CISA

Cybersecurity and Infrastructure Security Agency (CISA) は、Bitbucket Server RCE と 2 つの Microsoft Exchange ゼロデイを含む、攻撃で悪用されるバグのリストにさらに 3 つのセキュリティ上の欠陥を追加しました。

Microsoft によると、CISA のKnown Exploited Vulnerabilities (KEV) カタログには、限定的な標的型攻撃で悪用された 2 つの Microsoft Exchange ゼロデイ (CVE-2022-41040 および CVE-2022-41082) が含まれています。

Microsoft は、積極的に悪用されているこの 2 つのバグに対処するためのセキュリティ更新プログラムをまだリリースしていませんが、攻撃の試みをブロックする IIS サーバー ブロック ルールを追加することを顧客に要求する緩和策を共有しました。

「マイクロソフトはまた、これらの悪意のあるアクティビティに対して既に展開されている検出を監視しており、顧客を保護するために必要な対応措置を講じます。 [..] 修正プログラムをリリースするためのタイムラインを加速するように取り組んでいます」とマイクロソフトは本日初めに述べました。

CISA が本日 KEV リストに追加した 3 番目のセキュリティ上の欠陥 (CVE-2022-36804 として追跡) は、 アトラシアンの Bitbucket Server および Data Center における重大な重大度のコマンド インジェクションの脆弱性であり、概念実証のエクスプロイト コードが公開されています。

攻撃者は、悪意のある HTTP リクエストを介してこの脆弱性を悪用し、リモートでコードを実行できます。それでも、公開リポジトリへのアクセス権または非公開リポジトリへの読み取り権限が必要です。

この RCE 脆弱性は、7.0.0 から 8.3.0 までを含む、6.10.17 以降のすべての Bitbucket Server および Data Center バージョンに影響を与えます。

BinaryEdge と GreyNoise は、少なくとも 9 月 20 日以降、攻撃者が実際に CVE-2022-36804 をスキャンして悪用しようと試みていることを確認しました [1、2 ]

軽減を命じた連邦機関

すべての連邦民間行政機関 (FCEB) 機関は、 拘束力のある運用指令 (BOD 22-01)によって要求される 11 月の CISA の KEV カタログに追加された後、積極的に悪用されているこれら 3 つのバグに対してパッチまたは緩和策を適用します。

連邦機関には、10 月 21 日までの 3 週間が与えられ、悪用の試みが確実にブロックされるようにしました。

BOD 22-01 は米国の FCEB 機関にのみ適用されますが、米国のサイバーセキュリティ機関は、世界中のすべての民間および公共部門の組織に対して、これらの脆弱性へのパッチ適用を優先するよう強く要請しました。

できるだけ早くパッチを適用することで、潜在的な攻撃者が侵害の試みで標的とする可能性のある攻撃面を減らすことができます。

「これらのタイプの脆弱性は、悪意のあるサイバー アクターによる頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と CISA は木曜日に説明しました。

拘束力のある BOD 22-01 指令が昨年発行されて以来、CISA は、攻撃に悪用されたバグのカタログに 800 以上のセキュリティ上の欠陥を追加しましたが、連邦機関はより厳しいスケジュールでそれらに対処する必要があります。