CISA KEV 警告 22/10/20:Linux Kernel の脆弱性 CVE-2021-3493 を悪用リストに追加

CISA adds Linux kernel flaw CVE-2021-3493 to its Known Exploited Vulnerabilities Catalog

2022/10/21 SecurityAffairs — 今週に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linuxカーネル の脆弱性 CVE-2021-3493 を Known Exploited Vulnerabilities Catalog (KEV) に追加した。拘束力のある運用指令 BOD 22-01 によると、既知の脆弱性を悪用した攻撃からネットワークを守るために、それぞれの FCEB 機関は期限までに、特定された脆弱性に対処しなければならない。

専門家たちは、民間企業に対してもソフトウェア資産カタログを見直し、自社のインフラの脆弱性に対処することを推奨している。

脆弱性 CVE-2021-3493 は、Linux カーネルに存在する特権昇格の欠陥のことである。Linux カーネルの overlayfs スタッキング・ファイル・システムは、ユーザー・ネーム・スペースに対するファイル機能の適用を適切に検証していないため、特権への昇格につながる可能性があるという。

2022年9月に、AT&T Alien Labs の研究者たちは、エンドポイントや IoT デバイスを標的とした、Shikitega というステルス Linux マルウェアの新種を発見した。Shikitega の感染チェーンは、特権昇格のために Linux の2つの脆弱性、CVE-2021-3493/CVE-2021-4034 (別名 PwnKit) を悪用する。

その一方で CISA は、最近になって公表された Zimbra Collaboration Suite (ZCS) に影響を及ぼす、脆弱性 CVE-2022-41352 もカタログに追加した。CISA は、それぞれの連邦政府機関に対して、2022年11月10日までに、この2つの脆弱性に対処するよう命じている。

このところ、落ち着いていた感じの CISA KEV ですが、Linuxカーネル の脆弱性 CVE-2021-3493 が追加されました。お隣のキュレーション・チームに聞いてみたら、2021年4月下旬に Ubuntu から発表があり、CVSS 値は 8.8 から 7.8 へと修正されたとのことです。また、2021年9月には overlays for Ubuntu にも存在するとして、CVSS 値 8.8 で公表されています。よろしければ、CISA KEV で検索も、ご利用ください。

%d bloggers like this: