U.S. CISA adds Sitecore, Android, and Linux flaws to its Known Exploited Vulnerabilities catalog
2025/09/05 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Sitecore/Android/Linux の脆弱性を、Known Exploited Vulnerabilities (KEV) に登録した。それらの脆弱性は、以下のものである。
- CVE-2025-38352:Linux カーネルにおける Time-of-Check/Time-of-Use (TOCTOU) 競合状態の脆弱性。
- CVE-2025-48543:Android ランタイムにおける権限昇格の脆弱性。
- CVE-2025-53690:Sitecore 複数群における信頼されていないデータのデシリアライゼーションの脆弱性。
今週、Google は、2025年9月の Android セキュリティ情報として、120 件の Android の脆弱性に対処する、セキュリティ・アップデートをリリースした。これらの脆弱性のうち2件は、標的型の攻撃で悪用されている。
以下の脆弱性が、限定的かつ標的を絞った攻撃で、悪用された可能性があるという:
- CVE-2025-38352 (CVSS:7.4):Linux カーネル・コンポーネントにおける権限昇格の脆弱性。
- CVE-2025-48543 (CVSS:N/A):Android ランタイム・コンポーネントにおける権限昇格の脆弱性。
Google が警告するのは、これら2つの脆弱性により、追加の権限やユーザーの操作を必要としない、ローカルでの権限昇格が可能になる点だ。
Google Threat Analysis Group (TAG) の Benoit Sevens が、この脆弱性 CVE-2025-38352 を発見した。この状況から、高度な脅威アクターがスパイウェア攻撃で、この脆弱性を悪用した可能性が示唆される。
いつものとおり Google は、悪用に関する技術的な詳細は明らかにしていない。
CISA KEV カタログに追加された3つ目の脆弱性は、Sitecore Experience Manager (XM) および Sitecore Experience Platform (XP) に存在する、CVE-2025-53690 (CVSS:7.4) である。
この脆弱性が悪用されると、信頼されていないデータのデシリアライゼーションによりコード・インジェクションが引き起こされる可能性がある。この脆弱性は、Experience Manager (XM) と Experience Platform (XP) のバージョン 9.0 以下に影響を及ぼす。
拘束的運用指令 (BOD) 22-01 に基づき、FCEB 機関はカタログに掲載された脆弱性を、定められた期限までに修正する必要がある。CISA は連邦政府機関に対して、2025年9月25日までに、これらの脆弱性を修正するよう命じている。
また、専門家たちが推奨するのは、民間組織においても、このカタログを見直し、インフラの脆弱性に対処することである。
CISA KEV カタログに、Linux/Android/Sitecore の脆弱性が登録されました。Linux カーネルでは TOCTOU 競合が原因であり、処理の順序にずれが生じた際に権限昇格が可能になる問題です。Android ではランタイムの欠陥が攻撃に悪用され、追加の権限なしで権限昇格が可能になると指摘されています。さらに Sitecore では、信頼されていないデータをデシリアライズする仕組みに欠陥があり、不正なコード実行につながると懸念されています。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.