CISA: Hackers exploit critical Bitbucket Server flaw in attacks
2022/09/30 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、攻撃で悪用されたバグのリストに、Atlassian Bitbucket Server の RCE 脆弱性と、Microsoft Exchange のゼロデイ脆弱性の2件を含む、合計で3件のセキュリティ欠陥を追加したことを発表した。Microsoft によると、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されたのは、限定的な標的型攻撃で悪用された Microsoft Exchangeの ゼロデイ脆弱性 CVE-2022-41040/CVE-2022-41082 の2件となる。
Microsoft は、現時点で積極的に悪用される2つのバグに対応するセキュリティ・アップデートをリリースしていないが、攻撃の試みをブロックする IIS サーバーのブロックルールを追加することを、顧客に対する緩和策として共有している。
今日の Microsoft は、「すでに展開されている悪意のアクティビティを監視し、顧客を保護するために必要な対応措置を講じる予定だ。我々は、修正プログラムをリリースするために前倒しスケジュールで作業している」と述べている。
CISA が KEV リストに追加した3つ目のセキュリティ欠陥 CVE-2022-36804 は、Atlassian Bitbucket Server/Data Center に存在する、深刻なコマンド・インジェクションの脆弱性であり、PoC エクスプロイト・コードが公開されている。
攻撃者は、この欠陥を悪意の HTTPリクエストを介して悪用し、リモートでコードを実行できるという。ただし、前提条件として、パブリック・リポジトリへのアクセス権もしくは、プライベート・リポジトリへの読取権限が必要となる。
この RCE 脆弱性は、Ver 6.10.17 以降の Bitbucket Server/Data Center に影響し、そこには Ver 7.0.0 と 8.3.0 以下も含まれる。BinaryEdge と GreyNoise は、9月20日以降に、攻撃者による CVE-2022-36804 のスキャンと悪用の試みを確認している [1, 2]。
連邦政府機関への対策司令
連邦政府機関 (FCEB) は、CISA の KEV カタログに追加された、3つの積極的に悪用されているバグに対して、2021年11月の拘束的運用指令 (BOD 22-01) で要件とされた、パッチまたは緩和策を適用し、悪用の試みを確実に阻止する必要がある。今回は、10月21日までの3週間が与えられている。
また CISA は、BOD 22-01 の適用範囲は FCEB 機関にのみに限定されるが、すべての民間/公共の組織に対して、これらの脆弱性に対して、優先的にパッチを適用するよう強く要請している。早急にパッチを適用することで、潜在的な攻撃者が侵入を試みる際の、標的となる攻撃対象領域を減らすことができる。
9月29日に CISA は、「この種の脆弱性は、驚異アクターが頻繁に攻撃する経路であり、連邦政府機関に大きなリスクをもたらす」と説明している。
昨年に、BOD 22-01 拘束指令が発行されて以来、CISA は 800件以上のセキュリティ欠陥を、この KEV カタログに加え、連邦政府機関に対して厳しいスケジュールで対処するよう要求している。
Exchange の脆弱性 CVE-2022-41040/CVE-2022-41082 は、9月30日の「Microsoft Exchange に2つの深刻なゼロデイ脆弱性:積極的な悪用を検出」でお伝えしたものです。また、Atlassian Bitbucket の CVE-2022-36804 ですが、お隣のキュレーション・チームに聞いてみたところ、8月27日に最初のレポートをアップした後に、9月22日/10月1日に情報を更新しているとのことでした。
IoT OT Security News 
You must be logged in to post a comment.