米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月31日(米国時間)、「CISA Adds Seven Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に7個の脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。
-
CISA Adds Seven Known Exploited Vulnerabilities to Catalog|CISA
カタログに追加された脆弱性は次のとおり。
| CVE番号 | 脆弱性の内容 |
|---|---|
| CVE-2022-26871 | Trend Micro Apex Central Arbitrary File Upload Vulnerability |
| CVE-2022-1040 | Sophos Firewall Authentication Bypass Vulnerability |
| CVE-2021-34484 | Microsoft Windows User Profile Service Privilege Escalation Vulnerability |
| CVE-2021-28799 | QNAP NAS Improper Authorization Vulnerability |
| CVE-2021-21551 | Dell dbutil Driver Insufficient Access Control Vulnerability |
| CVE-2018-10562 | Dasan GPON Routers Command Injection Vulnerability |
| CVE-2018-10561 | Dasan GPON Routers Authentication Bypass Vulnerability |
影響を受ける主な製品やサービスは次のとおり。
- Dasan Gigabit Passive Optical Network (GPON) ルータ
- Dell dbutil ドライバ
- Microsoft Windows
- QNAP NAS
- Sophos Firewall
- Trend Micro Apex Central
カタログに追加された脆弱性はすでに悪用が確認されている点に注意が必要。該当する製品を使っている場合は、提供されているCVE情報やベンダーが提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。
今回も最近公開された脆弱性が含まれているが、カタログには最近報告された脆弱性も追加される。使用しているソフトウェアに関しては、新旧問わず脆弱性情報を確認するとともに、確実にアップデートを適用することが望まれる。
