米国サイバーセキュリティ・インフラセキュリティ庁 (CISA) は、攻撃に悪用された 2 つの重大なセキュリティ欠陥 (そのうちの 1 つはゼロデイ) に対してネットワーク上の Adobe ColdFusion サーバーを保護するために、連邦政府機関に 3 週間の猶予を与えました。
2021 年 11 月に CISA が発行した拘束力のある運用指令 (BOD 22-01) によると、連邦文民行政府機関 (FCEB) は、既知の悪用された脆弱性 (KEV) カタログに追加されたすべてのバグに対してシステムにパッチを適用する必要があります。
最新のアップデートにより、米国のすべての FCEB 機関は 8 月 10 日までに 2 つのバグ ( CVE-2023-29298およびCVE-2023-38205 ) に対処するよう指示されました。
このカタログは主に連邦機関に焦点を当てていますが、民間企業も 2 つの脆弱性に優先順位を付けて迅速に対処することを強くお勧めします。
「この種の脆弱性は、悪意のあるサイバー攻撃者にとって頻繁に攻撃ベクトルとなり、連邦企業に重大なリスクをもたらす」と CISA は述べた。
ColdFusion の混乱
アドビは、7 月 11 日に CVE-2023-29298 アクセス制御バイパスおよび CVE-2023-29300 認証前 RCE の脆弱性に対処しました。同社はまた、CVE-2023-29300 が悪用されていることを顧客に誤って警告し、後に警告を撤回しました。
7 月 17 日月曜日、Rapid7 は、すでに攻撃に悪用されている CVE-2023-29298 パッチ (現在は CVE-2023-38205 として追跡されている) のバイパスを発見しました。
「Rapid7の研究者らは7月17日月曜日、アドビが7月11日にCVE-2023-29298に対して提供した修正は不完全であり、わずかに修正されたエクスプロイトは最新バージョンのColdFusion(7月14日リリース)に対して依然として機能すると判断した」とRapid7は述べた。
Adobe は 7 月 19 日に、積極的に悪用されている新たな CVE-2023-38205 ゼロデイに対処するための緊急セキュリティ アップデートをリリースし、「Adobe ColdFusion を対象とした限定的な攻撃」で悪用されていると顧客に警告しました。
CISAは今週、 CVE-2023-3519リモートコード実行(RCE)バグに対して脆弱なCitrixサーバーを8月9日までに保護するよう連邦政府機関に要請する2度目の命令を出した。
Shadowserver Foundation のセキュリティ研究者が明らかにしたように、オンラインで公開されている少なくとも 11,170 台の Citrix Netscaler アプライアンスが、この欠陥を悪用した攻撃に対して脆弱である可能性があります。
Comments