2024/06/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、以下の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した:
- CVE-2022-24816:GeoSolutionsGroup JAI-EXT におけるコード・インジェクションの脆弱性
- CVE-2022-2586:Linux カーネルにおける Use-After-Free 脆弱性
- CVE-2020-13965:Roundcube Webmail における Cross-Site Scripting (XSS) の脆弱性
以下は、KEV カタログに追加された脆弱性の説明である:
- GeoServer の脆弱性 CVE-2022-24816 (CVSS:9.8):Jai-Ext オープンソース・プロジェクトには、コード・インジェクションの欠陥が存在する。この脆弱性により、Janino を介して Javaコードにコンパイルされた、Jiffle スクリプトの悪用が可能となり、リモート・コード実行を引き起こされる恐れが生じる。この不具合は、2022年4月にリリースされた、GeoServer バージョン 1.2.22 で対処されている。技術的な詳細と PoC エクスプロイト・コードは、2022年8月から公開されている。
- Linuxカーネルの脆弱性 CVE-2022-2586 (CVSS:7.8):nf tテーブルにおける use-after-free の脆弱性であり、特権昇格につながる可能性を生じる。Pwn2Own Vancouver 2022 において、ホワイトハット・ハッカーが、この問題の悪用を実演している。この脆弱性は、2022年8月に修正されているが、技術的な詳細と PoC エクスプロイトが、その数週間後に公開されている。
- Roundcube Webmail の脆弱性 CVE-2020-13965 (CVSS:6.1):クロス・サイト・スクリプティング (XSS) の脆弱性である。この脆弱性は、バージョン 1.4.5/1.3.12 以前に影響する。この脆弱性の悪用に成功した攻撃者は、任意の JavaScript コードを実行される可能性を手にする。2020年6月に、この Roundcube の脆弱性は対処されているが、その直後に PoC エクスプロイト・コードが公開されている。
BOD(Binding Operational Directive)22-01によると、これらの 既知の脆弱性を悪用する攻撃からネットワークを守るために、FCEB 機関は期日までに対処しなければならない。CISA は連邦政府機関に対して、2024年7月17日までに、これらの脆弱性を修正するよう命じている。
さらに専門家たちが推奨するのは、民間組織もカタログを見直し、インフラの脆弱性に対処することである。
2024年6月の CISA KEV は、なんとなく波穏やかという感じでしたが、今日の分を合わせると、合計で9件の脆弱性が登録されていました。そして、これまでの累計が 1126 件だそうです。始まったのが 2021年11月ですから、約2年半が経過しています。ざっと 30ヶ月として、割り算してみると、37件/月くらいペースになります。最初に、300件ほどマトメて登録されたので、それを差し引くと、27件/月です。よろしければ、(更新が滞っていますが) CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.