CISA KEV 警告 24/10/15:Windows/Firefox/SolarWinds の脆弱性を登録

CISA Warns Actively Exploited Vulnerabilities, Including Windows Kernel Flaw and Firefox Zero-Day

2024/10/15 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Microsoft Windows/Mozilla Firefox/SolarWinds Web Help Desk などに影響を及ぼし、現在も悪用されている3件の脆弱性についての緊急警告である。これらの脆弱性について、CISA は Known Exploited Vulnerabilities (KEV) に登録したことで、直ちにパッチを適用することの重要性が強調されることになった。

イランの APT が悪用する Windows カーネルの脆弱性

1つ目の脆弱性 CVE-2024-30088 は、Windows カーネルに存在する権限昇格の欠陥であり、その悪用に成功した攻撃者に対して、システム レベルへの権限昇格を許すものである。この、Windows カーネルで発見された脆弱性は、攻撃者が仕掛ける競合状態によりトリガーされ、システムの完全な制御を奪われる可能性を生じる。 CISA は、この脆弱性と、特定キャンペーンの関連付けは行っていない。その一方で Trend Micro 研究者たちは、イランを拠点とする APT グループ OilRig の脅威アクターが、このエクスプロイトを介して Microsoft Exchange サーバを標的とし、認証情報の窃取と権限の昇格を実施していると述べている。

この脆弱性 CVE-2024-30088 (CVSS:7.8) は、2024年6月の Patch Tuesday で修正されているが、現在も悪用が続いているため、修正されていないシステムを使用しているユーザー組織は、直ちに対処する必要がある。この脆弱性を放置する Windows システムには、攻撃者により完全に侵害されるリスクがある。

Firefox のゼロデイに対する積極的な攻撃

Mozilla が認めているのは、Firefox のアニメーション・タイムラインに存在する、深刻な解放後メモリ使用の脆弱性 CVE-2024-9680 が、現時点で積極的に悪用されているという報告である。この脆弱性の悪用に成功した攻撃者は、コンテンツ・プロセスでコード実行を達成し、システムの侵害につなげる可能性を手にしている。この脆弱性は、Firefox/Firefox ESR/Thunderbird の、複数バージョンに影響を及ぼす。

SolarWinds Web Help Desk における機密データの公開

SolarWinds Web Help Desk (WHD) に存在する、脆弱性 CVE-2024-28987 (CVSS:9.1)が悪用されている。この脆弱性は、Web Help Desk アプリケーション内のハードコードされた資格情報に関係するものであり、Horizo​​n3.ai の Zach Hanley により発見されている。攻撃者は、認証を必要とすることなくシステムにリモート・アクセスし、ヘルプデスク・チケットを変更することで、機密データへのアクセスを達成する。

この脆弱性により、リセット・リクエストのパスワードや、共有サービス・アカウントにおける資格情報などが流出する可能性があるため、きわめて深刻な事態となっている。SolarWinds ユーザーに推奨されるのは、バージョン 12.8.3 Hotfix 2 へと更新し、この脆弱性を修正することである。なお、この修正に際しては、Web Help Desk 12.8.3.1813/12.8.3 HF1 を事前にインストールする必要がある。

緊急の対応が必要

CISA は、これらの脆弱性を 2024年11月5日までに修正するよう、すべての連邦文民行政部門 (FCEB) 機関に対して指示している。なお、民間における全てのユーザーと組織に対しても、提供されているアップデートを、ただちに適用することが強く推奨される。

CISA の KEV に、WindowsFirefoxSolarWinds の脆弱性が登録されました。文中でも説明されているように、この KEV に登録されたということは、米国の連邦政府機関において、悪用が確認された脆弱性であると、証明されているわけです。これらの脆弱性により、民間の組織が被害を被ることもあり得るため、慎重に対処すべき情報だと捉えてください。よろしければ、CISA KEV ページも、ご参照ください。