米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) は木曜日、既知の悪用された脆弱性 (KEV) リストにさらに 6 つのセキュリティ上の欠陥を追加しました。
そのうちの 3 件は、ロシアの APT28 サイバースパイによって悪用され、ウクライナ政府機関に属する Roundcube 電子メール サーバーにハッキングされました。
このサイバースパイグループ(ブルーデルタ、ファンシーベアとしても追跡されている)は以前、ロシア軍情報局である参謀本部情報総局(GRU)と関係があったとされている。
Recorded Future の脅威研究部門Insikt Groupとウクライナのコンピュータ緊急対応チーム ( CERT-UA ) の共同調査によると、攻撃者はロシアとウクライナの紛争を利用して、受信者をだまして悪意のある電子メールを開かせて脆弱性を悪用したとのことです ( CVE-2020-35730 、 CVE-2020-12641およびCVE-2021-44026 )を Roundcube Webmail ソフトウェアに適用し、パッチが適用されていないサーバーへの不正アクセスを許可します。
電子メール サーバーが侵害されると、悪意のあるスクリプトを使用して偵察を行い、目的の電子メールを収集し、ターゲットの Roundcube アドレス帳、セッション Cookie、および Roundcube のデータベース内に保存されているその他の貴重な情報を盗みました。
捜査中に収集された証拠は、この作戦の主な目的がロシアのウクライナ侵攻を支援するために軍事情報を窃取することであったことを示唆している。
「我々は、ブルーデルタの活動が、ウクライナ地方検察庁と中央ウクライナ行政府を標的とした可能性が非常に高いこと、さらに追加のウクライナ政府機関やウクライナ軍用機インフラのアップグレードと改修に関わる組織が関与した偵察活動を特定した」とインシクト・グループは述べた。
連邦政府機関は7月13日までにパッチを適用するよう命令
CISA が本日 KEV カタログに追加した他の脆弱性には、リモート コード実行を可能にする VMware の重大なバグ ( CVE-2023-20887 ) のほか、Mozilla Firefox/Thunderbird ( CVE-2016-9079 ) および Microsoft Win32k 権限昇格 ( CVE-2016-0165 ) の欠陥は 2016 年にパッチされました。
米国連邦政府機関は、システムがこれらの脆弱性の影響を受けるかどうかを確認し、7月13日までにシステムを保護するために必要なセキュリティアップデートや緩和策を適用する必要がある。
2021 年 11 月に発行されたBOD 22-01 拘束力のある運用指令に基づき、連邦文民行政府機関 (FCEB) は、現在 950 を超えるエントリが含まれる KEV カタログにリストされているすべての脆弱性についてネットワークを評価し、セキュリティを確保する必要があります。
KEV カタログの主な焦点は、できるだけ早くパッチを適用する必要がある悪用された脆弱性を連邦政府機関に警告することですが、世界中の民間企業がこれらのバグに対処することを優先することも強くお勧めします。
今月初め、サイバーセキュリティ局は米国連邦政府機関に対し、Clopサイバー犯罪組織がデータ窃盗のために悪用したMOVEitの脆弱性にパッチを当てるよう命令した。
CISAは先週、政府機関に対し、設定ミスやインターネットに露出したネットワーク機器を発見後14日以内に保護するよう求める命令も出した。
Comments