KEV – IoT OT Security News

CISA KEV 警告 24/05/01：GitLab の脆弱性 CVE-2023-7028 を KEV に追加

CISA says GitLab account takeover bug is actively exploited in attacks

2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS：10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。

CISA KEV 警告 24/04/30：Microsoft SmartScreen の脆弱性 CVE-2024-29988：パッチ適用の確認が重要

CISA Catalogs Microsoft’s CVE-2024-29988 as Actively Exploited Vulnerability

2024/04/30 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日にパッチが適用された Microsoft 脆弱性 CVE-2024-29988 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。つまり、この脆弱性が、すでに脅威アクターたちにより、積極的に悪用されていることが示唆される。

CISA KEV 警告 24/04/25：Microsoft Windows Print Spooler の脆弱性 CVE-2022-38028 を追加

CISA Adds Microsoft Windows Print Spooler Flaw To Its Known Exploited Vulnerabilities Catalog

2024/04/25 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Microsoft Windows Print Spooler の権限昇格の脆弱性 CVE-2022-38028 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。ロシアに関連する APT28 (別名：Forest Blizzard／Fancybear／Strontium) について、CISA は Microsoft からの報告を受けた。具体的な内容は、GooseEgg と名付けられた未知のツールにより、Windows Print Spooler の脆弱性 CVE-2022-38028 が悪用されたというものであり、この脆弱性が KEV カタログに追加された。

CISA KEV 警告 24/04/24：Cisco と CrushFTP の深刻な脆弱性に 5月1日までに対処せよ！

CISA Added Critical Vulnerabilities in Cisco Products and CrushFTP to KEV

2024/04/24 SecurityOnline — 米国の Cybersecurity Infrastructure Security Agency (CISA) が連邦政府機関に対して発動したのは、Cisco 製品で発見された２件深刻な脆弱性と、ファイル転送ツール CrushFTP の脆弱性に対して、最優先でパッチを適用すべきという警告である。これらの問題の緊急性は、国家の支援を受けたハッカーによる積極的な悪用に起因しており、脅威の状況の深刻さを強調している。

Palo Alto PAN-OS の脆弱性 CVE-2024-3400：いくつかの PoC が登場している

Researchers Released Exploit Code For Actively Exploited Palo Alto PAN-OS Bug

2024/04/17 SecurityAffairs — Palo Alto Networks の PAN-OS に存在する、脆弱性 CVE-2024-3400 に関する技術的分析と、脆弱なファイアウォールでシェルコマンドの実行を証明する PoC エクスプロイトが、watchTowr Labs の研究者たちによりリリースされた。この脆弱性 CVE-2024-3400 (CVSS：10.0) は、Palo Alto Networks の PAN-OS ソフトウェアにおける、深刻なコマンド・インジェクションの欠陥である。

CVE と NVD：脆弱性の正規の情報源は分断されている？

CVE and NVD – A Weak and Fractured Source of Vulnerability Truth

2024/04/03 SecurityWeek — 共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) のリストと、それに関連する NVD (National Vulnerability Database) だが、脆弱性において一番に信頼すべき情報源とは、もはや考えられなくなっている。現在の CVE システムには改善の余地があり、また、改善すべきものであることを疑う者はいない。米国の DHS (Department of Homeland Security) に支援される、MITRE が管理する CVE リストを、NIST が NVD に統合し、その詳細データを充実させてきた。MITRE が CVE ID の採番や管理を行う一方で、サイバー防衛者たちが脆弱性を評価する上で、拠り所としてきたのが NVD である。

CISA KEV 警告 24/03/26：SharePoint の脆弱性 CVE-2023-24955／29357 と PoC 提供

CISA tags Microsoft SharePoint RCE bug as actively exploited

2024/03/27 BleepingComputer — CISA が発した警告は、近ごろの Microsoft SharePoint のコード・インジェクションの脆弱性が攻撃者たちに悪用され、さらに特権昇格の脆弱性と連鎖することで、未認証のリモート・コード実行攻撃の可能性が生じていることだ。Microsoft SharePoint に存在する、１つ目の脆弱性 CVE-2023-24955 は、サイトのオーナー権限を持つ認証済みの攻撃者に対して、脆弱な SharePoint サーバ上でのリモート・コード実行を許すものだ。２つ目の脆弱性 CVE-2023-29357 は、なりすましの JWT 認証トークンを用いて認証を回避するリモートの攻撃者に対して、脆弱な SharePoint サーバ上での管理者権限の取得を許すものである。

