CISA Sounds the Alarm on Actively Exploited Apple and Oracle Zero-Days
2024/11/22 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Apple および Oracle の製品に存在し、活発に悪用されている、3件の脆弱性に対する緊急警告である。これらの脆弱性が、CISA の KEV カタログに追加されたことで、ユーザーによる速やかな更新の必要性が強調される。
KEV に登録された2件の脆弱性は、Apple デバイス上における Safari ブラウザなどの基盤である、WebKit ブラウザ・エンジンに存在する。
脆弱性 CVE-2024-44308:悪意の Web コンテンツを操作する攻撃者は、Intel ベースの Mac 上での任意のコード実行の可能性を得る。
脆弱性 CVE-2024-44309:クロス・サイト・スクリプティング (XSS) 攻撃を引き起こすものであり、攻撃者によるユーザー・データの窃取や、セッション・ハイジャックにいたる可能性が生じる。
すでに Apple は、iOS/iPadOS/macOS/visionOS/Safari に対して、最新のセキュリティ・アップデートを提供し、これらの脆弱性を修正している。その一方で、パッチがリリースされる前に、これらの脆弱性が活発に悪用されていたという事実により、深刻な懸念が引き起こされている。
Google TAG が発見した、これらの脆弱性には、政府の支援を受けた攻撃者や傭兵スパイウェア開発者による、標的を絞った高度な攻撃で悪用された可能性がる。
脆弱性 CVE-2024-21287:Oracle の Agile Product Lifecycle Management (PLM) フレームワークに対して、この脆弱性は影響を及ぼす。この欠陥を悪用する未認証の攻撃者は、リモートからの機密情報を漏洩を可能にする。
Oracle のアドバイザリには、「この脆弱性は、認証を必要とすることなく、リモートからの悪用が可能である。つまり、ユーザー名とパスワードを必要とせずに、ネットワーク経由で悪用される可能性がある。この脆弱性が悪用されると、ファイルの漏洩につながる恐れがある」と記されている。
この脆弱性の悪用に関する詳細は、現時点においても明らかにされていないが、機密ファイルへの不正アクセスの可能性は、Oracle の Agile PLM フレームワークを使用している組織にとって、大きな懸念事項となっている。
CISA が緊急措置を義務付ける
これらの脆弱性の、積極的に悪用を受けた CISA は、連邦文民行政部門 (FCEB) 機関に対して、2024年12月12日までに必要なパッチの適用するよう義務付けている。
いずれも最近になって公表された、Apple と Oracle の脆弱性が、早々と CISA KEV に登録されました。ご利用のチームは、十分に ご注意ください。よろしければ、以下のリンクも、ご参照ください。
2024/11/19:Apple 製品群の CVE-2024-44308/44309 の悪用
2024/11/19:Oracle Agile PLM の CVE-2024-21287 の悪用
IoT OT Security News 
You must be logged in to post a comment.