Microsoft, Linux, Dahua Flaws Exploited: CISA Warns
2024/08/21 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Exchange Server/Linux Kernel/Dahua IP カメラにおける4つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
- CVE-2021-31196 (CVSS 7.2):Microsoft Exchange Server のリモート・コード実行の脆弱性
この脆弱性の悪用に成功した攻撃者は、脆弱なサーバー上で任意のコードを実行することが可能となり、システムの完全な侵害につながる可能性がある。エンタープライズ環境で Microsoft Exchange が広く使用されていることを考えると、パッチを適用していない組織にとって、この脆弱性は深刻なリスクとなる。
- CVE-2022-0185 (CVSS 8.4):Linux Kernel におけるヒープ・ベースのバッファ・オーバーフローの脆弱性
この脆弱性は、Filesystem Context システムにおいて、legacy_parse_param 関数がパラメータの長さを検証する際の、不適切な処理に起因する。低権限のローカルの攻撃者であっても、Filesystem Context API をサポートしていないファイル・システムを開ける状況にあれば、この脆弱性を悪用することで、影響を受けるシステム上で特権を昇格させることが可能性になる。非特権ユーザーのネーム・スペースが有効化されている環境では、攻撃者が昇格した特権を獲得しやすくなるため、その深刻度は高まる。
- CVE-2021-33045/CVE-2021-33044 (CVSS 9.8):Dahua IP カメラの ID 認証バイパス
これらの脆弱性の悪用に成功した攻撃者は、悪意のデータ・パケットを作成することで、ログイン・プロセスにおけるデバイス認証をバイパスすることが可能になる。広く配備された IP カメラの認証をバイパスする能力は、特に監視映像やセキュリティ監視が最重要となる機密環境において、重大なリスクをもたらす。
CISA は、連邦政府機関に対して、これらの脆弱性に 2024年9月11日までに対処することを義務付けている。しかし、事態の緊急性は連邦政府だけにとどまらない。これらのシステムに依存している、すべての組織に対して強く推奨されるのは、最新のパッチとアップデートを、可能な限り早急に適用することだ。
Microsoft Exchange Server の脆弱性 CVE-2021-31196 ですが、お隣のキュレーション・チームに聞いてみたところ、2012年7月の Patch Tuesday で対応済みとのことでした。こういう脆弱性が、連邦政府の組織内に残っていて、それが悪用されたわけです。また、Linux の CVE-2022-0185 は、2022年2月〜4月に Debian/Ubuntu/RedHat/IBM などからパッチが提供されていました。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.