CISA KEV 警告 24/03/25：Fortinet FortiClient EMS の脆弱性 CVE-2023-48788 の悪用

Recent Fortinet FortiClient EMS Vulnerability Exploited in Attacks

2024/03/26 SecurityWeek — 米国のサイバーセキュリティ機関 CISA は、先日に公開された Fortinet FortiClient Enterprise Management Server (EMS) の脆弱性 CVE-2023-48788 が、サイバー攻撃で悪用されているとユーザー組織に警告している。このエンタープライズ・エンドポイント管理ソリューションに影響を及ぼす脆弱性は、特別に細工されたリクエストを介して任意のコード／コマンドの実行を許すため、未認証の攻撃者により悪用される可能性のある、深刻な SQL インジェクションのバグになると説明されている。

Fortinet FortiGate のゼロデイ脆弱性 CVE-2024-21762：PoC が公開された

PoC Releases for 0-day CVE-2024-21762 FortiGate SSLVPN Flaw, Over 133K Remain Vulnerable

2024/03/19 SecurityOnline — FortiOS SSL VPN の重大な脆弱性 CVE-2024-21762 (CVSS：9.6) に対する、PoC (Proof-of-concept) エクスプロイト・コードが公開された。この脆弱性は、リモート・コード実行 (RCE：Remote Code Execution) につながる可能性を持ち、また、悪用を示唆する強力な証拠も発見されている。

Atlassian Confluence の脆弱性 CVE-2023-22527：Web シェルをドロップする新たな PoC が登場

Stealth Bomber: Atlassian Confluence Exploits Drop Web Shells In-Memory

2024/03/09 DarkReading — さまざまなケースで標的とされる、Atlassian Confluence Data Center／Confluence Server の、脆弱性 CVE-2023-22527 に対する新たな PoC (Proof-of-concept) エクスプロイト・コードが出回っている。この新たな攻撃ベクターを利用する攻撃者は、ファイル・システムにアクセスすることなく、Confluence のメモリ内で任意のコードを密かに実行することが可能になる。

FortiOS／FortiProxy の脆弱性 CVE-2024-21762：150,000 台のデバイスが危険に晒されている

Critical Fortinet flaw may impact 150,000 exposed devices

2024/03/08 BleepingComputer — 約 150,000 台の Fortinet FortiOS／FortiProxy が、深刻なセキュリティ脆弱性 CVE-2024-21762 の危険に晒されていることが、Shadowserver のスキャンにより判明した。この脆弱性の悪用に成功した攻撃者は、認証なしでコード実行を行う可能性がある。2024年2月に、米国のサイバー防衛局である CISA (Cybersecurity and Infrastructure Security Agency) は、この脆弱性を KEV (Known Exploited Vulnerabilities Catalog) カタログに追加し、この脆弱性が攻撃者たちにより積極的に悪用されていることを警告している。

TeamCity 認証バイパスの脆弱性 CVE-2024-27198 が FIX：悪用の検知と CISA KEV 登録

Critical TeamCity flaw now widely exploited to create admin accounts

2024/03/06 BleepingComputer — JetBrains が 3月4日のアップデートで対処した、TeamCity On-Premises の深刻な認証バイパス脆弱性 CVE-2024-27198 が、ハッカーたちに悪用され始めた。パッチの適用されていない TeamCity のインスタンスが、一般の Web 上に公開され、数百人の新規ユーザーが作成されるといった悪用が、大規模に展開されているという。

iPhone／iPad の脆弱性 CVE-2024-23225／23296 が FIX：危険なゼロデイ CISA KEV 登録

CVE-2024-23225 & CVE-2024-23296: Apple Patches Actively Exploited 0-Day Flaws

2024/03/05 SecurityOnline — iPhone／iPad ユーザーに対して、深刻なセキュリティ警告が発出された。Apple は、２つのゼロデイ脆弱性 CVE-2024-23225／CVE-2024-23296 を修正する緊急パッチを配布したが、すでに攻撃が始まっているという。この脆弱性を積極的に悪用するハッカーが、Apple デバイスを制御しているという。

CISA KEV 警告 24/03/05：Windows Kernel の脆弱性 CVE-2024-21338 を追加

CISA Warns of Active Exploitation of Windows Kernel Vulnerability

2024/03/05 SecurityOnline — CISA は、深刻度の高い Windows Kernel の脆弱性 CVE-2024-21338 を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。この脆弱性は、脆弱なシステムへの SYSTEM レベルの特権アクセスを得るため、攻撃者たちにより頻繁に悪用されている。

CISA KEV 警告 24/02/29：Windows Streaming Service の脆弱性 CVE-2023-29360

CISA Warns of Windows Streaming Service Vulnerability Exploitation

2024/03/01 SecurityWeek — 2月29日 (木) に、米国の CISA が公表したのは、Microsoft Streaming Service に存在する特権昇格の深刻な脆弱性が、野放し状態で活発に悪用されていることを受けて、Known Exploited Vulnerabilities catalog に追加したという警告である。このストリーミング・サービスは、Windows に不可欠なシステム・サービスであり、マルチメディア／ゲーム／ビデオ会議などのソフトウェア向けに、ネットワーク経由でオーディオ／ビデオのストリーミングを提供するものだ。

Microsoft Exchange の脆弱性 CVE-2024-21410：28,500 台以上のサーバが危険な状況

Over 28,500 Exchange servers vulnerable to actively exploited bug

2024/02/19 BleepingComputer — 最大で 97,000台の Microsoft Exchange サーバに、深刻な権限昇格の脆弱性 CVE-2024-21410 が存在する可能性があることが判明した。2月13日に Microsoft は、この脆弱性に対処したが、その時点で既にゼロデイとして悪用されていたようだ。現時点において、28,500台のサーバに脆弱性があることが確認されている。

CISA KEV 警告 24/02/15：Cisco ASA／FTD の脆弱性 CVE-2020-3259 を狙う Akira

CISA Warning: Akira Ransomware Exploiting Cisco ASA/FTD Vulnerability

2024/02/16 TheHackerNews — 2024年2月15日 (木) に米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco の Adaptive Security Appliance (ASA)／Firepower Threat Defense (FTDI) の脆弱性 (パッチ適用済み) が、Akiraランサムウェア攻撃で悪用されている可能性が高いとの報告を受け、それらを Known Exploited Vulnerabilities (KEV) カタログに追加した。

CISA KEV 警告 24/02/09：Fortinet の RCE 脆弱性 CVE-2024-21762 を追加

New Fortinet RCE bug is actively exploited, CISA confirms

2024/02/09 BleepingComputer — 2月9日に CISA が発表したのは、その前日である 2月8日に、Fortinet がパッチをリリースした深刻なリモート・コード実行 (RCE：Remote Code Execution) の脆弱性が、攻撃者に積極的に悪用されているというものだ。悪用が確認されたのは、FortiOS における境界外書き込みの脆弱性 CVE-2024-21762 であり、認証されていない攻撃者が、悪意を持って細工した HTTP リクエストを使用して、リモートで任意のコードを実行する可能性があるとされる。

CISA KEV 警告 24/02/06：Google Chrome の脆弱性 CVE-2023-4762 の悪用を確認

CISA warns of a patched Chrome flaw now exploited in attacks

2024/02/07 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、広く使用されている Google Chrome Web ブラウザに存在し、積極的に悪用されるセキュリティ脆弱性に関して警告を発した。この脆弱性 CVE-2023-4762 の悪用に成功した攻撃者は、リモートから任意のコード実行を可能にし、ユーザーに深刻なリスクをもたらす。その影響として甚大な被害が予測されるため、個人および組織のユーザーは緊急の対応を迫られている。

CISA KEV 警告 24/01/22：VMware vCenter の脆弱性 CVE-2023-34048 を追加

CISA Adds VMware vCenter Server Bug To Its Known Exploited Vulnerabilities Catalog

2024/01/23 SecurityAffairs — U.S. Cybersecurity and Infrastructure Security Agency (CISA) は、VMware vCenter Server に存在する、Out-of-Bounds Write の脆弱性 CVE-2023-34048 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。vCenter Server は、VMware の仮想化およびクラウド・コンピューティング・ソフトウェアの重要なコンポーネントであり、また、VMware の仮想化データセンターの集約的かつ包括的な管理プラットフォームとして機能する。

CISA KEV 警告 24/01/18：Ivanti の脆弱性 CVE-2023-35082 を追加

CISA: Critical Ivanti auth bypass bug now actively exploited

2024/01/18 BleepingComputer — CISA は、Ivanti の Endpoint Manager Mobile (EPMM) および MobileIron Core デバイス管理ソフトウェアに存在する、深刻な認証バイパスの脆弱性が、いまも積極的に悪用されていると警告している。この、2023年8月にパッチ適用済の脆弱性 CVE-2023-35082 は、認証を必要としないリモートからの API アクセスの脆弱性であり、EPM 11.10／11.9／11.8 および MobileIron Core 11.7 以下の、すべてのバージョンに影響を及ぼすものだ。

CISA KEV 警告 24/01/17：Citrix Netscaler／Google Chrome の脆弱性が追加

CISA pushes federal agencies to patch Citrix RCE within a week

2024/01/17 BleepingComputer — 2024年1月17日に CISA は、最近パッチが適用された Citrix NetScaler および Google Chrome のゼロデイ攻撃３件を、Known Exploited Vulnerabilities (KEV) カタログに追加した。CISA は、これらの脆弱性が攻撃で積極的に悪用されているとして、米連邦政府機関に対して、システムの安全性を確保するよう命じており、Citrix の RCE 脆弱性に関しては、１週間以内にパッチを適用するよう求めている。同機関は、このような脆弱性はサイバー攻撃者にとっての常套手段であり、連邦政府企業にとって重大なリスクであると述べている。

Phemedrone スティーラー：Windows の脆弱性 CVE-2023-36025 を悪用している

Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion

2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。

CISA KEV 警告 24/01/10：Ivanti とSharepoint の脆弱性を悪用リストに追加

CISA Adds Ivanti And Microsoft Sharepoint Bugs To Its Known Exploited Vulnerabilities Catalog

2024/01/11 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure および Policy Secure の脆弱性 CVE-2024-21887／CVE-2023-46805 と、Microsoft SharePoint Server の脆弱性 CVE-2023-29357 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

CISA KEV 警告 24/01/08： Apache／Adobe／Apple などの脆弱性が追加

CISA Adds Apache Superset Bug To Its Known Exploited Vulnerabilities Catalog

2024/01/09 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Superset の脆弱性 CVE-2023-27524 (CVSS：9.8)などをKnown Exploited Vulnerabilities (KEV) カタログに追加した。Apache Superset は、Pythonで書かれたオープンソースのプロダクトであり、Flask Web フレームワークをベースにした、データ可視化とデータ探索のためのプラットフォームである。2022年4月に Horizon3 の研究者たちは、Apache Superset に存在するリモートコード実行を発見した。

CISA KEV 警告 24/01/02：Google Chromium／Spreadsheet::ParseExcel の２件の脆弱性を追加

CISA Warns of Active Exploitation of Chromium and Spreadsheet::ParseExcel

2024/01/02 SecurityOnline — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、サイバー脅威との継続的な戦いを強調する、重大な警告を発した。同庁は、2024年1月2日に２つの深刻な脆弱性を KEV (Known Exploited Vulnerabilities：既知の脆弱性) カタログに追加し、ユーザーと連邦政府機関に早急な対策の必要性を警告している。

CISA KEV 警告 23/12/21：QNAP NVR の CVE-2023-47565 の積極的な悪用

CVE-2023-47565 Flaw in QNAP NVR Devices Exploited in the Wild

2023/12/27 SecurityOnline — QNAP の VioStor Network Video Recorder (NVR) 機器に存在する深刻な脆弱性を、先日に Akamai の Security Intelligence Response Team (SIRT) が発見した。洗練された監視ソリューションが増加するデジタル社会の中で、刻々と差し迫るサイバー・セキュリティのリスクを、この積極的に悪用されている脆弱性が再認識させている。

Adobe ColdFusion の脆弱性 CVE-2023-26360：米政府機関への侵入で悪用

Hackers breach US govt agencies using Adobe ColdFusion exploit

2023/12/05 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Adobe ColdFusion の深刻な脆弱性を CVE-2023-26360 を積極的に悪用し、政府機関のサーバにイニシャル・アクセスを試みるハッカーについて警告している。このセキュリティ問題は、Adobe ColdFusion の 2018 Update 15／2021 Update 5 以下を実行しているサーバ上で、任意のコード実行を許すものである。2023年3月中旬に Adobe が、ColdFusion 2018 Update 16／2021 Update 6をリリースするまで、この脆弱性はゼロデイとして悪用されていた。

CISA KEV 警告 23/11/21：Linux の Looney Tunables を悪用リストに追加

CISA orders federal agencies to patch Looney Tunables Linux bug

2023/11/21 BleepingComputer — Qualys の Saeed Abbasi は、「この脆弱性 CVE-2023-4911 の悪用により、Fedora／Ubuntu／Debian などのプラットフォームにおいて、完全な root アクセスが不正に取得されるため、システム管理者は迅速に行動すべきだ」と警告している。また、今日になって CISA は、この Linux の不具合を Known Exploited Vulnerabilities Catalog に追加した。さらに CISA は、この脆弱性を、悪意のサイバー行為が頻繁に発生する攻撃ベクターのリストに取り込み、連邦政府企業に重大なリスクが生じていることを指摘した。

CISA KEV 警告 23/11/17：Windows／Sophos／Oracle の３件の深刻な脆弱性を追加

CISA warns of actively exploited Windows, Sophos, and Oracle bugs

2023/11/17 BleepingComputer — 米国の CISA (Cybersecurity & Infrastructure Security Agency) は、既知の悪用脆弱性 (KEV：Known Exploited Vulnerabilities) カタログに、Microsoft／Sophos／Orale の製品に影響を及ぼす、３件の脆弱性を追加した。KEV に登録される脆弱性は、サイバー攻撃での悪用が確認されたものである。したがって、このカタログは、世界中の企業にとっても、優先的に対応すべき欠陥の保管庫として機能している。

Microsoft 2023-11 月例アップデート：５件のゼロデイと 58件の脆弱性に対応

Microsoft November 2023 Patch Tuesday fixes 5 zero-days, 58 flaws

2023/11/14 BleepingComputer —

今日は Microsoft の November 2023 Patch Tuesday であり、合計で58件の脆弱性と、５件のゼロデイ対するセキュリティ更新プログラムが提供されている。

今月は、14件のリモートコード実行 (RCE) の脆弱性が修正されたが、Critical と評価されたのは１件のみである。また、今日の Critical は、Azure の情報漏えいのバグ／Windows の Internet Connection Sharing (ICS) の RCE／SYSTEM権限でホスト上のプログラム実行を許す Hyper-V エスケープの３件がある。

CISA Kev 警告 23/11/13：Juniper の RCE 脆弱性の悪用を確認

CISA warns of actively exploited Juniper pre-auth RCE exploit chain

2023/11/13 BleepingComputer — 11月13日に CISA は連邦政府機関に対して、Juniper J-Web インターフェースに存在するリモート・コード実行 (RCE) の４件の脆弱性が、認証前のエクスプロイト・チェーンの一部として悪用されていることを受けて、一連のデバイスを保護するよう警告した。１週間前に Juniper のアドバイザリにおいて、脆弱性 CVE-2023-36844／CVE-2023-36845／CVE-2023-36846／CVE-2023-36847 の悪用が顧客に通知されたが、その後に CISA も警告を発することになった。

CISA KEV 警告 11/08：SLP プロトコルの脆弱性 CVE-2023-29552 を追加

CISA Adds SLP Flaw To Its Known Exploited Vulnerabilities Catalog

2023/11/09 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が、SLP (Service Location Protocol) の脆弱性 CVE-2023-29552 (CVSS：7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。SLP は、レガシーなサービス・プロトコルであり、コンピュータなどのデバイスにより、事前の設定なしに、LAN 内のサービスを見つけることを可能にするものだ。

CVSS 4.0：パッチの優先順位つけに多様なコンテキストを提供

CVSS 4.0 Offers Significantly More Patching Context

2023/11/08 DarkReading — 先週にリリースされた Common Vulnerability Scoring System の最新版である CVSS 4.0 により、それぞれの組織は、セキュリティ・バグが特定の環境にもたらす可能性のあるリスクを、より適切に評価／管理できるようになるはずだ。しかし、CVSS 4.0 が本当に役に立つかどうかは、CVSS 4.0に含まれる新しいメトリクスの全てを使用して、よりスマートな脆弱性の優先順位付けに必要な、コンテキストを構築する意欲と能力にかかっている。

CISA KEV 警告 23/10/23：Cisco IOS XE の脆弱性 CVE-2023-20273 を追加

CISA Adds Second Cisco Ios Xe Flaw To Its Known Exploited Vulnerabilities Catalog

2023/10/23 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco IOS XE の脆弱性 CVE-2023-20273 を Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は、Web UI における、まだ不明確な問題を残すものである。この欠陥を CVE-2023-20198 と連鎖させる攻撃者は、新しいローカル・ユーザーを作成して root に特権を昇格させ、ファイル・システムにインプラントを書き込めるという。

Citrix NetScaler の脆弱性 CVE-2023-4966：いくつかの悪用の事例が確認されている

Citrix warns admins to patch NetScaler CVE-2023-4966 bug immediately

2023/10/23 BleepingComputer — 10月23日 (月) に Citrix が発表したのは、脆弱性 CVE-2023-4966 のを悪用する攻撃から、すべての NetScaler ADC／Gateway アプライアンスを直ちに保護すべきだという警告である。Citrix は２週間前に、この深刻な機密情報漏洩の脆弱性 CVE-2023-4966 (CVSS 9.4) にパッチを適用した。この脆弱性は、未認証の脅威アクターが、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモートから悪用できるものだとされる。

CISA KEV 23/10/19：Cisco IOS Xe の脆弱性 CVE-2021-1435 も大規模侵害の要因？

CISA Adds Cisco IOS Xe Flaw To Its Known Exploited Vulnerabilities Catalog

2023/10/20 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、Cisco IOS XE に存在する脆弱性 CVE-2021-1435 を、KEV リストに追加した。この脆弱性は、Web UI に存在するコマンド・インジェクションの欠陥であり、リモートの認証された攻撃者が root ユーザーとして、実行可能なコマンドを注入できるというものである。Cisco Talos の研究者たちは、この脆弱性が積極的に悪用され、デバイスへの感染が進むことを警告している。

CISA KEV 警告 23/10/10：Adobe ／Cisco／Microsoft／HTTP/2 などの５件の脆弱性

CISA Warns of Attacks Exploiting Adobe Acrobat Vulnerability

2023/10/11 SecurityWeek — 10月10日 (火) に米国の CISA は、KEV (Known Exploited Vulnerabilities) カタログに５件のセキュリティ欠陥を追加し、今年の初めに明るみに出た Adobe Acrobat／Acrobat Reader の脆弱性を悪用する攻撃について、連邦政府組織に警告した。Adobe Acrobat／Acrobat Reader に存在する use-after-free の脆弱性 CVE-2023-21608 の悪用により、ユーザーのコンテキスト権限でリモートコード実行 (RCE) が可能になるという。

CISA KEV 警告 23/10/04：JetBrains TeamCity と Windows の脆弱性を追加

CISA Adds JetBrains TeamCity And Windows Flaws To Its Known Exploited Vulnerabilities Catalog

2023/10/05 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、JetBrains TeamCity に存在する脆弱性 CVE-2023-42793 (CVSS : 9.8) と、Windows の脆弱性 CVE-2023-28229 (CVSS : 7.0) を、KEV (Known Exploited Vulnerabilities Catalog) に追加した。

CISA KEV 警告 23/09/28：JBoss Richfaces Framework の脆弱性 CVE-2018-14667 を追加

CISA Adds JBoss Richfaces Framework Flaw To Its Known Exploited Vulnerabilities Catalog

2023/09/29 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Red Hat JBoss RichFaces Framework に存在する深刻な脆弱性 CVE-2018-14667 (CVSS : 9.8) を、Known Exploited Vulnerabilities Catalog に追加した。

CISA KEV の効果：連邦政府機関における脆弱性を 72％も減少させた

Faster Patching Pace Validates CISA’s KEV Catalog Initiative

2023/09/22 SecurityWeek — 米国のサイバーセキュリティ機関 CISA が管理する KEV (Known Exploited Vulnerabilities) カタログにより、連邦政府機関のパッチ適用作業が大幅に改善されたという。現在では、このリストに 1,000件以上の脆弱性が含まれている。2021年11月に開始された、この KEV カタログは、連邦政府機関へのサイバー攻撃で悪用されている判明した脆弱性を、CISA がリストアップしたものである。そして、法的拘束力のある Binding Operational Directive (BOD) 22-01 に従い、それぞれの連邦政府機関は、指定された期間内に対象となる脆弱性にパッチを当てるよう要求される。

Trend Micro のゼロデイ脆弱性 CVE-2023-41179：Apex One などで RCE の可能性

Trend Micro Patches Exploited Zero-Day Vulnerability in Endpoint Security Products

2023/09/19 SecurityWeek — 9月19日 (火) に Trend Micro は、Apex One などのエンドポイント・セキュリティ製品に影響を及ぼす、深刻な脆弱性が悪用されていると、アドバイザリで警告した。このゼロデイ CVE-2023-41179 は、Apex One／Apex One SaaS／Worry-Free Business Security 製品群に影響を及ぼすものだ。この脆弱性は、サードパーティのセキュリティ・ソフトウェアをアンインストールするための機能に起因しており、任意のコード実行に悪用される可能性があるという。

CISA KEV 警告 23/09/06：Apache RocketMQ の脆弱性 CVE-2023-33246

CISA warns of critical Apache RocketMQ bug exploited in attacks

2023/09/07: BleepingComputer — Apache の RocketMQ 分散メッセージング／ストリーミング・プラットフォームに影響を及ぼす、深刻度の高い脆弱性 CVE-2023-33246 が、米国 CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。現時点において。この脆弱性を悪用する複数の脅威アクターたちが、影響を受けたシステムの構成要素である RocketMQ バージョン 5.1.0 以下に、各種のペイロードをインストールしている可能性があるという。

MinIO ストレージ・サーバ侵害：脆弱性 CVE-2023-28432／CVE-2023-28434 の悪用

Hackers Exploit MinIO Storage System Vulnerabilities to Compromise Servers

2023/09/04 TheHackerNews — MinIO 高性能オブジェクト・ストレージ・システムに存在する、深刻度の高いセキュリティ欠陥を武器にする未知の脅威アクターが、影響を生じているサーバ上で不正なコードを実行していることが確認された。サイバー・セキュリティ企業 Security Joes は、この侵入は MinIO インスタンスをバックドア化するために公開されている、エクスプロイト・チェーンを活用したものだと述べている。このチェーンは、脆弱性 CVE-2023-28432 (CVSS：7.5) と CVE-2023-28434 (CVSS：8.8) で構成されているが、前者に関しては、2023年4月21日に米 CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されている。

Juniper SRX Firewall の脆弱性 CVE-2023-36846／CVE-2023-36845：PoC エクスプロイトが公開

Exploit released for Juniper firewall bugs allowing RCE attacks

2023/08/28 BleepingComputer — Juniper SRX Firewall の脆弱性に関する PoC エクスプロイト・コードが公開された。一連の脆弱性が連鎖すると、パッチを未適用の Juniper JunOS において、未認証の攻撃者によるリモート・コード実行へといたる可能性がある。２週間前に Juniper は、同社の EX Switche と SRX Firewall に、４件の Medium レベル脆弱性が存在することを公表し、セキュリティ・パッチをリリースした。それらの脆弱性は、管理者がネットワーク上の Juniper デバイスを管理／設定するために使用する、PHP ベースの J-Web インターフェースに存在するものだ。

