CISA orders agencies to fix actively exploited VMware, Chrome bugs
2022/04/15 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているバグのリストに、VMware の特権昇格の脆弱性および、Google Chrome のリモートコード実行のゼロデイ脆弱性などの、9件のセキュリティ欠陥を追加したことを発表した。4月6日にパッチが適用された VMwareの脆弱性 CVE-2022-22960 は、サポートスクリプトの不適切なパーミッションにより、脆弱なサーバー上での root への特権昇格を攻撃者に許してしまうものである。
また、CISA の KEV (Known Exploited Vulnerabilities) カタログには、Chrome のゼロデイ脆弱性 CVE-2022-1364 も含まれるが、V8 のタイプ・コンフュージョンによりリモートコード実行に至るものとされる。
2021年11月に発表された運用指令 (BOD 22-01) により、それぞれの連邦民間行政機関 (FCEB) は、CISA の KEV リストに追加された全セキュリティ・バグに対してパッチを適用する必要がある。これらの機関には、5月6日までの3週間が与えられ、現在進行中の悪用行為を確実に阻止できるよう、欠陥の緩和が求められている。
今日、CISA は、他の7件のセキュリティ脆弱性をカタログに追加したが、これらはすべて現在進行中の攻撃に悪用されているものである。
CVE | Vulnerability Name | Due Date |
CVE-2022-22960 | VMware Multiple Products Privilege Escalation Vulnerability | 2022-05-06 |
CVE-2022-1364 | Google Chromium V8 Type Confusion Vulnerability | 2022-05-06 |
CVE-2019-3929 | Crestron Multiple Products Command Injection Vulnerability | 2022-05-06 |
CVE-2019-16057 | D-Link DNS-320 Remote Code Execution Vulnerability | 2022-05-06 |
CVE-2018-7841 | Schneider Electric U.motion Builder SQL Injection | 2022-05-06 |
CVE-2016-4523 | Trihedral VTScada (formerly VTS) Denial-of-Service | 2022-05-06 |
CVE-2014-0780 | InduSoft Web Studio NTWebServer Directory Traversal | 2022-05-06 |
CVE-2010-5330 | Ubiquiti AirOS Command Injection Vulnerability | 2022-05-06 |
CVE-2007-3010 | Alcatel OmniPCX Enterprise Remote Code Execution | 2022-05-06 |
木曜日に CISA は、VMware のリモート・コード実行の脆弱性 CVE-2022-22954 も追加している。米国の全連邦政府組織は、これらのセキュリティ更新を優先するよう要請されている。
BOD 22-01 指令は、米国の FCEB 機関だけに適用されるものであるが、民間および公共部門の全米国組織に対して、一連の悪用が活発なバグへのパッチを、優先的に適用するよう、CISA は強く要請している。この勧告を心に留めておくことで、脅威者がネットワーク侵入の際に利用する攻撃対象領域を、大幅に減らすことが可能となる。
CISA は、「この種の脆弱性は、あらゆる種類のサイバー攻撃者が頻繁に用いる攻撃経路であり、連邦政府の企業にとって大きなリスクとなる」と説明している。
BOD 22-01 という、拘束力のある指令が発行されて以来、CISA は数百もの脆弱性を、積極的に悪用されるバグ・カタログに追加し、セキュリティ侵害を阻止するために、可能な限り早急にパッチを適用するよう、米国連邦機関に命令している。
この CISA の Known Exploited Vulnerabilities (KEV) カタログですが、いつになったら終わるというものではなく、延々と続くものであることが、なんとなく分かってきました。今回は、VMware と Chrome の最近の脆弱性がメインですが、そこに古いものも付いてくるというパターンです。最も古いものはというと、2007年の Alcatel OmniPCX にまでさかのぼります。脆弱性の悪用の実態が、なんとなく見えてきますね。