2024/07/29 SecurityOnline — 米国 CISA は、KEV (Known Exploited Vulnerabilities) カタログに、3件の脆弱性 (CVE-2024-4879/CVE-2024-5217/CVE-2023-45249) を追加した。これらの脆弱性は、ServiceNow Now Platform と Acronis Cyber Infrastructure (ACI) サーバに存在するものであり、政府機関と民間企業の両方に重大なリスクをもたらしている。
KEV カタログに追加された3件の脆弱性のうち、CVE-2024-4879/CVE-2024-5217 は、ServiceNow に存在するものであり、いずれも CVSS スコアが 9 以上のクリティカルなものである。これらの入力検証の脆弱性は、ServiceNow の広く使われているプラットフォームの、バンクーバーとワシントン DC のリリースに存在する。
7月10日に ServiceNow は、もう1つの脆弱性 CVE-2024-5178 への対処も含む、これらの脆弱性を修正するセキュリティ更新プログラムをリリースした。この2つの脆弱性が一緒に悪用されると、組織の内部ネットワーク内のデータベースと MID サーバーへの完全なアクセスを、脅威アクターに与える可能性が生じる。MID サーバーはプロキシ・サーバーとして機能し、内部ネットワークと ServiceNow クラウド間の接続を容易にするため、脅威アクターたちの格好の標的となる。
脆弱性 CVE-2024-4879 を発見した Assetnote の研究者たちは、これらの欠陥に関する詳細な分析を 7月11日に公開している。彼らが公開した情報を直ちに悪用し始める脅威アクターたちにより、GitHub 上での動きが活発になり、実用的なエクスプロイトが開発され共有された。Resecurity によると、これらのエクスプロイトは急速にネットワーク・スキャナーに組み込まれ、エクスプロイトの試みが急増したという。
その一方で、サイバーセキュリティ企業の Imperva は、6,000件を超える悪用の試みを観測したと報告している。Resecurity の調査では、これらの脆弱性を悪用するデータ盗難攻撃が確認され、政府機関/データセンター/エネルギー・プロバイダー/ソフトウェア開発会社などに複数の被害者が数えられるという。
さらに緊急性が高まっているのが、Acronis Cyber Infrastructure (ACI) サーバにおけるリモート・コード実行の脆弱性 CVE-2023-45249 (CVSS:9.8) だ。この脆弱性は、ユーザーによる操作を必要としない複雑度の低い攻撃であるため、現時点において活発に悪用されている。先週に Acronis は、この脆弱性のセキュリティ勧告を発表し、潜在的な侵害を防ぐため、直ちにパッチを適用するようユーザーに求めている。
Acronis が強調しているのは、最新のセキュリティ・アップデートをインストールすることの重要性である。すでに、この脆弱性の悪用は知れわたっており、パッチを適用していないシステムには重大なリスクが存在すると、管理者たちに警告している。
CISA は、深刻化する脅威を踏まえて警告を発し、連邦政府機関に対して、2024年8月19日までに3つの脆弱性にパッチを適用するよう強く勧告している。この緊急性は、事態の深刻さと広範な被害の可能性を浮き彫りにしている。
ServiceNow と Acronis の脆弱性が、CISA KEV に登録されました。それぞれの第一報は、2024/07/11 の「ServiceNow に複数の深刻な脆弱性:RCE およびデータ侵害の恐れ」と、2024/07/26 の「Acronis の脆弱性 CVE-2023-45249 が FIX:ユーザー操作を必要としない攻撃が発生」です。詳細については、こちらを ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.