CISA adds 7 vulnerabilities to list of bugs exploited in attacks
2022/04/25 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている脆弱性のリストに、Microsoft/Linux/Jenkins などの、7件の欠陥を追加したと発表した。その Known Exploited Vulnerabilities Catalog は、サイバー攻撃で活発に悪用されている脆弱性のリストで、連邦政府民間行政機関 (FCEB) に対してパッチ適用が義務付けられているものである。
CISA は、「拘束的運用指令 BOD 22-01 は、 Known Exploited Vulnerabilities Catalog で指定された既知の悪用脆弱性を示すものであり、連邦政府にとって重大なリスクをもたらす CVE を網羅したリストである。この BOD 22-01 により、FCEB ネットワークの活発な脅威からの保護が義務付けられ、それらの 機関は特定された脆弱性を、期日までに是正することが要求される。詳細については、BOD 22-01ファクトシートを参照してほしい」と述べている。
同組織は、「カタログに記載された脆弱性を悪用する脅威アクターは、認証情報の窃盗/ネットワークへの不正アクセス/リモートでのコマンド実行/マルウェアのダウンロードと実行/デバイスからの情報の窃取などの、様々な攻撃を行える」と付け加えている。
2022年4月25日付けで、以下の7件の脆弱性が追加されたことで、このカタログには 654件の脆弱性が含まれるようになった。そして、連邦政府機関がパッチやアップデートを適用すべき日付も記載されており、これら全てに対して 2022年5月16日までにパッチを適用するよう、CISA は求めている。
| CVE Number | Vulnerability Title | Due Date |
|---|---|---|
| CVE-2022-29464 | WSO2 Multiple Products Unrestrictive Upload of File Vulnerability | 2022-05-16 |
| CVE-2022-26904 | Microsoft Windows User Profile Service Privilege Escalation Vulnerability | 2022-05-16 |
| CVE-2022-21919 | Microsoft Windows User Profile Service Privilege Escalation Vulnerability | 2022-05-16 |
| CVE-2022-0847 | Linux Kernel Privilege Escalation Vulnerability | 2022-05-16 |
| CVE-2021-41357 | Microsoft Win32k Privilege Escalation Vulnerability | 2022-05-16 |
| CVE-2021-40450 | Microsoft Win32k Privilege Escalation Vulnerability | 2022-05-16 |
| CVE-2019-1003029 | Jenkins Script Security Plugin Sandbox Bypass Vulnerability | 2022-05-16 |
これらのバグの攻撃での利用方法は?
バグの悪用について知ることは有益だが、それらが攻撃で積極的に利用されている方法を理解することはさらに有益だ。WSO2 の脆弱性 CVE-2022-29464 は、2022年4月18日に公開され、その数日後には PoC エクスプロイトが登場した。Rapid7 の研究者たちは直ちに、公開された PoC が Web シェルやコイン・マイナーを展開する攻撃に利用されていることを確認した。
Windows の User Profile Service Privilege Escalation の脆弱性 CVE-2022-21919/CVE-2022-26904 は、いずれも Abdelhamid Naceri により発見され、2021年8月に修正されたオリジナルの脆弱性 CVE-2021-34484 をバイパスするものだ。これらの脆弱性は、いずれも PoC エクスプロイトが公開されており、ランサムウェア・ギャングたちが Windows ドメイン内での横展開に悪用していると、BleepingComputer は聞いている。
DirtyPipe として知られる、Linux の特権昇格の脆弱性 CVE-2022-0847 は 2022年3月に開示されたものだ。その開示の直後に、多数の PoC エクスプロイトが公開され、下図のような手順で容易に root 権限が取得されることが証明された。
Source: BleepingComputer
今回、CISA リストに追加された最も古い脆弱性は、Jenkins Script Security Plugin Sandbox Bypass の脆弱性 CVE-2019-1003029 であり、過去において Capoae Malware が XMRig cryptominers を展開するために悪用したことがあるものだ。
すべてのセキュリティ専門家と管理者に対しては、Known Exploited Vulnerabilities Catalogを確認し、自身の環境内にある脆弱なソフトウェアにパッチを適用することが強く推奨されている。
2022年4月の最後の、CISA 悪用脆弱性リストです。今月は、おそらく7〜8回くらい、このリストへの項目の追加があったように思えます。直近のアップデートに関しては、「CISA 警告 4/15:VMware や Chrome の脆弱性が悪用リストに追加」や、「CISA 警告 4/19:悪用脆弱性リストに Windows Print Spooler バグなどを追加」などがありますので、よろしければ、ご参照ください。
IoT OT Security News 