CISAは、米連邦政府機関に対し、シスコおよびウィンドウズ・システムの脆弱性を悪用した攻撃からシステムを保護するよう警告した。
同サイバーセキュリティ機関は、これらの欠陥が野放し状態で積極的に悪用されているとタグ付けしているが、この悪質な活動やその背後にいる人物に関する具体的な詳細はまだ明らかにしていない。
最初の欠陥(CVE-2023-20118として追跡)は、攻撃者がRV016、RV042、RV042G、RV082、RV320、RV325 VPNルータ上で任意のコマンドを実行できるようにするものです。これは有効な管理者認証情報を必要としますが、CVE-2023-20025の認証バイパスを連鎖させることで、root権限を提供することが可能です。
シスコは、2023年1月に公開され、1年後に更新されたアドバイザリで、同社の製品セキュリティ・インシデント・レスポンス・チーム(PSIRT)が、CVE-2023-20025の一般に利用可能な概念実証のエクスプロイト・コードを認識していると述べている。
2つ目のセキュリティバグ(CVE-2018-8639)は、Win32kの特権昇格の不具合で、ターゲットシステムにログインしたローカル攻撃者が悪用することで、カーネルモードで任意のコードを実行できる。悪用に成功すると、データを改ざんしたり、完全なユーザー権限を持つ不正なアカウントを作成して脆弱なWindowsデバイスを乗っ取ったりすることも可能になる。
マイクロソフトが2018年12月に発行したセキュリティアドバイザリによると、この脆弱性はクライアント(Windows 7以降)およびサーバー(Windows Server 2008以降)のプラットフォームに影響を及ぼす。
本日、CISAはこの2つの脆弱性を「Known Exploited Vulnerabilities」カタログに 追加した。このカタログには、同機関が攻撃で悪用されたとしてタグ付けしたセキュリティバグが掲載されている。2021年11月に発行された拘束力のある運用指令(BOD)22-01によって義務付けられているように、連邦政府民間行政機関(FCEB)は現在、3月23日までの3週間で、継続的な悪用からネットワークを保護する必要がある。
「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃手段であり、連邦政府企業にとって重大なリスクとなる」とCISAは本日述べた。
マイクロソフトとシスコは、CISAがこの2つの脆弱性を攻撃で積極的に悪用しているとしてタグ付けした後、まだセキュリティ勧告を更新していない。
CISAは2月上旬にも、Microsoft Outlookのリモート・コード実行(RCE)の重大な脆弱性(CVE-2024-21413)が現在進行中の攻撃で悪用されていると発表し、連邦政府機関に対し、2月27日までにシステムにパッチを適用するよう命じた。
Comments