2023/02/11 SecurityAffairs — CISA は、Fortra MFT/Intel ドライバ/TerraMaster NAS などに存在し、活発に悪用されている脆弱性 CVE-2023-0669/CVE-2015-2291/CVE-2022-24990 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。 この CVE-2015-2291 (CVSS:7.8) は、Windows IQVW32.sys/IQVW64.sys 用の Intel イーサネット診断ドライバに存在する、サービス拒否 (DoS) の脆弱性である。
CVE-2022-24990 は、TerraMaster OS に存在するリモート・コマンド実行の脆弱性であり、未認証の攻撃者に対して、ターゲット・エンドポイント上でのコマンド実行を許すものだ。この脆弱性は、米国/韓国の機関が共同で発表した CSA (Cybersecurity Advisory) でも報告されている。北朝鮮とつながりのある APT グループが、活動資金調達のために行っている医療機関や主要なインフラ施設に対するランサムウェア攻撃において、標的のインフラへのイニシャル・アクセス獲得のために、この脆弱性が悪用されているという。
CVE-2023-0669 は、GoAnywhere MFT に影響を与えるリモート・コード・インジェクションの脆弱性であり、アプリケーションの管理コンソールにアクセス可能な攻撃者のみが悪用できるものだ。
この、Fortra (旧 HelpSystems) GoAnywhere MFT に存在する脆弱性は、攻撃者が制御するオブジェクトのデシリアライズが原因となり、License Response Servlet で未認証のリモート・コード実行が生じるというものだ。
Bleeping Computer によると、この脆弱性を悪用した Clop ランサムウェア・グループは、130以上の組織からデータを盗み出したと主張しているという。
BOD (Binding Operational Directive) 22-01 は、既知の脆弱性を悪用した攻撃からネットワークを守るための拘束力を持つものであり、FCEB 機関は期限までに対処する義務を負う。専門家たちは、民間組織も KEV カタログを見直し、自社のインフラの脆弱性に対処することを推奨している。CISA は、連邦政府機関に対し、2023年3月3日までにこれらの脆弱性を修正するよう命じている。
古いものから新しいものまで、3つの脆弱性が CISA KEV に追加されました。最も新しい、Fortra GoAnywhere MFT の脆弱性 CVE-2023-0669 に関しては、2023/02/10 の「GoAnywhere MFT のゼロデイ脆弱性を悪用:130社からのデータ窃取を Clop が主張」を、ご参照ください。なお、CISA KEV ページも、よろしければ、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.