米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は4月13日(米国時間)、「CISA Adds 10 Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に10個の脆弱性を追加したと伝えた。
-
CISA Adds 10 Known Exploited Vulnerabilities to Catalog|CISA
影響を受ける主な製品やサービスは次のとおり。
- CVE-2022-24521 Microsoft - Windows
- CVE-2018-7602 Drupal - Core
- CVE-2018-20753 Kaseya - Virtual System/Server Administrator (VSA)
- CVE-2015-5123 Adobe - Flash Player
- CVE-2015-5122 Adobe - Flash Player
- CVE-2015-3113 Adobe - Flash Player
- CVE-2015-2502 Microsoft - Internet Explorer
- CVE-2015-0313 Adobe - Flash Player
- CVE-2015-0311 Adobe - Flash Player
- CVE-2014-9163 Adobe - Flash Player
脆弱性の主な内容は次のとおり。
| CVE番号 | 脆弱性内容 |
|---|---|
| CVE-2022-24521 | Microsoft Windows Common Log File System (CLFS) Driver contains an unspecified vulnerability that allows for privilege escalation. |
| CVE-2018-7602 | A remote code execution vulnerability exists within multiple subsystems of Drupal that can allow attackers to exploit multiple attack vectors on a Drupal site. |
| CVE-2018-20753 | Kaseya VSA RMM allows unprivileged remote attackers to execute PowerShell payloads on all managed devices. |
| CVE-2015-5123 | Use-after-free vulnerability in the BitmapData class in the ActionScript 3 (AS3) implementation in Adobe Flash Player allows remote attackers to execute code or cause a denial-of-service. |
| CVE-2015-5122 | Use-after-free vulnerability in the DisplayObject class in the ActionScript 3 (AS3) implementation in Adobe Flash Player allows remote attackers to execute code or cause a denial-of-service. |
| CVE-2015-3113 | Heap-based buffer overflow vulnerability in Adobe Flash Player allows remote attackers to execute code. |
| CVE-2015-2502 | Microsoft Internet Explorer contains a memory corruption vulnerability which allows an attacker to execute code or cause a denial-of-service. |
| CVE-2015-0313 | Use-after-free vulnerability in Adobe Flash Player allows remote attackers to execute code. |
| CVE-2015-0311 | Unspecified vulnerability in Adobe Flash Player allows remote attackers to execute code. |
| CVE-2014-9163 | Stack-based buffer overflow in Adobe Flash Player allows attackers to execute code remotely. |
カタログに追加された脆弱性は積極的に悪用が確認されている点に注意が必要。該当する製品を使っている場合は提供されているCVE情報やベンダーが提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。
今回カタログに追加された脆弱性は、最も古いもので2014年に発行されたものが含まれており、すでにサポートが終了したプロダクトだ。カタログにはアクティブに悪用されている脆弱性が追加される仕組みになっており、脆弱性自体は古いものが含まれることも多い。長期にわたって使っている製品が脆弱性を抱えたままになっていることもあるため、カタログに追加された製品に関しては再度情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。
