2025/12/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、Apple と Gladinet の CentreStack/Triofox の脆弱性を既知の悪用脆弱性 (KEV) カタログに登録したことである。カタログに追加された脆弱性は以下のとおりである。
CVE-2025-43529:Apple の複数製品における WebKit の解放後メモリ使用
CVE-2025-14611:Gladinet CentreStack/Triofox のハードコードされた暗号鍵
先週、Apple と Google が発表したのは、特定のユーザーを対象とする標的型攻撃を発見した後の緊急のセキュリティ・アップデートのリリースである。この攻撃は、両社のソフトウェアに存在するゼロデイ脆弱性を悪用するものだった。一連の攻撃には、国家レベルの攻撃者および商用スパイウェア・ベンダーが関与している可能性があり、大規模攻撃ではなく特定の高価値個人を標的としていると考えられる。
Apple は iPhone/iPad/Mac 向けにアップデートをリリースし、標的型 iOS 26 攻撃で悪用された可能性のある、WebKit の脆弱性 CVE-2025-14174/CVE-2025-43529 を修正した。
Apple はアドバイザリで、「この問題は、iOS バージョン 26 以下のデバイスを使用する特定の個人を標的とした、きわめて高度な攻撃に悪用されたという報告を認識している」と述べている。
Apple と Google は、これらの攻撃に関する詳細情報を提供していない。
脆弱性 CVE-2025-43529 は、Web コンテンツ処理を担うコンポーネントである、Apple の WebKit エンジンに存在するメモリ解放後使用 (use-after-free) の脆弱性である。WebKit がメモリを不適切に処理すると、解放後もメモリ領域にアクセスし続ける可能性がある。細工した Web コンテンツを配信する攻撃者が、このような状態を引き起こし、メモリ破損を誘発する可能性がある。
実際の問題として、アプリケーション・クラッシュや、任意コード実行につながる可能性がある。この問題は、iOS/iPadOS/macOS と、WebKit を使用して HTML を解析/レンダリングする Safari および各種アプリケーションに影響する。
KEV カタログに追加された2つ目の問題は CVE-2025-14611 である。この脆弱性は、Gladinet CentreStack/Triofox におけるハードコードされた暗号鍵の欠陥である。固定された AES 暗号鍵がソフトウェアに直接埋め込まれているが、一意でも秘密でもない鍵であるため、攻撃者による鍵の復元が可能であり、保護されているデータの復号/操作を許す恐れがある。
脆弱な暗号が公開エンドポイントで使用される場合には、セキュリティが大幅に低下する。未認証の攻撃者が、特別に細工したリクエストを介して脆弱性を悪用し、保護を回避しながら任意のローカル・ファイル・インクルードを可能にし、基盤システム上の機密ファイルへのアクセスに至る恐れがある。
ーーー
拘束力のある運用指令 (BOD) 22-01: “既知の脆弱性による重大なリスクの軽減” に基づき、FCEB 機関はカタログの欠陥を悪用する攻撃からネットワークを保護するために、期限までに特定された脆弱性に対処しなければならない。CISA は連邦政府機関に対し、2026年1月5日までに脆弱性を修正するよう命じている。
専門家たちが民間組織にも推奨するのは、KEV カタログを確認して、自社インフラの脆弱性に対処することである。
CISA が KEV カタログを更新しました。1つ目の脆弱性は、Apple の WebKitで見つかった解放後メモリ使用 (use-after-free) の欠陥です。プログラムが使い終わり、一度システムに返したはずのメモリ領域が、誤って再利用されることで発生する脆弱性です。2つ目の脆弱性は、Gladinetで見つかった暗号鍵のハードコードです。本来であれば、一意かつ秘密にされるべき暗号用の鍵が、プログラム内に直接書き込まれていたという欠陥です。どちらもプログラムの根幹に関わる設計上の不備が原因であり、機密情報の漏洩や不正操作につながる深刻なリスクを秘めています。よろしければ、CISA KEV での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.