CISA orders agencies to patch vulnerability used in Stuxnet attacks
2022/09/16 BleepingComputer — CISA は、KEV (Known Exploited Vulnerabilities) カタログに6件の脆弱性を追加し、連邦政府機関に対し、ベンダーの指示に従って修正するよう求めている。カタログに追加された6件のセキュリティ脆弱性のうち、2022年になって公表されたものは、Trend Micro の自動脅威検知/対応プラットフォーム Apex One に影響を与える脆弱性の1件のみとなる。
古い脆弱性の復活
CISA は、連邦政府機関に対して、2010年〜2022年の間に報告されたセキュリティ脆弱性を修正するために、10月6日までにパッチを適用するよう求めている。
これらの脆弱性の大半は、攻撃者にシステムの管理者レベルの権限 (LPE:Local Privilege Escalation) を与える。さらに、2つの脆弱性はリモートコード実行(RCE:remote code execution)を引き起こす。
CISA が KEV カタログに追加した脆弱性の多くは 2013年に公開されたもので、その昔、Tizi マルウェアを通じて Android デバイスの root 化に利用されていた。
- CVE-2013-6282 (LPE) :Linux kernel の不適切な入力検証により、メモリへの読み取り/書き込みが可能となり、Android デバイスの root 化に使用された [VROOT]
- CVE-2013-2597 (LPE) :Code Aurora audio driver におけるスタックベース・バッファ・オーバフロー
- CVE-2013-2596 (LPE):Linux kernel における整数オーバーフロー
- CVE-2013-2094 (LPE) – Linux kernel における権限昇格
CISA が連邦機関にパッチ適用を命じた脆弱性のうち、最も古いものは 2010年のもので、Natanz ウラン濃縮工場の遠心分離機に損害を与え、米国の核兵器開発への前進を遅らせる Stuxnet ワームの拡散に使われた。
- CVE-2010-2568 (RCE):Microsoft Windows のショートカットの解析に誤りがあり、不正なショートカット・ファイルのアイコンを表示した際にコードの実行が可能になる
カタログに追加された脆弱性のうち、最も新しいものは、 Trend Micro Apex One/Apex One as a Service に影響を与えるセキュリティ脆弱性だ。この脆弱性 CVE-2022-40139 は今月初めに公開され、少なくとも1件の攻撃に悪用されている。
2021年11月からの拘束力のある運用指令 (BOD) 22-01 により、全ての連邦民間行政府機関は、より安全な環境のために、CISA が KEV カタログに追加したセキュリティ脆弱性にパッチを適用しなければならない。
この指令は米国内の組織を対象としているが、世界中の企業や法人は CISA の KEV カタログを利用することで、ネットワークのセキュリティの向上が可能になる。
Trend Micro の脆弱性に関しては、9月12日の「Trend Micro 警告:Apex One の RCE 脆弱性 CVE-2022-40139 が悪用されている」で詳しく解説されているので、そちらをご参照ください。それにしても、今回の CISA KEV には古い脆弱性が並んでいますね。2010年の Stuxnet に関しては、4月1日に「Rockwell の PLC に深刻な脆弱性:検知されずに物理的に影響をおよぼす Stuxnet タイプか?」という記事がありましたので、よろしければ、ご参照ください。その他の4件は、2013年のものですが、CISA が KEV に加えるということは、いまも悪用されているわけです。その意味でも、重要な情報ですね。
IoT OT Security News 
You must be logged in to post a comment.