CISA Warns of Two Mitel Vulnerabilities Exploited in Wild
2023/02/22 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Mitel MiVoice Connect ビジネス・コミュニケーション・プラットフォームに存在する2つの脆弱性が、野放し状態で悪用されていることを連邦政府組織に警告している。CISA は、この欠陥を KEV (Known Exploited Vulnerabilities) カタログに追加し、3月14日まで対処するよう関係機関に指示した。
標的となる組織のネットワークに内部アクセスし、脆弱性 CVE-2022-41223/CVE-2022-40765 の悪用に成功した攻撃者は、このアプリケーションのコンテキスト内で、任意のコード/コマンドを実行する可能性を生み出す。
2022年10月に Mitel は、これらのセキュリティ・ホールとパッチの提供について、顧客に通知している。また、この脆弱性を報告したのは、サイバー・セキュリティ企業である CrowdStrike の研究者だと、Mitel は述べている。
脆弱性 CVE-2022-41223/CVE-2022-40765 を悪用する攻撃について、公開情報は存在しないが、以前に CrowdStrike は、Mitel MiVoice Connect の欠陥が、野放し状態で悪用されているのを目撃している。
それらのサイバー攻撃に、2つの脆弱性が関連している可能性がある。SecurityWeek は CrowdStrike に問い合わせを行っており、何らかの情報を入手したときには、、この記事を更新する予定である。
CISA の KEV リストに追加された Mitel MiVoice Connect の脆弱性は、同社により High リスクの評価が付与されているが、その悪用には認証が必要である。つまり、観測された攻撃では、これらの脆弱性が、イニシャル・アクセスで悪用されたのではなく、標的組織のシステムに不正アクセスが生じた後に、悪用されたという可能性が示唆される。
CrowdStrike は、以前の攻撃で悪用されてきた Mitel MiVoice Connect の脆弱性については、認証なしのリモートコード実行のバグであり、標的の環境へのイニシャル・アクセスで悪用されたとしている。この脆弱性 CVE-2022-29499 は Critical と評価されるものであり、Lorenz などのランサムウェア・グループにより悪用されてきた。
この1年間で、Mitel 製品における他の脆弱性も攻撃で悪用されてきた。2022年3月に研究者たちは、Mitel の脆弱性 CVE-2022-26143 が、巨大な増幅率を持つ反射型分散サービス妨害 (DDoS) 攻撃で悪用されたと警告している。
さらに、2023年2月初旬に Palo Alto Networks は、Mirai の亜種である V3G4 というマルウェアが、Mitel などの 13件の脆弱性を標的にして、IoT デバイスにボットネットに取り込むと警告していた。しかし、その Mitel の脆弱性は、2010年から存在していたとされる。
CISA は、先日にパッチが適用された、IBM Aspera Faspex の脆弱性 CVE-2022-47986 についても、悪用が観測されるとして、連邦政府組織に対して警告を発している。
今回の CISA KEV 警告ですが、Mitel MiVoice と IBM Aspera Faspex の脆弱性3件が、新たに追加されました。すでに、開始から1年4ヶ月が経ち、その登録脆弱性数も 800件を超えているはずです。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.