CISA Adds Apache Superset Bug To Its Known Exploited Vulnerabilities Catalog
2024/01/09 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Superset の脆弱性 CVE-2023-27524 (CVSS:9.8)などをKnown Exploited Vulnerabilities (KEV) カタログに追加した。Apache Superset は、Pythonで書かれたオープンソースのプロダクトであり、Flask Web フレームワークをベースにした、データ可視化とデータ探索のためのプラットフォームである。2022年4月に Horizon3 の研究者たちは、Apache Superset に存在するリモートコード実行を発見した。
Apache Superset には、リソースの安全を毀損するデフォルト・イニシャライズの脆弱性が存在し、インストール手順書に従って SECRET_KEY を変更しないインストールを行うと、攻撃者にとって未承認のリソースがアクセスされる可能性があるという。
BOD (Binding Operational Directive) 22-01 によると、 既知の脆弱性が悪用される重大なリスクを軽減するために、それぞれの FCEB 機関は、この欠陥を悪用する攻撃からネットワークを保護するために、期日までに対処しなければならない。CISA は連邦政府機関に対して、2024年1月29日までに、この脆弱性を修正するよう命じている。
なお、専門家たちは、民間組織もカタログを見直し、インフラの脆弱性に対処することを推奨している。
CISA は、KEV カタログに以下の脆弱性も追加している:
- Adobe:ColdFusion の脆弱性 CVE-2023-38203/CVE-2023-29300。
- Apple:iOS の脆弱性 CVE-2023-41990。この欠陥は、Operation Triangulation の一部として悪用されている。
- D-Link:DSL-2750B デバイスのコマンド・インジェクションの脆弱性 CVE-2016-20017。
- Joomla!:不適切なアクセス制御の脆弱性 CVE-2023-23752。
上記の脆弱性の修正は、2024年1月29日までが期限となっている。なお、ランサムウェア・キャンペーンでの悪用は検知されていない。
今回の CISA KEV ですが、SecurityAffairs としては Apache Superset の脆弱性 CVE-2023-27524 に注目しているようです。よろしければ、CVE-2023-27524 で検索も、ご利用ください。また、Adobe の CVE-2023-38203/CVE-2023-29300 に関しては、2023/07/18 の「Adobe ColdFusion の脆弱性:7月の月例アップデートの混乱が明らかになった」を、Joomla に関しては、2023/12/14 の「GambleForce ハッキング・グループ:Joomla の脆弱性 CVE-2023-23752 などを悪用している」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.