2026/01/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Office/GNU InetUtils/SmarterTools SmarterMail/Linux Kernel に関する複数の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。今回追加された脆弱性は、以下の通りである。
- CVE-2018-14634:Linux Kernel の整数オーバーフロー脆弱性
- CVE-2026-21509:Microsoft Office のセキュリティ機能バイパス脆弱性
- CVE-2026-24061:GNU InetUtils の引数インジェクション脆弱性
- CVE-2025-52691:SmarterMail の無制限のファイル・アップロード脆弱性
- CVE-2026-23760:SmarterMail の代替パスを用いた認証バイパス脆弱性
Red Hat/CentOS/Debian ディストリビューションに影響する、Linux Kernel の整数オーバーフローの脆弱性 CVE-2018-14634 (Mutagen Astronomy) は、2018年9月にセキュリティ研究者たちにより発見されたものだ。この脆弱性を悪用する非特権ユーザーは、対象システム上でスーパー・ユーザー権限を取得し得る。
この欠陥は、セキュリティ企業 Qualys の研究者により発見された。Mutagen Astronomy 脆弱性に関する技術的詳細に加え、proof-of-concept (PoC) エクスプロイトである Exploit 1/Exploit 2 も公開されている。
この脆弱性が影響を及ぼす範囲は、2007年7月から 2017年7月までにリリースされた Kernel であり、Linux Kernel 2.6.x/3.10.x/4.14.x に脆弱性が存在する。なお、Red Hat Enterprise Linux 5 に同梱されている Linux Kernel のバージョンは、この問題の影響を受けない。
Mutagen Astronomy 脆弱性は、メモリ・テーブル管理に使用される Linux Kernel の create_elf_tables() 関数に起因する。他のローカル権限昇格問題と同様に、この脆弱性を悪用するには、対象システムへのアクセス権と、バッファ・オーバーフローを引き起こすエクスプロイト・コードの実行が必要である。バッファ・オーバーフローが発生した場合に、攻撃者は任意のコードを実行し、影響を受けるマシンの完全な制御が可能となる。
KEV カタログに追加された 2 件目の脆弱性は CVE-2026-21509 である。Microsoft は、実際に悪用が確認されている Microsoft Office のゼロデイ脆弱性 CVE-2026-21509 に対処するため、緊急のセキュリティ更新を公開した。この問題は、Microsoft Office におけるセキュリティ機能バイパス脆弱性であり、Microsoft Office 2016/2019/LTSC 2021/LTSC 2024/Microsoft 365 Apps for Enterprise に影響する。
アドバイザリには、「Microsoft Office のセキュリティ判断が、信頼できない入力に依存しているため、未承認の攻撃者がローカルでセキュリティ機能をバイパスできる」と記載されており、この脆弱性が実際に悪用されていることが確認されている。また、「攻撃者は悪意ある Office ファイルをユーザーに送信し、それを開かせる必要がある」と説明されている。
この更新は、脆弱な COM/OLE コントロールが悪用される欠陥を修正するものであり、それにより、Microsoft 365 および Office における OLE セキュリティ保護の回避が阻止される。Microsoft は、Office のプレビュー・ペインは影響を受けず、攻撃ベクターとして利用できないことを確認している。ただし、この脆弱性の具体的な悪用手法に関する技術的詳細は公開していない。
3 件目の脆弱性は CVE-2026-24061 (CVSS:9.8) であり、Critical に分類される深刻な欠陥である。この脆弱性は GNU InetUtils の telnet デーモン (telnetd) に存在し、バージョン 1.9.3〜2.7 までのすべてに影響する。悪用された場合、影響を受けるシステム上で root 権限の取得が可能となる。
telnetd は DARPA Telnet プロトコルを実装するサーバであり、通常は inetd により Telnet ポートの接続処理用として起動されるほか、デバッグ・モードや代替 TCP ポートでの手動起動も可能である。この脆弱性は、2015年3月19日のソースコード・コミットに混入し、約 11 年間にわたり未発見のまま残存し、長期間にわたるセキュリティ・リスクを内包していた。
残る CVE-2025-52691/CVE-2026-23760 は、SmarterTools SmarterMail に影響する脆弱性である。2025年12月、Cyber Security Agency of Singapore (CSA) は、SmarterMail に存在する最大深刻度の欠陥 CVE-2025-52691 (CVSS:10.0) について警告を発した。この脆弱性は、認証不要での任意ファイル・アップロードを通じたリモート・コード実行を可能にする。
CSA のアドバイザリには、「SmarterMail の脆弱性を悪用する未認証の攻撃者は、メール・サーバ上の任意の場所にファイルをアップロード可能となり、結果としてリモート・コード実行が可能となる」と記されている。
SmarterMail は SmarterTools により開発された商用メール・サーバ・ソフトウェアであり、Microsoft 365/Google Workspace などのクラウド・サービスに依存せず、独自のメール・サーバを運用する目的で、企業/ホスティング・プロバイダー/ISP に広く利用されている。この脆弱性は SmarterMail Build 9406 以下に影響し、CSA は影響を受けるユーザーおよび管理者に対し、SmarterMail Build 9413 への即時更新を推奨している。
Binding Operational Directive (BOD) 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities によると、米国連邦文民行政機関 (FCEB) は、KEV カタログに掲載された脆弱性について、指定された期限までに対処し、悪用からネットワークを防御する必要がある。
専門家は民間組織に対しても、KEV カタログを確認し、自社インフラに存在する脆弱性への対応を実施するよう推奨している。
Cybersecurity and Infrastructure Security Agency (CISA) は、現在進行形でサイバー攻撃に悪用されている 5 つの脆弱性を KEV カタログに追加し、緊急の注意喚起を行いました。今回のリストに含まれる、10 年以上前から潜伏していた脆弱性や、最新のビジネスソフトに存在する脆弱性は、広範なリスクをもたらすものです。CISA は連邦政府機関に対して、2026年1月30日までの迅速な対処を義務付けています。民間企業にとっても、一連の脆弱性は直ちに対処すべきものであることを意味します。よろしければ、CISA KEV ページも、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.