2025/10/07 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle/Linux Kernel/Mozilla/Microsoft Windows/Microsoft Internet Explorer の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。以下に、今回追加された脆弱性の概要を示す。
- CVE-2010-3765:Mozilla におけるリモート・コード実行の脆弱性
- CVE-2010-3962:Internet Explorer におけるメモリ破損の脆弱性
- CVE-2011-3402:Windows におけるリモートコード実行の脆弱性
- CVE-2013-3918:Windows における境界外書き込みの脆弱性
- CVE-2021-22555:Linux カーネルにおける境界外書き込みの脆弱性
- CVE-2021-43226:Windows における権限昇格の脆弱性
- CVE-2025-61882:Oracle E-Business Suite における RCE の脆弱性
Oracle は E-Business Suite の重大な脆弱性 CVE-2025-61882 (CVSS 9.8) に対処する緊急パッチを公開した。この脆弱性は、Cl0p ランサムウェア・グループによるデータ窃取攻撃で悪用されたものである。この欠陥を悪用する未認証のリモート攻撃者は、Oracle Concurrent Processing コンポーネントを制御下に置くことが可能である。この脆弱性が影響を及ぼす範囲は、Oracle E-Business Suite 12.2.3〜12.2.14 (BI Publisher 統合) であり、HTTP 経由で容易に悪用される可能性があると専門家たちは警告している。
CISA の KEV カタログに追加された脆弱性の中には、Windows の CVE-2013-3918 のように、特定の環境でのみ確認された限定的なものも含まれる。2015 年に Kaspersky が発表した調査結果によると、この脆弱性のエクスプロイトを入手した国家支援型アクターである Equation グループが、アフガニスタンの政府機関を標的として利用したとされる。ただし、2009 年に発生した、Aurora 攻撃で APT グループにより悪用されたことも判明している。
拘束的運用指令 (BOD) 22-01 によると、カタログ内の脆弱性を悪用する攻撃からネットワークを保護するために、FCEB 機関は定められた期限までに対処する必要がある。CISA は連邦政府機関に対し、2025年10月27日までに修正するよう命じている。
専門家たちは民間組織に対しても、CISA のカタログを確認し、自社インフラに存在する脆弱性を速やかに修正するよう推奨している。
今回の CISA KEV 登録が示すのは、古い欠陥や統合コンポーネントの弱点が長期にわたり悪用されている状況です。多くのケースで原因となるのは、入力検証や境界チェックの不備、複雑な依存関係、HTTP など公開経路による露出などであり、Oracle の件もBI Publisher 統合部での未検証入力と認証不要の経路が攻撃を招いているようです。よろしければ、CISA KEV で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.