CISA adds Veeam Backup and Replication bugs to Known Exploited Vulnerabilities Catalog
2022/12/16 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Veeam Backup & Replication に影響をおよぼす2つの脆弱性 CVE-2022-26500/CVE-2022-26501 (CVSS : 9.8) を、Known Exploited Vulnerabilities Catalog に追加した。BOD (Binding Operational Directive) 22-01 に従い、この脆弱性を悪用する攻撃からネットワークを守るために、各 FCEB 機関は指定された期限までに対処する必要がある。民間組織においても、このカタログを確認してインフラの脆弱性に対処することを、専門家たちは推奨している。
同庁によると、Backup & Replication アプリケーションである Veeam Distribution Service には、未認証のユーザーが内部の API 機能にアクセスすることが可能だとされる。したがって、リモートの攻撃者が、内部 API への送信を介して、この脆弱性を悪用し、任意のコード実行にいたる可能性があるという。
Veeam が公開したアドバイザリには、「Veeam Backup & Replication に複数の脆弱性 (CVE-2022-26501 など) が存在し、認証なしで悪意のコードをリモートから実行される可能性がある。したがって、ターゲット・システムの制御を不正に取得される可能性が生じる」と記されている。
この脆弱性は、Backup & Replication 製品のバージョン 9.5/10/11 に影響を及ぼすが、以下のバージョンによりパッチが提供されている。
一連の問題は、Positive Technologies の研究者である Nikita Petrov により発見された。
Nikita Petrov は、「これらの脆弱性は、実際の攻撃で悪用され、多くの組織に大きなリスクが生じると考えている。したがって、可能な限り早急なアップデートが推奨される。それが不可能なときには、これらの製品に関連する異常な活動を検出するための、対策を講じることが重要になる」と述べている。
それぞれの連邦政府機関に対して CISA は、2022年01月03日までに、一連の脆弱性に対処するよう命じている。同庁は、以下の問題もカタログに追加している。
- CVE-2022-42475:Fortinet FortiOS ヒープバッファ・オーバーフローの脆弱性
- CVE-2022-44698:Microsoft Defender SmartScreen のセキュリティ回避の脆弱性
- CVE-2022-27518:Citrix ADC/Gateway の認証バイパスの脆弱性
- CVE-2022-42856:Apple iOS のタイプコンフュージョンの脆弱性
2022年10月24日に、「Veeam の深刻な RCE 脆弱性 CVE-2022-26501/CVE-2022-26504 が FIX」という記事をポストしていますが、そこで解説されているのは、脆弱性が CVE-2022-26501 の方であり、CISA としては CVE-2022-26500 と合わせて KEV に追加したとのことです。それに加えて、Fortinet の CVE-2022-42475 および、Microsoft Defender の CVE-2022-44698、Citrix ADC/Gateway の CVE-2022-27518 といった、最近の注目された脆弱性も KEV に追加されています。よろしければ、関連情報として 10月24日にポストした、「CISA から連邦政府への新指令 BOD 23-01:IT 資産の可視化/脆弱性検出を強化」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.