CISA 警告 4/25:WSO2/Microsoft/Linux/Jenkins などの7つの脆弱性が追加

CISA adds 7 vulnerabilities to list of bugs exploited in attacks

2022/04/25 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている脆弱性のリストに、Microsoft/Linux/Jenkins などの、7件の欠陥を追加したと発表した。その Known Exploited Vulnerabilities Catalog は、サイバー攻撃で活発に悪用されている脆弱性のリストで、連邦政府民間行政機関 (FCEB) に対してパッチ適用が義務付けられているものである。

CISA は、「拘束的運用指令 BOD 22-01 は、 Known Exploited Vulnerabilities Catalog で指定された既知の悪用脆弱性を示すものであり、連邦政府にとって重大なリスクをもたらす CVE を網羅したリストである。この BOD 22-01 により、FCEB ネットワークの活発な脅威からの保護が義務付けられ、それらの 機関は特定された脆弱性を、期日までに是正することが要求される。詳細については、BOD 22-01ファクトシートを参照してほしい」と述べている。

同組織は、「カタログに記載された脆弱性を悪用する脅威アクターは、認証情報の窃盗/ネットワークへの不正アクセス/リモートでのコマンド実行/マルウェアのダウンロードと実行/デバイスからの情報の窃取などの、様々な攻撃を行える」と付け加えている。

2022年4月25日付けで、以下の7件の脆弱性が追加されたことで、このカタログには 654件の脆弱性が含まれるようになった。そして、連邦政府機関がパッチやアップデートを適用すべき日付も記載されており、これら全てに対して 2022年5月16日までにパッチを適用するよう、CISA は求めている。

CVE NumberVulnerability TitleDue Date
CVE-2022-29464WSO2 Multiple Products Unrestrictive Upload of File Vulnerability2022-05-16
CVE-2022-26904Microsoft Windows User Profile Service Privilege Escalation Vulnerability2022-05-16
CVE-2022-21919Microsoft Windows User Profile Service Privilege Escalation Vulnerability2022-05-16
CVE-2022-0847Linux Kernel Privilege Escalation Vulnerability2022-05-16
CVE-2021-41357Microsoft Win32k Privilege Escalation Vulnerability2022-05-16
CVE-2021-40450Microsoft Win32k Privilege Escalation Vulnerability2022-05-16
CVE-2019-1003029Jenkins Script Security Plugin Sandbox Bypass Vulnerability2022-05-16

これらのバグの攻撃での利用方法は?

バグの悪用について知ることは有益だが、それらが攻撃で積極的に利用されている方法を理解することはさらに有益だ。WSO2 の脆弱性 CVE-2022-29464 は、2022年4月18日に公開され、その数日後には PoC エクスプロイトが登場した。Rapid7 の研究者たちは直ちに、公開された PoC が Web シェルやコイン・マイナーを展開する攻撃に利用されていることを確認した。

Windows の User Profile Service Privilege Escalation の脆弱性 CVE-2022-21919/CVE-2022-26904 は、いずれも Abdelhamid Naceri により発見され、2021年8月に修正されたオリジナルの脆弱性 CVE-2021-34484 をバイパスするものだ。これらの脆弱性は、いずれも PoC エクスプロイトが公開されており、ランサムウェア・ギャングたちが Windows ドメイン内での横展開に悪用していると、BleepingComputer は聞いている。

DirtyPipe として知られる、Linux の特権昇格の脆弱性 CVE-2022-0847 は 2022年3月に開示されたものだ。その開示の直後に、多数の PoC エクスプロイトが公開され、下図のような手順で容易に root 権限が取得されることが証明された。

Demonstration of the CVE-2022-0847 Dirty Pipe vulnerability
Demonstration of the CVE-2022-0847 Dirty Pipe vulnerability
Source: BleepingComputer

今回、CISA リストに追加された最も古い脆弱性は、Jenkins Script Security Plugin Sandbox Bypass の脆弱性 CVE-2019-1003029 であり、過去において Capoae Malware が XMRig cryptominers を展開するために悪用したことがあるものだ。

すべてのセキュリティ専門家と管理者に対しては、Known Exploited Vulnerabilities Catalogを確認し、自身の環境内にある脆弱なソフトウェアにパッチを適用することが強く推奨されている。

2022年4月の最後の、CISA 悪用脆弱性リストです。今月は、おそらく7〜8回くらい、このリストへの項目の追加があったように思えます。直近のアップデートに関しては、「CISA 警告 4/15:VMware や Chrome の脆弱性が悪用リストに追加」や、「CISA 警告 4/19:悪用脆弱性リストに Windows Print Spooler バグなどを追加」などがありますので、よろしければ、ご参照ください。

%d bloggers like this: