CISA KEV 警告 22/09/08:Chrome/ D-Link/QNAP などの 12件の脆弱性が追加

CISA orders agencies to patch Chrome, D-Link flaws used in attacks

2022/09/08 BleepingComputer — CISA は、攻撃に悪用されるバグ・リストに、D-Link の2つの深刻な脆弱性と、Google Chrome および QNAP Photo Station ソフトウェアの2つの (パッチ適用済) ゼロデイを含む、全体で 12件のセキュリティ欠陥を追加した。Google Chrome のゼロデイ (CVE-2022-3075) は、9月2日に緊急セキュリティ・アップデートでパッチが適用されたが、野放し状態での悪用を同社が認識したことで、このリストに加えられた。

この月曜日に、NAS メーカーである QNAP も、広範囲で使用されている Photo Station ソフトウェアのゼロデイ脆弱性 CVE-2022-27593 に対して、パッチを適用したと顧客に警告している。

D-Link の2つの深刻なセキュリティ脆弱性 CVE-2022-28958/CVE-2022-26258 は、Mirai ベースの Moobot ボットネットに悪用されている。悪用に成功した攻撃者は、リモートコードの実行が許され、デバイスの乗っ取りが狙われているようだ。

2021年11月に発表された BOD 22-01 によると、すべての連邦民間行政機関(FCEB)は、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されたセキュリティ・バグに対して、システムにパッチ適用が義務付けられている。

9月8日に追加されたに脆弱性に関しては、9月29日までの3週間で、連邦政府機関は
悪用の試みを確実に阻止することが求められている。

CVEVulnerability NameDue Date
CVE-2022-3075Google Chromium Insufficient Data Validation Vulnerability2022-09-29
CVE-2022-28958D-Link DIR-816L Remote Code Execution Vulnerability2022-09-29
CVE-2022-27593QNAP Photo Station Externally Controlled Reference Vulnerability2022-09-29
CVE-2022-26258D-Link DIR-820L Remote Code Execution Vulnerability2022-09-29
CVE-2020-9934Apple iOS, iPadOS, and macOS Input Validation Vulnerability2022-09-29
CVE-2018-7445MikroTik RouterOS Stack-Based Buffer Overflow Vulnerability2022-09-29
CVE-2018-6530D-Link Multiple Routers OS Command Injection Vulnerability2022-09-29
CVE-2018-2628Oracle WebLogic Server Unspecified Vulnerability2022-09-29
CVE-2018-13374Fortinet FortiOS and FortiADC Improper Access Control Vulnerability2022-09-29
CVE-2017-5521NETGEAR Multiple Devices Exposure of Sensitive Information 2022-09-29
CVE-2011-4723D-Link DIR-300 Router Cleartext Storage of a Password Vulnerability2022-09-29
CVE-2011-1823Android OS Privilege Escalation Vulnerability2022-09-29

米国内の全組織に優先的なセキュリティ・アップデートを要請

DHS の BOD 22-01 は、米国の FCEB 機関にのみ適用されるが、CISA は民間/公共における米国内の組織に対しても、これらのバグに優先的にパッチ適用するよう強く要請している。

このアドバイスを真摯に受け止め、可能な限り早急にパッチを適用することで、攻撃者がネットワークに侵入する際に利用する攻撃対象領域を、大幅に減らすことが可能になる。

木曜日に CISA は、「この種の脆弱性は、サイバー攻撃者が頻繁に悪用する経路であり、連邦政府企業にとって重大なリスクとなる」と説明している。

この拘束力のある指令が 2021年11月に出されて以来、CISA は悪用脆弱性のカタログに対して 800以上のセキュリティ欠陥を追加し、また、セキュリティ侵害を阻止するために、連邦政府機関にタイトなスケジュールでパッチを当てるよう要求している。

すべてのセキュリティに携わる専門家や管理者は、CISA の KEV カタログを確認し、自身が管理する環境内で、リストアップされた脆弱性にパッチを当てることが強く推奨される。

CISA KEV リストですが、8月は5回ほど追加が行われたようです。4日に Zimbra9日に UnRAR と Windows (DogWalk)19日に SAP/Windows/Chrome など、23日に Palo Alto Networks PAN-OS25日に ​​Delta/Apache/Grafana/Apple などといった具合です。2021年10月に始まってから、10ヶ月で 800件というのは、かなり絞り込まれた数字であり、最低限の対応レベルとして、活用できそうな感じですね。

%d bloggers like this: