Two Actively Exploited Security Flaws in Adobe and Oracle Products Flagged by CISA
2025/02/25 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的な悪用の証拠に基づき、Adobe ColdFusion および Oracle Agile Product Lifecycle Management (PLM) に影響を及ぼす、2つのセキュリティ欠陥を Known Exploited Vulnerabilities (KEV) カタログに登録した。
今回、問題とされた脆弱性は以下のとおりである:
CVE-2017-3066 (CVSS:9.8):Apache BlazeDS ライブラリに存在し、Adobe ColdFusion に影響を及ぼすデシリアライゼーションの脆弱性であり、任意のコード実行にいたる恐れがある。(2017年4月に修正済み)
CVE-2024-20953 (CVSS:8.8):Oracle Agile PLM に影響を及ぼすデシリアライゼーションの脆弱性であり、HTTP 経由でネットワークにアクセスが可能な、低権限の攻撃者によるシステム侵害にいたる。(2024年1月に修正済み)
現時点において、これらの脆弱性の悪用に関するレポートは公開されていないが、Oracle Agile PLM に影響を与える、別の脆弱性 CVE-2024-21287 (CVSS:7.5) は、2024年末に活発に悪用されていた。
ユーザーに対して推奨されるのは、必要とされる更新を速やかに適用し、これらの脆弱性に関する潜在的な攻撃のリスクを軽減することだ。なお、連邦政府機関に対しては、2025年3月17日までに、ネットワークを脅威から保護せよとの指示が出ている。
先日には、脅威インテリジェンス企業の GreyNoise が、脆弱な Cisco デバイスに影響を及ぼす、修正済みのセキュリティ脆弱性 CVE-2023-20198 を狙う、活発な悪用試行を明らかにしていた。この攻撃では、ブルガリア/ブラジル/シンガポールなどの、110 もの悪意の IP が活動に関連付けられている。
Adobe ColdFusion の脆弱性と Oracle Agile PLM の脆弱性が、CISA KEV に登録されました。本文中にあるように、Oracle Agile PLM の他の脆弱性 CVE-2024-21287 も、2024年末に悪用が確認されています。ご利用のチームはアップデートをご確認下さい。よろしければ、CISA KEV ページも、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.