CISA’s KEV Catalog Updated with 3 New Flaws Threatening IT Management Systems
2023/03/08 TheHackerNews — 米国の CISA は、悪用されている証拠があるとして、3つのセキュリティ脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した。この3件のうち最も深刻なものは CVE-2022-35914 で、オープンソースの資産/IT 管理ソフトウェア・パッケージである、Teclib GLPI のサードパーティ・ライブラリ htmlawed に存在する、リモート・コード実行の脆弱性だ。
カタログに追加された脆弱性は以下の通りだ。
- CVE-2022-35914 (CVSS:9.8) – Teclib GLPI のリモート・コード実行の脆弱性
- CVE-2022-33891 (CVSS:8.8) – Apache Spark のコマンド・インジェクションの脆弱性
- CVE-2022-28810 (CVSS:6.8) – Zoho ManageEngine ADSelfService Plus のリモート・コード実行の脆弱性
この、Teclib GLPI の脆弱性に対する攻撃の詳細は不明だが、2022年10月に Shadowserver Foundation は、同社のハニーポットに対する悪用の試みが確認されたことを公表している。
それ以降において、cURL ベースの PoC エクスプロイトが GitHub で公開され、大量のスキャナーの販売が宣伝されていると、2022年12月に VulnCheck のセキュリティ研究者である Jacob Baines が述べている。
さらに、GreyNoise が収集したデータにより、米国/オランダ/香港/オーストラリア/ブルガリアなどの、40 におよぶ悪意の IP アドレスから、この脆弱性を悪用しようとしていたことが判明している。
2つ目の脆弱性 CVE-2022-33891 は、Apache Spark における未認証のアカウントから悪用できるコマンド・インジェクションの脆弱性だ。この脆弱性は、Zerobot ボットネットが分散型サービス拒否 (DDoS) 攻撃を行う目的で、影響を受けやすいデバイスを共同利用するために悪用している。
3つ目の脆弱性 CVE-2022-28810 は、Zoho ManageEngine ADSelfService Plus のリモート・コード実行の不具合であり、2022年4月にパッチが適用されている。
CISA は、「複数の Zoho ManageEngine ADSelfService Plus には、パスワードの変更/リセットを実行する際に、リモートからコードを実行できる不特定の脆弱性が含まれている」と述べている。
この脆弱性を発見したサイバー・セキュリティ企業の Rapid7 は、「脅威アクターたちは、基礎となるシステム上で永続性を獲得し、さらに他の環境へピボットするという、アクティブな悪用の試みのために、任意の OSコマンドを実行する」と述べている。
なお、API セキュリティ企業の Wallarm によると、VMware NSX Manager に存在する2つの脆弱性 (CVE-2021-39144/CVE-2022-31678) を悪用し、コード実行/機密データを窃取する試みが、2022年12月移行も継続して観測されているという。
この、CISA の KEV ですが、2022年には 557件の CVE が追加されたそうです。このトピックは、VulnCheck によるものであり、さまざまなデータが視覚化されているので、ぜひ、ご参照ください。なお、最近の CISA KEV リストへの追加は、以下のとおりです。
2023/02/28:ZK Java Web Framework の脆弱性を悪用リストに追加
2023/02/22:Mitel MiVoice と IBM Aspera Faspex の脆弱性
2023/02/16:Windows/Office/iOS の脆弱性を悪用リストに追加
IoT OT Security News 
You must be logged in to post a comment.