CISA Adds Three New Vulnerabilities to Known Exploited Vulnerabilities Catalog
2024/07/17 SecurityOnline — 米国 CISA は、KEV (Known Exploited Vulnerabilities) カタログに、積極的に悪用されている3件の脆弱性 (CVE-2024-34102/CVE-2024-28995/CVE-2022-22948) を追加した。サイバー犯罪者たちは、これらの脆弱性を積極的に悪用して不正アクセスを行い、データを盗み、重要なインフラを麻痺させる可能性を持つ。ユーザー組織に対しては、システムに直ちにパッチを適用することが求められている。
CVE-2024-34102 (CVSS 9.8)
Adobe Commerce および Magento Open Source の XXE の脆弱性
この脆弱性は、活発な悪用が確認されている。XML External Entity (XXE) 参照の不適切な制限に起因するものであり、悪用に成功した攻撃者に対して、任意のコード実行を許す可能性がある。
この脆弱性の影響を受けるバージョンは、Adobe Commerce 2.4.7/2.4.6-p5/2.4.5-p7/2.4.4-p8 以下である。悪意を持って細工された XML ドキュメントを送信し、外部エンティティを参照することで、この脆弱性の悪用は可能となる。すでに、この脆弱性 CVE-2024-34102 に対しては、PoC エクスプロイト・コードが公開されているため、影響を受けるシステムへのパッチ適用の緊急性が高まっている。
CVE-2024-28995 (CVSS 8.6)
SolarWinds Serv-U のパス・トラバーサルの脆弱性
この脆弱性の悪用に成功した攻撃者は、ホスト・マシン上の機密ファイルの読み取りが可能になる。この脆弱性の悪用に成功した攻撃者は、ホスト・マシン上の機密ファイルの読み取りが可能になる。6月6日の SolarWinds による発表では、Serv-U 15.4.2 hotfix 1 以下のバージョンに脆弱性が存在するとされる。また、影響が及ぶ範囲には、Serv-U FTP Server/Serv-U Gateway/Serv-U MFT Server が含まれる。
この脆弱性は、すでに Serv-U 15.4.2 hotfix 2 で修正されている。Rapid7 による調査では、デフォルトのインストール・オプションで、バージョン 15.4.2.126 が使用された。その結果として、Windows/Linux の両プラットフォーム上で、この脆弱性の悪用に成功し、技術的な詳細が公開されることになった。この脆弱性についは、多数の PoC エクスプロイト・コードが公開されており、その深刻性が高まっている。
CVE-2022-22948 (CVSS 5.5)
VMware vCenter Server の不正確なデフォルト・ファイル・パーミッションの脆弱性
この脆弱性は、デフォルトの不正確なファイル・パーミッションに起因しており、情報漏えいにつながる可能性がある。管理者以外のアクセス権を持つ攻撃者は、この脆弱性を悪用することで、vCenter Server 上の機密情報にアクセスする可能性を持つ。この脆弱性の CVSS スコアは低いが、積極的な悪用が観測されているため、迅速に対処する必要がある。
対策の緊急性
CISA が、これらの脆弱性を KEV カタログに追加したことに加えて、エクスプロイト・コードが公開されている状況を見れば、一刻を争うべきことだとわかる。連邦政府組織に対しては、期限である 2024年8月7日までに、影響を受けるシステムに優先的にパッチを適用することが命じられている。これを怠ると、深刻な結果を招きかねない攻撃を受けやすくなる。
CISA KEV に、3件の脆弱性が登録されました。それぞれの脆弱性に関しては、以下のリンクを ご参照ください。Adobe/Magento および SolarWinds の脆弱性に関しては、PoC も提供されていますので、ご利用のチームは、十分に ご注意ください。
2024/07/15:脆弱性 CVE-2024-34102:侵害される Magent サイト
2024/06/20:脆弱性 CVE-2024-34102:Adobe Commerce/Magento
2024/06/21:SolarWinds の脆弱性 CVE-2024-28995:PoC 公開と攻撃2022/03/29:VMware vCenter Server 脆弱性 CVE-2022-22948 が FIX
IoT OT Security News 
You must be logged in to post a comment.