CISA Issues Alert: Three Actively Exploited Vulnerabilities Demand Immediate Attention
2024/09/03 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Draytek VigorConnect ルーター/Kingsoft WPS Office における3つの脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した。
Draytek VigorConnect ルーターの脆弱性 CVE-2021-20123/CVE-2021-20124 (CVSS:7.5) :これらの脆弱性により、認証されていない攻撃者は、基盤となる OS 上の機密ファイルへの不正アクセスが可能となり、データ漏洩やシステムの侵害が発生する可能性がある。
Kingsoft WPS Office のゼロデイ脆弱性 CVE-2024-7262 (CVSS:9.8) :特に中国や東アジアで広く使用されている Office Suite である Kingsoft WPS Office に影響を与える脆弱性である。このパス・トラバーサルの脆弱性の悪用に成功した攻撃者は、Windows システム上の promecefpluginhost.exe コンポーネントを介して、任意の Windows ライブラリのロードを可能にする。
この脆弱性は、APT-C-60 として知られる、韓国系サイバー・スパイ・グループにより積極的に悪用されている。このゼロデイ脆弱性を悪用する攻撃者たちは、SpyGlace というカスタム・バックドアを展開し、標的ユーザーを高度なマルウェアに感染させている。この悪意の活動は、主に中国や東アジアのユーザーを標的としており、このサイバースパイ・キャンペーンの地政学的な影響を浮き彫りにしている。
脆弱性 CVE-2024-7262 は、ユーザーから提供されたファイルパスに対する、不十分な検証に起因しており、攻撃者による任意の Windows ライブラリのアップロード/実行を可能にする。それにより、攻撃者はリモートでコードを実行し、影響を受けたシステムを完全に制御し、データを流出させ、長期的な永続性を維持することが可能になる。
CISA は、連邦政府機関に対して、これらの脆弱性に 2024年9月24日までに対処することを義務付けている。その一方で、これらのシステムに依存している民間組織においても、インフラを保護するために、早急に対策を講じることが強く推奨される。
このブログ内を Draytek で検索してみたら、2022/08/04 の「DrayTek Vigor Routers の RCE の脆弱性:世界の220万台/日本の16万台は安全なのか?」という記事が見つかりましたが、今回の CISA KEV とは別の脆弱性でした。その一方で、WPS Office の脆弱性ですが、2024/08/16 の「WPS Office の脆弱性 CVE-2024-7262/7263 (CVSS:9.3) が FIX:すでに悪用が確認されている」と、2024/08/28 の「Kingsoft WPS Office の RCE 脆弱性 CVE-2024-7262:韓国 APT による悪用を確認」をポストしています。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.