CISA tags Windows, Cisco vulnerabilities as actively exploited
2025/03/03 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は連邦政府機関に対して、Cisco および Windows システムの脆弱性を悪用した攻撃から、システムを保護するよう警告した。CISA は、これらの欠陥が実際に悪用されているとし、KEV (Known Exploited Vulnerabilities) カタログに登録したが、悪意の活動と背後で操る人物については、具体的な詳細は提供していない。
1つ目の Cisco の脆弱性 CVE-2023-20118 の悪用に成功した攻撃者は、 RV016/RV042/RV042G/RV082/RV320/RV325 VPN ルーター上で、任意のコマンドを実行できるという。攻撃の前提として有効な管理者認証情報が必要となるが、ルート権限を提供する、認証バイパスの脆弱性 CVE-2023-20025 と連鎖させることで、この攻撃を達成できる。
この脆弱性は 2023年1月の時点で公開され、1年後に更新されたアドバイザリで同社の PSIRT が、CVE-2023-20025 の PoC エクスプロイト・コードの公開を認識していると述べていた。
2つ目のセキュリティバグ CVE-2018-8639 は、Win32k における権限昇格の脆弱性であり、ローカルの攻撃者にターゲット・システムへのログインを許し、カーネル・モードでの任意のコード実行の可能性が生じるという。この悪用が成功すると、データの不正な変更に加えて、完全なユーザー権限を持つ不正なアカウントを作成し、脆弱なWindowsデバイスを乗っ取ることも可能になるという。
2018年12月の時点で Microsoft が発行したセキュリティ・アドバイザリによると、この脆弱性はクライアント (Windows 7 以降) および、サーバ (Windows Server 2008 以降) プラットフォームに影響を及ぼす。
そして、2025年3月3日 (月) に CISA は、この2つの脆弱性を KEV カタログに登録した。 2021年11月に発行された BOD 22-01で義務付けられているように、連邦民間行政機関 (FCEB) は 3月23日までの3週間以内に、この脆弱性の悪用からネットワークを保護する必要がある。
CISA は、「これらのタイプの脆弱性は、脅威アクターたちが頻繁に悪用する攻撃ベクターであり、民間の組織にも重大なリスクをもたらすものだ」と述べている。
この2つの脆弱性について、攻撃で積極的に悪用されていると CISA はタグ付けしたが、Microsoft と Cisco はセキュリティ・アドバイザリを更新していない。
Cisco の脆弱性 CVE-2023-20118 と、Windows の脆弱性 CVE-2018-8639 が、CISA KEV に登録されました。本文中には記載されていませんが、Hitachi Vantara Pentaho の脆弱性 CVE-2022-43939/CVE-2022-43769 と、Progress WhatsUp Gold の脆弱性 CVE-2024-4885 も 2025/03/03 に KEV に登録されています。ご利用のチームは、ご確認ください。よろしければ、CISA KEV ページと併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.