2025/03/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに、以下の脆弱性を追加した:
- CVE-2025-21590:Juniper Junos OS の不適切な分離/区画化
- CVE-2025-24201:Apple 製品の WebKit の境界外書き込み
脆弱性 CVE-2025-21590 は、Juniper Networks Junos OS のカーネルにおける、不適切な分離/区画化の問題であり、高権限を持つローカル攻撃者に対して、デバイスの整合性の侵害を許す恐れがある。シェル・アクセスが可能なローカル攻撃者であれば、任意のコードを挿入し、影響を受けるデバイスを侵害する機会を得る。なお Juniper は、この欠陥の悪用は、Junos CLI からは不可能だと述べている。
今週のことだが、中国由来の APT グループ UNC3886 が、Juniper Networks Junos OS MX ルーターにカスタム・バックドアを展開していると、Mandiant の研究者たちが警告している。
このグループが、Juniper Networks Junos OS ルーターに仕掛けた最新の攻撃は、システム内部に関する深い知識を示している。UNC3886 は、パッシブ・バックドアの使用や、ログやフォレンジックなどのアーティファクトの改竄などにより、検出を回避しながステルス性を保ち、長期間におよぶ持続性を確保している。
Mandiant は、「我々が観察したのは、侵害済の認証情報を悪用する UNC3886が、ネットワーク・デバイスを管理するターミナル・サーバから Junos OS CLI にアクセスし、FreeBSD シェル・モードへとエスカレートする様子だった。Junos OS に取り込まれる機能としては、バイナリ/ライブラリ/スクリプトなどの不正なコード実行を防止して、ファイルの整合性を確保するための、NetBSD Veriexec から改良された Verified Exec (veriexec) サブシステムがある」と述べている。
同社は、「マルウェアを展開する脅威アクターは、このセキュリティ・メカニズムを、最初に回避する必要がある。 UNC3886 は、信頼できるプロセスに、悪意のコードを挿入することで、これを回避した。その結果として、appid/to/irad/jdosd/oemd/lmpad などの、6つの TinyShell ベースのバックドアをインストールできた。それぞれのバックドアは、リモートアクセス/永続性/ステルス性を目的として設計されており、攻撃者は検出を回避し、長期的な制御を維持できる」と付け加えている。
Mandiant が公開したレポートには、「Veriexec 保護により、未許可のバイナリの実行が防止される。それは、脅威アクターにとっての課題である。なぜなら、Veriexec を無効化する際に、アラートがトリガーされる可能性があるからだ。ただし、信頼できるプロセスのコンテキスト内で、信頼できないコード実行が試行されても、その実行は可能である。Mandiant の調査により明らかになったのは、UNC3886 は正当なプロセスのメモリに、悪意のあるコードを挿入することで、この保護を回避できたことだ。この特定の手法は、現時点で CVE-2025-21590 と関連するものとして追跡されており、Juniper Network のセキュリティ速報 JSA93446 に、その詳細が記載されている」と記されている。
KEV カタログに追加された2番目の脆弱性は、iOS の CVE-2025-24201 である。今週に Apple は、Web ブラウザ・エンジンである WebKit の、ゼロデイ脆弱性 CVE-2025-24201 に対処する、緊急セキュリティ・アップデートをリリースした。
この脆弱性は、境界外書き込みに起因するものであり、きわめて洗練された攻撃で悪用された。
悪意を持って作成された Web コンテンツを使用して、この脆弱性を悪用する攻撃者は、Web コンテンツ・サンドボックスの回避を達成する。この種の攻撃を iOS 17.2 でブロックした Apple は、それに続く追加の対策として、今回の修正プログラムをリリースした。
Apple のアドバイザリには、「悪意を持って作成された Web コンテンツにより、Web コンテンツ・サンドボックスが突破される可能性がある。この種の侵害は、すでに iOS 17.2でブロックされているが、それの続く追加の修正を行っている。具体的に言うと、バージョン 17.2 以下の iOS で、きわめて高度な攻撃で悪用され、特定の個人が侵害された可能性があるという報告を認識している」と記されている。
すでに Apple は、チェック機能を改善し、この脆弱性に対処している。Apple は、このゼロデイ脆弱性に対処するために、iOS 18.3.2/iPadOS 18.3.2/macOS Sequoia 15.3.2/visionOS 2.3.2/Safari 18.3.1 をリリースした。
この欠陥が影響を及ぼす範囲は、iPhone XS 以降/iPad Pro 13インチ/iPad Pro 12.9インチ第3世代以降/iPad Pro 11インチ第1世代以降/iPad Air 第3世代以降/iPad 第7世代以降/iPad mini 第5世代以降/macOS Sequoia/Apple Vision Pro となる。
Apple は、攻撃の詳細をおよび攻撃者について、なにも明らかにしていない。
拘束力のある運用指令 (BOD) 22-01:既知の脆弱性によるリスクを軽減するために FCEB 機関は、カタログに追加された脆弱性に対して、指定された期限までに対処する必要がある。CISA は、連邦政府機関に対して、2025年4月3日までに、Juniper と Apple の脆弱性を修正するよう命じている。
さらに専門家たちは、このカタログを民間組織も確認し、インフラの脆弱性に対処することを推奨している。
Juniper の脆弱性 CVE-2025-21590 と Apple の脆弱性 CVE-2025-24201 が CISA KEV に登録されました。どちらの脆弱性も、最近に修正されたばかりです。それぞれの脆弱性の第一報は、以下の記事になります。よろしければ、CISA KEV ページと併せて、ご参照ください。
2025/03/13:Junos OS の脆弱性 CVE-2025-21590 の悪用を観測
2025/03/11:iOS の脆弱性 CVE-2025-24201 が FIX
IoT OT Security News 
You must be logged in to post a comment.