米国サイバーセキュリティ&インフラセキュリティ局(CISA)は、3件のセキュリティ脆弱性を「Known Exploited Vulnerabilities(既知の脆弱性)」カタログに追加した。
これらの問題をKEVカタログに追加することは、連邦政府機関や企業に対して、脅威行為者が攻撃においてこれらの問題を利用しており、セキュリティ更新や緩和措置を適用すべきであると警告するものである。
米国の連邦政府機関は6月6日までに、影響を受けるデバイスを交換するか、攻撃のリスクを低減または排除する防御策を導入する必要がある。
積極的に悪用される欠陥
CVE-2024-4761として追跡されているGoogle Chromeの脆弱性は、5月13日にベンダーによって積極的に悪用されていることが確認されているが、現在のところ技術的な詳細は公開されていない。
この脆弱性は、ブラウザ内でJSコードを実行するChromeのJavaScriptエンジンV8におけるout of bounds writeの脆弱性と説明されており、その深刻度は高い。
CVE-2024-4761を公開した2日後、GoogleはChromeのV8エンジンの別の脆弱性(CVE-2024-4947)が悪用されたと発表したが、CISAはまだKEVカタログに追加していない。
CISAはまた、D-Link DIR-600ルーターに影響する10年前の脆弱性がまだ悪用されていると警告している。この欠陥はCVE-2014-100005として識別され、クロスサイト・リクエスト・フォージェリ(CSRF)の問題である。
これにより、攻撃者はデバイスのウェブ管理パネルへの管理者認証要求をハイジャックし、独自の管理者アカウントを作成し、設定を変更し、デバイスを制御することができます。
D-LinkのDIR-600ルーターは、発見される4年前に製造終了(EOL)を迎えていたが、ベンダーは当時、修正プログラムをファームウェア・バージョン2.17b02でリリースし、緩和策を含むセキュリティ情報を公開していた。
D-Link製品に影響を与える別のバグも、最近KEVカタログに追加された。これはCVE-2021-40655として識別され、2015年以降サポートが終了しているD-Link DIR-605ルーターに影響する。
この欠陥に対する概念実証のエクスプロイトが2021年にGitHubで公開された。これは、攻撃者が認証なしで/getcfg.phpページに送信される特別に細工されたリクエストを経由して、管理者のユーザー名とパスワードを取得できることを実証している。
ソースはこちら:Github
CISAは、2つのD-Linkの欠陥に関する背景情報を提供しておらず、誰が悪用したのか、いつ攻撃を記録したのかは不明である。
古い脆弱性は通常、ボットネット・マルウェアによって悪用され、デバイスのタイプや問題の古さを気にすることなく、悪用可能なセキュリティ問題の大規模なリストが組み込まれます。
D-Link 600 および 605 の場合、ベンダーがパフォーマンスとセキュリティのアップデートをまだサポートしている新しいモデルにデバイスを交換することが推奨されます。
Comments