CISA KEV 警告 22/09/14:​​Windows/iOS の脆弱性が悪用リストに追加

CISA orders agencies to patch Windows, iOS bugs used in attacks

2022/09/14 BleepingComputer — 今日 CISA は、悪用されているセキュリティ脆弱性のリストに、2つの新しい脆弱性を追加した。これには、Windows の権限昇格の脆弱性と、iPhone/Mac に影響を与える任意のコード実行の脆弱性が含まれている。Windows Common Log File System Driver の権限昇格の脆弱性は CVE-2022-37969 として追跡されており、悪用に成功したローカルの攻撃者は、SYSTEM 権限の取得が可能になる。

Microsoft は、September 2022 Patch Tuesday で、DBAPPSecurity/Mandiant/CrowdStrike/Zscaler の研究者たちにより発見/報告された、この脆弱性にパッチを適用した。

Mandiant の Senior Principal Vulnerability Engineer である Dhanesh Kizhakkinan は、「我々は、積極的な攻撃 Offensive Task Force のエクスプロイト・ハンティング・ミッション中で、このゼロデイ脆弱性を発見した。この共通ログ・ファイル・システム (CLFS : Common Log File System) の脆弱性を悪用した特権昇格 (EOP : escalation of privilege) が野放しになっていた。この悪用は単独で行われ、ブラウザ+EOPのなどのような、チェーンの一部ではないようだ」と BleepingComputer に語っている。

また、Apple は、月曜日に任意のコード実行の脆弱性 CVE-2022-32917 にパッチを適用し、このゼロデイ・バグが iOS/macOS カーネル攻撃に悪用されていたことを確認した。この脆弱性は、Apple にとって、今年に入って8番目のゼロデイ攻撃でるが、それら全ては、高度に標的を絞った攻撃でのみ使用された可能性が高いという。

連邦政府機関に3週間以内にパッチを適用するよう要請

2021年11月に発行された拘束力のある運用指令 BOD 22-01 には、すべての連邦民間行政機関 (FCEB) 機関は、CISA の Known Exploited Vulnerabilities (KEV) カタログに加えられたバグにから、それぞれのネットワークを保護する必要があると記されている。CISA は連邦政府民間行政機関 (FCEB) に対して、10月10日までの3週間で、これら2つのセキュリティ欠陥に対処し、システムを標的とする攻撃を阻止するよう求めている。

この指令は米国の連邦政府機関のみに適用されるものだが、CISA はすべての組織に対して、Windows の特権昇格/Apple Kernel コード実行の脆弱性の修正を要請し、この悪用の試みを阻止しようとしている。

同機関は、「この種の脆弱性は、悪意のサイバー・アクターにより頻繁に使用される攻撃経路であり、連邦政府機関に重大なリスクをもたらす」と警告している。

CISA は  BOD 22-01 の発行以来、800 件を超えるセキュリティ上の欠陥を、野放し状態で悪用されるバグのカタログに追加している。そして、連邦政府機関に対して、攻撃やセキュリティ侵害の可能性を阻止するために早急に対処するよう求めている。

まず、Microsoft Windows の CLFS の脆弱性 CVE-2022-37969 ですが、September 2022 Patch Tuesday で対応された 9月13日に、「Microsoft 警告:Windows CLFS 脆弱性 CVE-2022-37969 などの悪用を検知」という記事で詳細が解説されています。また、Apple iOS/macOS の脆弱性 CVE-2022-32917 については、9月12日の「Apple macOS/iOS アップデート:悪用中のゼロデイ脆弱性が CVE-2022-32917 が FIX」で解説されています。

%d bloggers like this: