U.S. CISA adds SimpleHelp, Samsung, and D-Link flaws to its Known Exploited Vulnerabilities catalog
2026/04/25 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SimpleHelp/Samsung/D-Link に関する脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ追加した。以下は追加された脆弱性である:
- CVE-2024-57726:SimpleHelp 認可不備の脆弱性
- CVE-2024-57728:SimpleHelp パストラバーサルの脆弱性
- CVE-2024-7399:Samsung MagicINFO 9 パストラバーサル脆弱性
- CVE-2025-29635:D-Link DIR-823X コマンド・インジェクション脆弱性
SimpleHelp の CVE-2024-57726/CVE-2024-57728
SimpleHelp の CVE-2024-57726 (CVSS 9.9) を悪用する攻撃者は、低権限のアカウントを持ってさえいれば、認可の不備を突くことで高権限 API キーの生成が可能であり、サーバに対する完全な管理者権限へと昇格が可能になる。
パストラバーサルの脆弱性 CVE-2024-57728 (CVSS 7.2) を悪用する攻撃者は、細工された ZIP ファイルのアップロードが可能となる。その結果、任意のファイル配置が可能となり、SimpleHelp サーバ・ユーザー権限での RCE に至る可能性がある
Samsung MagicINFO の CVE-2024-7399
脆弱性 CVE-2024-7399 (CVSS 8.8) は、Samsung MagicINFO 9 Server バージョン 21.1050 未満に存在する、ディレクトリ制限の不備に起因する。この脆弱性を悪用する攻撃者は、JSP ファイルをアップロードし、システム権限で任意ファイルを書き込み可能となる。
2025年5月に Arctic Wolf の研究者が確認したのは、PoC 公開から数日後に、この脆弱性が悪用されたことだ。この脆弱性を Samsung が公開したのは、2024年8月のことだが、そのときはエクスプロイトの兆候は確認されていなかった。
しかし 2025年04月30日の PoC 公開後に、攻撃が発生し急速に拡大した。この脆弱性の悪用は容易であり、それに加えて PoC が公開されたことで、攻撃が継続すると考えられる。すでに Samsung は、2024年8月の時点で、MagicINFO 9 Server version 21.1050 をリリースし、この問題へ対応している。
D-Link DIR-823X の CVE-2025-29635
脆弱性 CVE-2025-29635 における入力値検証の不備を突く攻撃者は、コマンド・インジェクションを可能とする。2026年4月下旬に Akamai の研究者が報告したのは、PoC が公開された後に、この脆弱性を悪用する Mirai ボットネットが、細工された POST リクエストを用いて制御データを処理させていることだ。それにより、D-Link DIR-823X でコマンド・インジェクションが引き起こされる。
対策および対応期限
Binding Operational Directive (BOD) 22-01 に基づき、FCEB 機関は指定期限までに一連の脆弱性に対応する必要がある。CISA は連邦機関に対し、2026年5月8日までの修正を指示している。また民間組織に対しても、KEV カタログを確認し、インフラ内の脆弱性に対応することが推奨される。
現在進行形で悪用されている、複数の脆弱性について紹介する記事です。これらの問題が共通して抱える根本的な原因は、外部から入力されたデータやファイルパスに対して、適切な検証/制限が行われていない点にあります。さらに注目すべきは、修正プログラムが公開されてから時間が経過していても、攻撃コード (PoC) が公開された途端に悪用が急増するという点です。脆弱性に関する情報が公表されている、N-Day の状態が危険であることを物語っています。よろしければ、CISA KEV ページを、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.