米国のサイバーセキュリティ・インフラストラクチャセキュリティ機関(CISA)は、「Google Chrome」と「Adobe Commerce/Magento Open Source」に影響を与える2つのパッチを適用したゼロデイを含む、9つの脆弱性をリストアップし至急パッチを当てるように推奨しています。
CISAは、記載されている脆弱性を攻撃社が積極的に利用しているという証拠に基づき、新たに9つの脆弱性を「Known Exploited Vulnerabilities Catalog」に追加しました。これらのタイプの脆弱性は、あらゆるタイプの悪意のあるサイバーアクターが頻繁に利用する攻撃経路であり、連邦企業に大きなリスクをもたらします。
Chromeの脆弱性(CVE-2022-0609)は、深刻度の高いuse after freeの脆弱性でChrome 98.0.4758.102に対応したパッチが適用されていないChromeのバージョンを実行しているコンピュータにおいて攻撃者に任意のコードを実行されたり、ブラウザのセキュリティサンドボックスをバイパスさせる可能性があります。
またAdobeは、Adobe CommerceとMagento Open Sourceのバージョン2.4.3-p1/2.3.7-p2を対象としたエクスプロイトを利用して、「非常に限定された攻撃において」実生活でも悪用される重大な欠陥(CVE-2022-24086)を修正する緊急アップデートを公開しました。
eコマースセキュリティ企業のSansec社は、今回のMagentoの脆弱性は2015年に発生した重大なバグ「Magento Shoplift」と類似しており、攻撃社が脆弱なMagentoのサイトを乗っ取ることを可能にするものだと警告しています。
CISAは、2022年3月1日までにすべての連邦民間行政機関(FCEB)がこれら2つのセキュリティ脆弱性に対するパッチを導入する必要があるとしています。
またCISAの「Known Exploited Vulnerabilities Catalog」に追加された9つの欠陥の全リストには、以下の表に示すように、2013年から2022年までの新旧のバグが混在しています。
- CVE-2022-24086 Adobe Commerce および Magento Open Source の不適切な入力検証
- CVE-2022-0609 グーグルクロームのuse after free
- CVE-2019-0752 マイクロソフト インターネット エクスプローラー タイプコンフュージョン
- CVE-2018-8174 Microsoft Windows VBScript エンジンの Out-of-Bounds Write
- CVE-2018-20250 WinRAR 絶対パストラバーサル
- CVE-2018-15982 Adobe Flash Player の Use-After-Free
- CVE-2017-9841 PHPUnit コマンドインジェクション
- CVE-2014-1761 Microsoft Word のメモリ破壊
- CVE-2013-3906 Microsoft グラフィックスコンポーネントのメモリ破壊
CISAが2021年11月に発行した拘束力のある運用指令(BOD 22-01)によると、連邦機関はこれらの積極的に悪用される脆弱性に対してシステムにパッチを当てることが求められています。
これらのタイプの脆弱性は、あらゆるタイプの悪意のある工芸社にとって頻繁な攻撃ベクトルであり、連邦企業に大きなリスクをもたらしています。
BOD 22-01はFCEB機関にのみ適用されますが、CISAはすべての組織に対し、脆弱性管理の一環としてこれらの脆弱性をタイムリーに修復することを優先し、サイバー攻撃への曝露を減らすことを強く求めています
米国のサイバーセキュリティ機関は、各機関に対しApple WebKitのリモートコード実行バグが利用されているため、2月25日までにiPhone、Mac、iPadをアップデートするよう指示しました。
またFCEBの各機関に対して、他の15件の悪用されている欠陥にパッチを適用するよう要請しており、WindowsのSeriousSAMの特権昇格バグは、攻撃者がSYSTEM権限で任意のコードを実行することを可能にするもので、2月24日までにパッチを適用するよう要請しています。
Comments