2025/10/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、Smartbedded Meteobridge/Samsung/Juniper ScreenOS/Jenkins/GNU Bash の脆弱性を KEV (Known Exploited Vulnerabilities) カタログに登録した。これらの脆弱性は以下の通りである。
- CVE-2014-6278:GNU Bash OS コマンド・インジェクション
- CVE-2015-7755:Juniper ScreenOS 不適切な認証
- CVE-2017-1000353:Jenkins リモート・コード実行
- CVE-2025-4008:Meteobridge のコマンド・インジェクション
- CVE-2025-21043:Samsung モバイル・デバイスの境界外書き込み
2024年10月に、世界中の IT コミュニティに衝撃を与えたのは、20年以上にわたって影響を及ぼしてきた、Bash コンポーネントの脆弱性の発見である。それぞれの主要ベンダーが、脆弱な Linux/Unix システムに対して必要なパッチ提供に取り組む中、Bourne Again Shell に存在する2つの新たなバグが、研究者 Michal Zalewski により発見された。
そのうちの1つである脆弱性 CVE-2014-6278 は、以前の Bash バグ脆弱性 CVE-2014-6271 と同様に、リモートから任意のコード実行で悪用される可能性がある。専門家たちによると、CVE-2014-6271/CVE-2014-7169/CVE-2014-6277 の修正が不完全であったことに、この脆弱性は起因するという。
2つ目の脆弱性は Juniper ScreenOS の CVE-2015-7755 であり、管理者アクセスに関する問題である。SSH/TELNET セッション中に、特定のパスワードを入力するリモート攻撃者は、この脆弱性の悪用に成功し、管理者アクセスを取得する可能性がある。
3つ目の脆弱性は Jenkins の CVE-2017-1000353 であり、未認証のリモートコード実行を許すものだ。この脆弱性を悪用する攻撃者は、シリアライズされた Java SignedObject オブジェクトを、リモート・ベースの Jenkins CLI に転送する。続いて、新しい ObjectInputStream を用いて、SignedObject をデシリアライズすることで、ブラックリスト・ベースの保護メカニズムを回避できる。この SignedObject は、リモート・ブラックリストでブロックされている。詳細については、Jenkins が公開したセキュリティ・アドバイザリの参照が推奨される。
4つ目の脆弱性 CVE-2025-4008 は、Smartbedded Meteobridge の Web インターフェイスに存在するコマンド・インジェクション脆弱性である。この脆弱性により、未認証のリモート攻撃者に対して、任意のルート・コマンドの実行を許す可能性がある。
5つ目は、Samsung デバイスに影響を与える脆弱性 CVE-2025-21043 である。この脆弱性は、libimagecodec.quram.so の SMR Sep-2025 Release 1 以下に存在し、リモート攻撃者に対して任意のコード実行を許す可能性がある。
拘束的運用指令 (BOD) 22-01 によると、FCEB 機関はカタログ内の脆弱性を悪用する攻撃から、組織内のネットワークを保護するために、定められた期限までに対処する必要がある。CISA は連邦政府機関に対して、2025年10月23日までに脆弱性を修正するよう命じた。
専門家たちが推奨するのは、民間組織も KEV カタログを確認し、自社インフラにおける脆弱性に対処することだ。
今回取り上げられた脆弱性の原因には、長年にわたるコードや設計の放置があるようです。特に Bash の脆弱性は、過去の修正が不完全だったことが原因で、再び問題が表面化しています。Juniper や Jenkins のようなシステムでは、認証やオブジェクト処理の設計が攻撃経路となっています。ご利用のチームは、ご注意ください。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.