CISA Warns of Attacks Exploiting Adobe Acrobat Vulnerability
2023/10/11 SecurityWeek — 10月10日 (火) に米国の CISA は、KEV (Known Exploited Vulnerabilities) カタログに5件のセキュリティ欠陥を追加し、今年の初めに明るみに出た Adobe Acrobat/Acrobat Reader の脆弱性を悪用する攻撃について、連邦政府組織に警告した。Adobe Acrobat/Acrobat Reader に存在する use-after-free の脆弱性 CVE-2023-21608 の悪用により、ユーザーのコンテキスト権限でリモートコード実行 (RCE) が可能になるという。
この脆弱性に対するパッチは、2023年1月に Adobe によりリリースされ、その後には PoC エクスプロイトも公表されているため、脅威アクターにとっての攻撃の機会が生まれている。一般的には、CVE-2023-21608 の悪用を記述する報告は見当たらないようだが、CISA KEV リストへの追加は、悪用が発生したという確実な証拠に基づいて行われている。
また CISA は、Cisco IOS/IOS XE の Group Encrypted Transport VPN (GET VPN) に存在する、境界外書き込みの脆弱性 CVE-2023-20109 を KEV に追加している。この脆弱性は、RCE にもつながるものであり、9月末にパッチを適用した Cisco も、悪用の試みを観測したと警告している。
Microsoft に関しても、Skype for Business の脆弱性 CVE-2023-41763 と、WordPad の脆弱性 CVE-2023-36563 が、KEV リストに追加された。この2つのゼロデイに対するパッチは、10月10日に Microsoft からリリースされているが、観測された攻撃の詳細は明らかにされていない。
10月10日 (火) に、CISA が KEV に追加し5つ目の脆弱性は、HTTP/2 プロトコルのゼロデイ脆弱性 CVE-2023-44487 であり、これまでにおいて、最大規模の分散型サービス拒否 (DDoS) 攻撃で悪用されてきたものだ。
そこで用いられる、HTTP/2 Rapid Reset と呼ばれる攻撃手法は、リクエストの送信と即座のキャンセルを繰り返すものであり、HTTP/2 を標準で実装している全てのアプリケーションとサーバは、この攻撃に対して脆弱だとされる。
CISA のアドバイザリには、「この種の脆弱性は、脅威アクターたちが頻繁に悪用する攻撃ベクターであり、連邦政府に重大なリスクをもたらす」と記されている。
拘束的運用指令 (BOD) 22-01によると、連邦政府機関は 21 日以内にネットワーク内の脆弱な製品を特定し、利用可能なパッチと緩和策を適用しなければならない。
なお、BOD 22-01 は連邦政府機関にのみに適用されるが、すべての組織に対して CISA は、KEV カタログを見直すことで、そこに含まれる脆弱性の修正/緩和策を優先し、それが不可能な場合には、脆弱な製品の使用を中止するよう奨励している。
CISA KEV に、まとめて5件の脆弱性が追加されました。特に Adobe の脆弱性 CVE-2023-21608 に関しては、一般には悪用の報告は見当たらないとしながら、連邦政府では悪用が発生したという、確実な証拠があるとされています。このあたりが、KEV の優れたところです。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.