CISA Adds JBoss Richfaces Framework Flaw To Its Known Exploited Vulnerabilities Catalog
2023/09/29 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Red Hat JBoss RichFaces Framework に存在する深刻な脆弱性 CVE-2018-14667 (CVSS : 9.8) を、Known Exploited Vulnerabilities Catalog に追加した。
この脆弱性は、UserResource リソースを介した Expression Language (EL) インジェクション に起因し、RichFaces Framework 3.X〜3.3.4 に影響を及ぼすとされる。この脆弱性の悪用に成功したリモートの未認証の攻撃者は、”org.ajax4jsf.resource.UserResource$UriData” を介して、Java シリアライズ・オブジェクトのチェーンを悪用することで、任意のコード実行を可能にするという。
この脆弱性は、セキュリティ研究者である Joao Filho Matos Figueiredo により発見されたものだ。
BOD (Binding Operational Directive) 22-01 にしたがい、FCEB の各機関は、この脆弱性を悪用する攻撃から、指定された期日までに対処し、ネットワークを守ることが義務づけられる。CISA は、それぞれの連邦政府機関に対して、この脆弱性を 2023年10月19日まで修正するよう命じている。また、専門家たちは、民間の組織においても CISA KEV カタログを見直し、インフラの脆弱性への対処を推進するよう促している。
Red Hat JBoss の RichFaces Framework に存在する深刻な、脆弱性 CVE-2018-14667 (CVSS : 9.8) が、CISA KEV に追加されたとのことです。かなり古そうな脆弱性なので、お隣のキュレーション・チームに聞いてみたところ、2018年11月にレポートを上げているとのことでした。CISA KEV がスタートする前のことなので、この脆弱性を介して、連符政府のシステムが侵害されていたのでしょう。このような視点を提供してくれる CISA KEV は、なかなかの優れものだと思います。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.