2024/12/16 SecurityOnline — 12月16日に米国の CISA は、Windows カーネルの脆弱性 CVE-2024-35250 と、Adobe ColdFusion の脆弱性 CVE-2024-20767 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。
CVE-2024-35250 (CVSS 7.8)
Windows カーネルの権限昇格の脆弱性
この脆弱性の悪用に成功した攻撃者は、特権を昇格させシステムを完全に制御し得る。Windows カーネルモード・ドライバに存在する、この脆弱性の悪用は、カーネル・ストリーミング (ks.sys) の IOCTL_KS_PROPERTY リクエストを操作することで実現される。この脆弱性は、Pwn2Own Vancouver 2024 で取り上げられ、セキュリティ研究者の Angelboy (@scwuaptx) により、悪用の可能性が実証されている。さらに懸念されるのは、この脆弱性に対して、PoC エクスプロイト・コードが公開されていることだ。
CVE-2024-20767 (CVSS 7.4)
Adobe ColdFusion の不適切なアクセス制御の脆弱性
この脆弱性は、不適切なアクセス制御に起因しており、未認証のリモート攻撃者に対して、システム・ファイルなどの機密ファイルの読取りを許す可能性がある。さらに、この脆弱性を悪用する攻撃者は、セキュリティ対策を回避し、任意のファイル・システム書込みを達成し、システム全体を完全に侵害する可能性を手にする。この脆弱性に関しては、複数の PoC エクスプロイトがオンラインで出回っており、2024年3月以降から積極的な悪用が確認されている。
CISA からの呼びかけ
すでに CISA は、これらの脆弱性を KEV カタログに追加している。すべての組織およびユーザーに対して、CISA が強く求めているのは、影響を受けるシステムへのパッチ適用を最優先し、これらの脆弱性によるリスクを軽減することだ。連邦政府文民行政部 (FCEB) の各機関は、潜在的な脅威からネットワークを保護するために、2025年1月6日までにパッチを適用する必要がある。
Windows カーネルの脆弱性 CVE-2024-35250 と、Adobe ColdFusion の脆弱性 CVE-2024-20767 が、CISA KEV に登録されました。それぞれの脆弱性については、このブログ内で日本語記事が提供されていますので、よろしければ、CISA KEV ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.