CISA KEV 警告 23/08/21：Adobe ColdFusion の脆弱性をカタログに追加

CISA adds critical Adobe ColdFusion flaw to its Known Exploited Vulnerabilities catalog

2023/08/22 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Adobe ColdFusion に存在する深刻な脆弱性 CVE-2023-26359 (CVSS : 9.8) を KEV (Known Exploited Vulnerabilities) カタログに追加した。2023年3月に Adobe は、この深刻な脆弱性を修正している。この欠陥は、Adobe ColdFusion における、信頼できないデータのデシリアライズに起因するものであり、正規ユーザーのコンテキストで、任意のコード実行を引き起こす可能性があるという。

CISA KEV 警告 23/08/16：Citrix ShareFile の脆弱性が積極的に悪用されている

CISA Adds Citrix ShareFile Flaw to KEV Catalog Due to In-the-Wild Attacks

2023/08/17 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現実の世界で活発に悪用されている証拠に基づき、ShareFile Storage Zones Controller に存在する深刻な脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性 CVE-2023-24489 (CVSS：9.8) は、不適切なアクセス制御のバグとして説明されている。その悪用に成功した未認証の攻撃者は、脆弱なインスタンスをリモートから侵害することが可能になるという。

CISA KEV 警告 23/08/10：.NET／Visual Studio の脆弱性 CVE-2023-38180 を追加

CISA adds actively exploited flaw in .NET, Visual Studio to its Known Exploited Vulnerabilities catalog

2023/08/10 SecurityAffairs −−− 米国 CISA は、.NET／Visual Studio に影響を及ぼすゼロデイ脆弱性 CVE-2023-38180 (CVSS：7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性が悪用されると、サービス運用妨害 (DoS) 状態が引き起こされる可能性があるとして、Microsoft は August 2023 Patch Tuesday で対処している。なお、この脆弱性のあるシステムは、ユーザーの操作なしに悪用可能であり、悪用には権限が不要だと、同社は述べている。

Zyxel NAS のコマンド・インジェクションの脆弱性 CVE-2023-27992 が FIX：ただちにパッチを！

Zyxel addressed critical flaw CVE-2023-27992 in NAS Devices

2023/06/20 SecurityAffairs — Zyxel の NAS デバイスに影響を及ぼす、脆弱性 CVE-2023-27992 (CVSS: 9.8) に対する、セキュリティ・アップデートがリリースされた。この脆弱性は、認証前のコマンド・インジェクションの問題である。リモートの認証されていない攻撃者が、特別に細工された HTTP リクエストを送信し、この脆弱性の悪用に成功すると、オペレーティング・システム (OS) コマンドを実行することが可能になる。なお、この脆弱性が影響を及ぼす範囲は、Zyxel NAS326 ファームウェア V5.21 (AAZF.14) C0 以前、および、NAS540 ファームウェア V5.21 (AATB.11) C0 以前、NAS542 ファームウェア V5.21 (ABAG.11) C0 以前となる。

Barracuda ESG がデバイス交換を選択：中国 APT が仕掛けた強力なバックドアとは？

Barracuda ESG zero-day attacks linked to suspected Chinese hackers

2023/06/15 BleepingComputer — Mandiant が UNC4841 として追跡している親中派ハッカー・グループへの疑いが、Barracuda ESG (Email Security Gateway) アプライアンス上の、パッチ適用済みゼロデイ脆弱性を悪用する、データ窃取攻撃と関連していることが判明した。この脅威アクターは、2022年10月10日頃から、Barracuda の添付ファイル・スキャン・モジュールに存在する、ゼロデイ・リモート・コマンド・インジェクション脆弱性 CVE-2023-2868 を悪用し始めた。5月19日に、この欠陥を発見した Barracuda は、脆弱性が悪用されていることを直ちに公表し、CISA は米国連邦政府機関に対して、セキュリティ更新プログラムを適用するよう警告を発した。