CISA warns of actively exploited Windows, Sophos, and Oracle bugs
2023/11/17 BleepingComputer — 米国の CISA (Cybersecurity & Infrastructure Security Agency) は、既知の悪用脆弱性 (KEV:Known Exploited Vulnerabilities) カタログに、Microsoft/Sophos/Orale の製品に影響を及ぼす、3件の脆弱性を追加した。KEV に登録される脆弱性は、サイバー攻撃での悪用が確認されたものである。したがって、このカタログは、世界中の企業にとっても、優先的に対応すべき欠陥の保管庫として機能している。
CISA は、連邦政府機関に対して、12月7日までに、以下の3件の脆弱性に対するセキュリティ更新プログラムを適用するよう指示している:
CVE-2023-36584: Microsoft Windows における Mark of the Web (MotW) セキュリティ機能のバイパス。
CVE-2023-1671:Sophos Web Appliance に存在するコマンド・インジェクションの脆弱性。リモートでコード実行 (RCE) を許す可能性がある。
CVE-2020-2551:Oracle Fusion Middleware に存在する脆弱性であり、悪用に成功した攻撃者が、IIOP 経由でネットワーク・アクセスし、WebLogic サーバを侵害する可能性がある。
Microsoft は、2023日10月の Patch Tuesday で、この脆弱性 CVE-2023-36584に対処している。しかし、同社の情報開示には、積極的が悪用が示されておらず、この記事を書いている時点でも、悪用されていないと記されている。
2023年4月4日に修正された、Sophos Web Appliance の深刻な脆弱性 CVE-2023-1671 (CVSS:9.8) は、リモートコードを実行 (RCE) の可能性があり、4.3.10.4 未満のバージョンに影響が生じる。
なお、Sophos Web Appliance は、7月20日にサポートが終了し、アップデートが提供されなくなった。同社は顧客に対して、Sophos Firewall Web Protection への移行を通知している。
CISA の KEV カタログは、米国の連邦政府機関を対象としている。その一方で、世界中の企業にとっても有益なものであり、悪用が実証されている脆弱性に対する警告システムとして機能するものである。この情報を基に、システムの更新や、ベンダーが推奨する緩和策を適用といった、必要な措置を講じることを推奨する。
更新 11/17 – Sophos の広報担当者より、脆弱性 CVE-2023-1671 について、以下の説明があった:
2023年4月4日の Sophos Trust Center セキュリティ・アドバイザリに記載されているように、すべての Sophos Web Appliance に自動パッチをリリースしていた。そして、2023年7月には、Sophos Web Appliance を段階的に廃止している。
自動パッチをオフにしている場合や、継続的なアップデートを見逃している Sophos Web Appliance ユーザーは、CISA の通知を参照してほしい。今後においては、Sophos Firewall へのアップグレードを推奨する。
CISA の KEV に、Microsoft/Sophos/Orale の脆弱性が追加されました。文中にもあるように、Microsoft の CVE-2023-36584 は、2023日10月の Patch Tuesday に含まれるものです。お隣のキュレーション・チームに聞いてみたところ、Sophos の CVE-2023-1671 は 2023年4月に、Oracle の CVE-2020-2551 は 2020年1月に公表された脆弱性とのことでした。
IoT OT Security News 
You must be logged in to post a comment.