SolarWinds

CISAは、「Known Exploited Vulnerabilities」(KEV)カタログに3つの欠陥を追加した。そのうちの1つは、ベンダーが2024年8月下旬に修正したSolarWinds Web Help Desk(WHD)の重大なハードコードされた認証情報の欠陥である。

SolarWinds Web Help Deskは、政府機関、大企業、医療機関を含む世界中の30万人の顧客に利用されているITヘルプデスクスイートです。

SolarWindsの欠陥はCVE-2024-28987として追跡されており、ユーザー名「helpdeskIntegrationUser」とパスワード「dev-C4F8025E7」というハードコードされた認証情報が原因です。これらの認証情報を使用すると、リモートの認証されていない攻撃者がWHDエンドポイントにアクセスし、制限なくデータにアクセスまたは変更できる可能性があります。

SolarWinds社は、この問題を発見したHorizon3.aiの研究者Zach Hanley氏から報告を受けた4日後に修正プログラムを発表し、システム管理者に対してWHD 12.8.3 Hotfix 2以降に移行するよう促している。

CISAは現在、KEVにこの欠陥を追加しており、この欠陥が野生の攻撃に活用されていることを示している。

米国政府機関は、悪意のある活動に関する多くの詳細を共有しておらず、ランサムウェアの悪用ステータスを不明としている。

米国の連邦政府機関および政府組織は、2024年11月5日までに安全なバージョンにアップデートするか、製品の使用を停止することが求められている。

CVE-2024-28987の悪用ステータスがアクティブであることから、システム管理者は設定された期限よりも早く、WDHエンドポイントを保護するための適切な対策を講じることが推奨される。

他の2つの欠陥は、WindowsとMozilla Firefoxに関するもので、どちらの脆弱性もすでに攻撃で悪用されていることが知られている。CISAはまた、連邦政府機関に対し、11月5日までにこれらの欠陥にパッチを当てるよう求めている。

Windowsの欠陥は、CVE-2024-30088として追跡されているカーネルTOCTOUレースコンディションで、トレンドマイクロ社によって積極的に悪用されていることが発見された。同サイバーセキュリティ企業は、OilRig(APT34)がこの欠陥を悪用し、侵害されたデバイス上でSYSTEMレベルまで権限を昇格させたと分析している。

マイクロソフトは6月2024日(火)のパッチパックでこの脆弱性に対処したが、積極的な悪用がいつ始まったのかは不明である。

Mozilla Firefox CVE-2024-9680の欠陥は、ESETの研究者DamienSchaefferによって2024年10月8日に発見され、25時間後にMozillaによって修正された。

Mozillaによると、ESETはFirefoxのCSSアニメーションのタイムラインのレンダリングを通じて、ユーザーのデバイス上でリモートからコードを実行できる攻撃チェーンを提供したという。

ESETは現在も観測した攻撃を分析中だが、広報担当者は、この悪質な活動はロシアから発信されたもので、スパイ活動に利用された可能性が高いと述べた。