CISA Flags Actively Exploited Vulnerabilities in Chrome, SAP, and DrayTek Routers
2025/05/16 SecurityOnline — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、以下の3件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。
- CVE-2024-12987:DrayTek ルーターのコマンド・インジェクション脆弱性
- CVE-2025-4664:Chrome におけるクロス・オリジン・ポリシー違反の脆弱性
- CVE-2025-42999: SAP NetWeaver のデシリアライゼーション脆弱性
これらの脆弱性は、ネットワーク機器/Web ブラウザ/エンタープライズ・プラットフォームに影響を与える。
CVE-2024-12987
DrayTek ルーターのコマンド・インジェクション脆弱性
この脆弱性は、”/cgi-bin/mainfunction.cgi/apmcfgupload” における入力の不適切な処理に起因するものであり、DrayTek Vigor2960/Vigor300B ルーターのファームウェア v1.5.1.4 に存在する。
この脆弱性の発見者である、セキュリティ研究者 Netsecfish は、生のソケット接続を用いて悪意あるリクエストを送信する Python スクリプトを使い、この脆弱性の実証に成功した。これにより、pwd コマンドなどを実行してディレクトリ構造を取得できることが確認された。
CVE-2025-4664
Chrome の Loader におけるクロス・オリジン・ポリシー違反の脆弱性
Google Chrome の Loader コンポーネントに存在する、高リスクな脆弱性 CVE-2025-4664 を悪用する攻撃者は、細工された HTML ページを介してクロスオリジン・データを漏洩させる機会を得る。この脆弱性の発見者は、Solidlab の研究者 Vsevolod Kokorin である。
Google は、5月14日のアドバイザリで、「脆弱性 CVE-2025-4664 が実際の攻撃で悪用されたという報告を認識している」と述べている。
この脆弱性は、Chrome バージョン 136.0.7103.113 (Windows/Linux) および 136.0.7103.114 (macOS) 未満に影響を及ぼす。ユーザーに推奨されるのは、自動更新を有効化し、セキュリティ・パッチを適用することである。
CVE-2025-42999
SAP NetWeaver Visual Composer のデシリアライゼーション脆弱性
この脆弱性 CVE-2025-42999 は積極的な悪用が確認されているが、現時点では、SAP による悪用の確認はされていない。しかし、Onapsis の CTO である Juan Pablo Perez-Etchegoyen は、この脆弱性と既知のファイル・アップロードの脆弱性 CVE-2025-31324 とを組み合わせて、2025年1月から攻撃者が悪用していると指摘している。
この脆弱性により、信頼されていないデータがデシリアライズされ、任意のコード実行につながるおそれがある。
連邦機関に勧告された対応
拘束力のある運用指令 BOD 22-01:米政府の FCEB 機関は、これらの脆弱性を悪用する攻撃からネットワークを保護するために、期限までに対処する必要がある。CISA は連邦政府機関に対して、2025年6月5日までに一連の脆弱性を修正するよう命じている。
なお、専門家たちが民間組織に推奨するのは、KEV カタログを確認し、インフラの脆弱性に対処することだ。
CISA KEV に3件の脆弱性が登録されました。この CISA 関連の記事で、いつも思うのは、KEV に “add” という英語表記が常なので、翻訳ソフトが “追加” と訳してくる厄介さです。なんとなく、日本語では違和感があるので、”登録” に直していますが、それが面倒くさいです。そして、今回の KEV ですが、Chrome の CVE-2025-4664 は、Google が公表した直後から、あちらこちらで大騒ぎしていた記憶があります。アップデートがマダの方は、ご注意ください。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.