CISA warns of Windows and iOS bugs exploited as zero-days
2023/02/16 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃において野放し状態で悪用される脆弱性4件をバグリストに追加した。そのうち2件は、Microsoft 製品に影響するものだ。パッチ未適用の Windows システム上で、Common Log File System Driver やグラフィック・コンポーネントの脆弱性の悪用に成功した攻撃者に対して、リモート実行 (CVE-2023-21823) および特権昇格 (CVE-2023-23376) を許してしまう。
3つ目の脆弱性である CVE-2023-21715 は、Microsoft Office のマクロ・ポリシーを回避し、信頼できないファイルを介した悪意のペイロード配信に悪用される可能性がある。
今週に Microsoft は、2022年2月の Patch Tuesday の一環として、これらの3件の脆弱性に対してパッチを適用し、修正プログラムが提供される前に攻撃に悪用された、ゼロデイ脆弱性として分類している。
4つ目の脆弱性は、WebKit におけるタイプコンヒュージョンの問題 CVE-2023-23529 であり、任意のコード実行につながる可能性がある。今週に Apple が対処しているが、野放し状態で悪用されている脆弱性としてタグ付けされた。
この WebKit のゼロデイ脆弱性に影響を受けるデバイスのリストは、iPhone 8 以降/macOS Ventura を搭載したMac/iPad Pro 全モデルとなり、新旧モデルの広範囲に及んでいる。
連邦政府機関は3週間でパッチを適用
2021年11月に発行された、拘束力のある運用指令 (BOD 22-01) によると、すべての連邦民間行政機関 (FCEB) は、CISA のカタログに加えられた、悪用の実績を持つ脆弱性に対して、システムを保護することが要求される。
現時点において CISA は、米国連邦政府機関に対して 3月7日までの3週間で、Microsoft と Apple 脆弱性にパッチを当て、ネットワークを標的とする攻撃を阻止するよう求めている。
この指令は、米国連邦政府機関にのみ適用されるが、すべての組織がセキュリティ・バグを修正し、Windows/iOS デバイスを保護するよう、CISA は強く求めている。
CISA は、「この種の脆弱性は、悪意のサイバー行為者が頻繁に用いる攻撃経路であり、政府と企業にとって重大なリスクとなる」と述べている。
BOD 22-01 指令が発行された以降において CISA は、野放し状態で悪用されている数百の脆弱性をバグリストに取り込み、連邦政府機関にシステムのパッチを当てるよう命じている。
なお CISA は、ネットワーク・オペレーション・フレームワーク Cacti に存在する、深刻な事前認証コマンド・インジェクションの脆弱性 CVE-2022-46169 も、別の欠陥として追加している。
Microsoft Windows/Office の脆弱性3件と、Apple WebKit の脆弱性1件が、同時に CISA KEV リストに入りました。いずれの脆弱性も、すでに米連邦政府機関での悪用が確認されているわけです。Microsoft に関しては 2023年2月の Patch Tuesday で、また、Apple に関しては、同じく2月中旬のパッチで対応とのことなので、アップデートを、お忘れなく。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.