CISA Adds Android Pixel, Microsoft Windows, Progress Telerik Report Server Bugs To KEV Catalog
2024/06/14 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、その KEV (Known Exploited Vulnerabilities) カタログに、以下の脆弱性を追加した:
- CVE-2024-32896:Android Pixel の特権昇格の脆弱性
- CVE-2024-26169:Windows Error Reporting の不適切な特権管理の脆弱性
- CVE-2024-4358:Progress Telerik Report Server の認証バイパスの脆弱性
脆弱性 CVE-2024-32896 は、Pixel ファームウェアにおける特権昇格の脆弱性であり、ゼロデイとして悪用されている。
脆弱性 CVE-2024-26169 は、Microsoft Windows Error Reporting Service における特権昇格の問題であり、悪用されると SYSTEM 権限が不正に取得される可能性がある。
脆弱性 CVE-2024-4358は、Progress Telerik Report Server における認証バイパスの欠陥であり、制限された機能に対する、未認証の攻撃者による不正アクセスに悪用される可能性がある。
拘束力のある運用指令 (BOD) 22-01 に記されている、既知の脆弱性の悪用による重大なリスクの軽減に従い、FCEB 機関は、カタログ内の欠陥を悪用する攻撃からネットワークを保護するために、期限までに特定された脆弱性に対処する必要がある。
CISA は連邦政府機関に対して、2024年7月4日までに一連の脆弱性を修正するよう命じている。
専門家たちが推奨するのは、民間組織においても当カタログを見直し、インフラストラクチャーの脆弱性に対処することである。
2024年6月の CISA kEV は、3日に Oracle WebLogic があり、12日には PHP-CGI と Arm Mali GPU がありました。そして、今回の 13日分としては、Android Pixel/Windows/Progress Telerik の脆弱性が追加されています。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.