CISA orders agencies to patch Chrome, D-Link flaws used in attacks
2022/09/08 BleepingComputer — CISA は、攻撃に悪用されるバグ・リストに、D-Link の2つの深刻な脆弱性と、Google Chrome および QNAP Photo Station ソフトウェアの2つの (パッチ適用済) ゼロデイを含む、全体で 12件のセキュリティ欠陥を追加した。Google Chrome のゼロデイ (CVE-2022-3075) は、9月2日に緊急セキュリティ・アップデートでパッチが適用されたが、野放し状態での悪用を同社が認識したことで、このリストに加えられた。
この月曜日に、NAS メーカーである QNAP も、広範囲で使用されている Photo Station ソフトウェアのゼロデイ脆弱性 CVE-2022-27593 に対して、パッチを適用したと顧客に警告している。
D-Link の2つの深刻なセキュリティ脆弱性 CVE-2022-28958/CVE-2022-26258 は、Mirai ベースの Moobot ボットネットに悪用されている。悪用に成功した攻撃者は、リモートコードの実行が許され、デバイスの乗っ取りが狙われているようだ。
2021年11月に発表された BOD 22-01 によると、すべての連邦民間行政機関(FCEB)は、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されたセキュリティ・バグに対して、システムにパッチ適用が義務付けられている。
9月8日に追加されたに脆弱性に関しては、9月29日までの3週間で、連邦政府機関は
悪用の試みを確実に阻止することが求められている。
| CVE | Vulnerability Name | Due Date |
| CVE-2022-3075 | Google Chromium Insufficient Data Validation Vulnerability | 2022-09-29 |
| CVE-2022-28958 | D-Link DIR-816L Remote Code Execution Vulnerability | 2022-09-29 |
| CVE-2022-27593 | QNAP Photo Station Externally Controlled Reference Vulnerability | 2022-09-29 |
| CVE-2022-26258 | D-Link DIR-820L Remote Code Execution Vulnerability | 2022-09-29 |
| CVE-2020-9934 | Apple iOS, iPadOS, and macOS Input Validation Vulnerability | 2022-09-29 |
| CVE-2018-7445 | MikroTik RouterOS Stack-Based Buffer Overflow Vulnerability | 2022-09-29 |
| CVE-2018-6530 | D-Link Multiple Routers OS Command Injection Vulnerability | 2022-09-29 |
| CVE-2018-2628 | Oracle WebLogic Server Unspecified Vulnerability | 2022-09-29 |
| CVE-2018-13374 | Fortinet FortiOS and FortiADC Improper Access Control Vulnerability | 2022-09-29 |
| CVE-2017-5521 | NETGEAR Multiple Devices Exposure of Sensitive Information | 2022-09-29 |
| CVE-2011-4723 | D-Link DIR-300 Router Cleartext Storage of a Password Vulnerability | 2022-09-29 |
| CVE-2011-1823 | Android OS Privilege Escalation Vulnerability | 2022-09-29 |
米国内の全組織に優先的なセキュリティ・アップデートを要請
DHS の BOD 22-01 は、米国の FCEB 機関にのみ適用されるが、CISA は民間/公共における米国内の組織に対しても、これらのバグに優先的にパッチ適用するよう強く要請している。
このアドバイスを真摯に受け止め、可能な限り早急にパッチを適用することで、攻撃者がネットワークに侵入する際に利用する攻撃対象領域を、大幅に減らすことが可能になる。
木曜日に CISA は、「この種の脆弱性は、サイバー攻撃者が頻繁に悪用する経路であり、連邦政府企業にとって重大なリスクとなる」と説明している。
この拘束力のある指令が 2021年11月に出されて以来、CISA は悪用脆弱性のカタログに対して 800以上のセキュリティ欠陥を追加し、また、セキュリティ侵害を阻止するために、連邦政府機関にタイトなスケジュールでパッチを当てるよう要求している。
すべてのセキュリティに携わる専門家や管理者は、CISA の KEV カタログを確認し、自身が管理する環境内で、リストアップされた脆弱性にパッチを当てることが強く推奨される。
CISA KEV リストですが、8月は5回ほど追加が行われたようです。4日に Zimbra、9日に UnRAR と Windows (DogWalk)、19日に SAP/Windows/Chrome など、23日に Palo Alto Networks PAN-OS、25日に Delta/Apache/Grafana/Apple などといった具合です。2021年10月に始まってから、10ヶ月で 800件というのは、かなり絞り込まれた数字であり、最低限の対応レベルとして、活用できそうな感じですね。
IoT OT Security News 
You must be logged in to post a comment.