2023/04/01 SecurityAffairs — CISA は、KEV (Known Exploited Vulnerabilities) カタログに、9件の脆弱性を新たに追加した。そのうちの5件は、セキュリティ監視ベンダーが自社の商用スパイウェアでモバイル機器を狙うために使用するエクスプロイトの一部である。これらの脆弱性のカタログへの追加は、Google Threat Analysis Group (TAG) が最近に発表した、Android/iOS/Chrome などに対して複数のゼロデイ脆弱性を使用した2つの異なるキャンペーンに関する詳細レポートを受けたものだ。
専門家たちは、どちらのキャンペーンも限定的で高度な標的型であったと指摘している。一連の攻撃の背後にいる脅威アクターたちは、そのエクスプロイトに Zero-Day と N-Day の双方を使用していたという。
- CVE-2021-30900:Apple iOS/iPadOS/macOS の境界外書き込みの脆弱性
- CVE-2022-38181:Arm Mali GPU カーネルドライバの解放済みメモリ使用の脆弱性
- CVE-2023-0266:Linux Kernel の解放済みメモリ使用の脆弱性
- CVE-2022-3038:Google Chrome の解放済みメモリ使用の脆弱性
- CVE-2022-22706:Arm Mali GPU Kernel Driver の不特定の脆弱性
これらのエクスプロイトは、ターゲット・デバイスに商用スパイウェアや悪意のアプリをインストールするために使用された。Google TAG は、この2つのキャンペーンについて、IoC (indicator of compromise) を共有している。
カタログに追加され、残りの4つの脆弱性は以下の通りだ:
- CVE-2013-3163:Microsoft Internet Explorer のメモリ破壊の脆弱性
- CVE-2017-7494:Samba のリモート・コード実行の脆弱性
- CVE-2022-42948:Fortra Cobalt Strike の UI における RCE の脆弱性
- CVE-2022-39197:Fortra Cobalt Strike Teamserver の XSS の脆弱性
BOD (Binding Operational Directive) 22-01 “Reducing the Significant Risk of Known Exploited Vulnerabilities” により、FCEB 機関は、カタログの脆弱性を悪用した攻撃からネットワークを保護するために、指定された期日までに対処する必要がある。CISA は連邦政府機関に対して、2023年4月20日までに一連の脆弱性を修正するよう命じている。
専門家たちは、民間組織も CISA KEV カタログを見直し、インフラの脆弱性に対処することを推奨している。
文中で説明されているスパイウェアの活動については、2023/03/29 の「Google TAG 警告:複数の Zero-Day/N-Day エクスプロイトを用いるキャンペーンについて」で、その詳細をご確認ください。また、関連する情報として、2023/02/27 の「米国の国家サイバー戦略が規制を強化:攻撃的な Hack-Back アプローチも容認」と、2023/03/28 の「米大統領令によるスパイウェア制限:政府による使用については曖昧さが残る」も、興味深い内容となっています。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.