CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加

CISA adds 7 vulnerabilities to list of bugs exploited by hackers

2022/08/19 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ハッカーに活発に悪用されているバグのリストに7つの脆弱性を追加した。その内容は、新たな脆弱性として Apple/Microsoft/SAP/Google の4社が公開したものと、Palo Altos Networks の2017年の脆弱性で構成されている。Known Exploited Vulnerabilities Catalog (KEV) は、CISA が共有するリストであり、サイバー攻撃での活発な悪用が判明している脆弱性に対して、連邦政府民間行政機関 (FCEB) がパッチ適用の義務を負うものである。


Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities Catalog は、連邦政府にとって重大なリスクをもたらす、既知の CVE のリストとして確立された。BOD 22-01 は拘束的運用指令であり、FCEB のネットワークを脅威から保護するために、特定された脆弱性を期日までに是正することを、各機関に求めている。

今回、これらの7つの脆弱性が追加されたことで、カタログに記載される CVE は 801 件となったが、それぞれの CVE には、パッチ適用を完了すべき日付が含まれている。8月18日に追加された、7つの新しい脆弱性は以下のとおりであり、これら全てに対して、2022年9月8日までのパッチ適用が求めている。

これらのバグは どのような攻撃に利用されるのか?

悪用されている脆弱性を知ることは有用だが、どのように攻撃に、脅威アクターたちが利用しているのかという、詳細については情報が提供されていない。したがって、以下では、新たに追加されたバグについて、私たちが確認できた詳細を紹介する。

SAP における深刻な脆弱性 CVE-2022-22536 は、Onapsisにより2月に公開され、CVSS 値は 10 と評価されている。この脆弱性が悪用されると、データ盗難/金融詐欺リスク/ミッション・クリティカルなビジネス・プロセスの中断/ランサムウェア攻撃などにより、すべての業務の停止につながる可能性があるとして、このバグを修正するよう、CISA は管理者たちに警告を発した。

現時点では、攻撃者によるバグの悪用方法は不明だが、この欠陥の詳細は、先週のセキュリティ・カンファレンス Black Hat で公開されている。技術的な詳細が明らかになったことで、脅威アクターたちは、直ちに悪用し始めたようだ。

Onapsis のアドバイザリには、「昨日 に CISA は、SAP の深刻な脆弱性 CVE-2022-22536 を Known Exploited Vulnerabilities Catalog に追加した。その詳細が Onapsis Research Labs により、Black Hat で公開されてから 1 週間も経たないうちの対応である。この脆弱性は、今年の初めに発見されたものだが、CISA による検証は、早急な対応をユーザー組織に促すものだ」と説明されている。

水曜日に Apple は、macOS/iOS/iPadOS に存在する脆弱性 CVE-2022-32893/CVE-2022-32894 に対して、セキュリティ・アップデートをリリースした。そして、脆弱なデバイスでのコード実行に、悪用される可能性があると説明している。

Apple は、悪用の方法について詳細は明らかにしていないが、CVE-2022-32894 の悪用に成功するとカーネル権限でのコード実行が可能になるため、端末の完全な乗っ取りが生じるとのことだ。

Google の脆弱性 CVE-2022-2856 は、火曜日にリリースされた Google Chrome 104.0.5112.101で修正されたものだ。ハッカーによる悪用の情報は共有されていないが、脆弱性研究者である Hossein Lotfi が、このバグに関する詳細を発見している。

Microsoft は、February 2022 Patch Tuesday でリモート・コード実行の脆弱性 CVE-2022-21971 を修正したが、その悪用の方法は明らかにされていない。

その一方で、5月に修正された Active Directory Domain Services における権限昇格の脆弱性 CVE-2022-26923 は、承認済みの技術的な詳細が明らかにされている。こうした詳細な情報が出回ったことで、研究者や脅威者が、この脆弱性を再現することが可能となった。

最後に、昨日に追加された最も古い脆弱性は、2017年に開示された Palo Altos Networks のリモートコード実行の脆弱性 CVE-2017-15944 である。

この脆弱性は、技術的な詳細がすべて開示されており、5年が経過した後であっても、脆弱なデバイスが存在することは驚きだが、この欠陥を脅威アクターたちが悪用しても不思議でなない。 

すべてのセキュリティ専門家やシステム管理者は、Known Exploited Vulnerabilities Catalog を確認し、自身の環境内でリストアップされたバグに対して、パッチを適用することを強く推奨する。

先ほどの SAP の脆弱性 CVE-2022-22536 は2月のもので、Microsoft の CVE-2022-21971 と CVE-2022-26923 は2月と5月、Apple の CVE-2022-32893 と CVE-2022-32894、そして、Google の CVE-2022-2856 は、最近のものです。ただし、文中にもあるように、Palo Altos Networks の CVE-2017-15944 は 2017年の脆弱性です。脅威ハンターが悪用するのは、最新の脆弱性だけではないことが、明らかにされています。よろしければ、8月16日の「2022年 Q2 のサイバー攻撃を分析:Microsoft の古い脆弱性が最も多く狙われた」も、ご参照ください。

%d bloggers like this: