel OmniPCX Enterprise Remote Code Execution2022-05-06

木曜日に CISA は、VMware のリモート・コード実行の脆弱性 CVE-2022-22954 も追加している。米国の全連邦政府組織は、これらのセキュリティ更新を優先するよう要請されている。

BOD 22-01 指令は、米国の FCEB 機関だけに適用されるものであるが、民間および公共部門の全米国組織に対して、一連の悪用が活発なバグへのパッチを、優先的に適用するよう、CISA は強く要請している。この勧告を心に留めておくことで、脅威者がネットワーク侵入の際に利用する攻撃対象領域を、大幅に減らすことが可能となる。

CISA は、「この種の脆弱性は、あらゆる種類のサイバー攻撃者が頻繁に用いる攻撃経路であり、連邦政府の企業にとって大きなリスクとなる」と説明している。

BOD 22-01 という、拘束力のある指令が発行されて以来、CISA は数百もの脆弱性を、積極的に悪用されるバグ・カタログに追加し、セキュリティ侵害を阻止するために、可能な限り早急にパッチを適用するよう、米国連邦機関に命令している。

この CISA の Known Exploited Vulnerabilities (KEV) カタログですが、いつになったら終わるというものではなく、延々と続くものであることが、なんとなく分かってきました。今回は、VMware と Chrome の最近の脆弱性がメインですが、そこに古いものも付いてくるというパターンです。最も古いものはというと、2007年の Alcatel OmniPCX にまでさかのぼります。脆弱性の悪用の実態が、なんとなく見えてきますね。

%d bloggers like this: