CISA Flags Three Actively Exploited Vulnerabilities in Critical Systems
2024/12/03 SecurityOnline — CISA が KEV カタログに追加したのは、実環境で積極的に悪用されている、Proself/ProjectSend/Zyxel の深刻なセキュリティ脆弱性である。組織および個人に対して求められるのは、潜在的な侵害を防ぐための、早急な対応である。
脆弱性の詳細:
- CVE-2023-45727 (CVSS 7.5):Proself Enterprise/Standard Edition/Proself Gateway Edition/ Proself Mail Sanitize Edition の、バージョン 5.63 未満/1.66 未満/1.08 未満 に影響を及ぼす、XML 外部エンティティ (XXE) 攻撃の脆弱性。この脆弱性の悪用に成功した、リモートの未認証の攻撃者は、影響を受けるサーバに保存されている、機密性の高いアカウント情報への不正アクセスの可能性を得る。
- CVE-2024-11680 (CVSS 9.8):ProjectSend r1720 未満に存在する、不適切な認証の脆弱性。リモートの未認証の攻撃者が、細工した HTTP リクエストを使用することで、アプリケーションにおけるコンフィグレーションの操作が可能になる。この操作により、不正なアカウント作成/ウェブシェルのアップロード/悪意の JavaScript のインジェクションが可能となり、攻撃者は侵害したシステムの完全な制御を得るようになる。
Nuclei テンプレートや Metasploit モジュールなどの公開エクスプロイトにより、広範囲にわたる悪用が容易になっている。Vulncheck の調査によると、ProjectSend のインスタンスの 99% が、依然として脆弱な状態にあり、公開エクスプロイトの入手が容易であることから、9 月以降も悪用が確認されているという。その一方で Censys は、現時点で一般に公開されている、 4,026件の ProjectSend インスタンスを特定している。すべてのインスタンスについて、正確なバージョンの特定は行われていないが、その約半数 (40%) が米国に位置しており、約 9%が CloudFlare のネットワーク・インフラと関連している。 - CVE-2024-11667 (CVSS 7.5): Zyxel ATP/USG FLEX/USG FLEX 50(W)/USG20(W)-VPN シリーズのファームウェア・バージョン V5.00〜V5.38 に影響を及ぼす、ディレクトリ・トラバーサルの脆弱性。この脆弱性の悪用に成功した攻撃者は、細工した URL を通じてファイルのダウンロード/アップロードを達成するため、機密データやシステムの整合性が損なわれる可能性が生じる。さらに懸念されるのは、この脆弱性が、Helldown ランサムウェアの展開に悪用されている点であり、実際にドイツ企業への攻撃が確認されているという。
CISA からの呼びかけ
すべての組織およびユーザーに対して、CISA が強く求めているのは、影響を受けるシステムへのパッチ適用を最優先し、これらの脆弱性によるリスクを軽減することだ。連邦政府文民行政部 (FCEB) の各機関は、潜在的な脅威からネットワークを保護するために、2024年12月24日までにパッチを適用する必要がある。
Proself/ProjectSend/Zyxel の3件脆弱性が、CISA KEV に登録されました。その中で、このブログで拾っていたのは、2024/11/27 の「ProjectSend の脆弱性 CVE-2024-11680 (CVSS 9.8):大量の未パッチ・インスタンスと PoC エクスプロイト」となります。よろしければ、CISA KEV ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.