eSecurity Planetは4月15日、「WatchGuard, Windows Vulnerabilities Require Urgent Fixes」において、最近発見された早急にパッチ適用が必要な2件の脆弱性として、WatchGuardのファイアウォール製品の「CVE-2022-23176」と、Windows/Windows Serverの「CVE-2022-26809」を紹介した。

脆弱性の深刻度を表すCVSS v3のベーススコアは、前者が10点満点中の8.8、後者が9.8で、対策せずに放置すればシステムに重大な被害がもたらされる危険性がある。

CVE-2022-23176は、WatchGuardのセキュリティ製品であるWatchGuard FireboxおよびXTMアプライアンスで実行されているFireware OSに影響を与えるファイアウォール・ソフトウェアの脆弱性である。悪用されると、特権のない資格情報を持つリモートの攻撃者が、管理コンソールを介して特権のある管理者ユーザのセッションでシステムにアクセスすることができる。

この脆弱性は、ロシア政府が関与するとされるサイバー攻撃グループのSandwormによって、「Cyclops Blink」と呼ばれるマルウェアによって使用されたことが判明している。米国のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)は、影響を受けるシステムを使用する政府関連機関に対して、2022年5月2日までに修正パッチの適用を求める緊急指令を発令している。

なおWatchGuardでは、この脆弱性の影響を回避するには、最新のFireware OSバージョンへのアップデートを実施する前に、WatchGuardが推奨する緩和策を適用してデバイスをクリーンアップする必要があると通知している。

  • CVE-2022-23176: WatchGuard FireboxおよびXTMアプライアンスにおける権限昇格の脆弱性

    CVE-2022-23176: WatchGuard FireboxおよびXTMアプライアンスにおける権限昇格の脆弱性

CVE-2022-26809は、WindowsおよびWindows Serverのリモートプロシージャコール(RPC)ランタイムライブラリに発見されたリモートコード実行の脆弱性である。悪用されると、認証されていないリモートの攻撃者が標的のシステム上で任意のコードを実行し、システムを制御できる可能性があるという。この脆弱性に対する修正は、2022年4月12日の月例セキュリティ更新プログラムの一部として利用可能になっている。

  • CVE-2022-26809: リモートプロシージャコールランタイムライブラリにおけるリモートコード実行の脆弱性

    CVE-2022-26809: リモートプロシージャコールランタイムライブラリにおけるリモートコード実行の脆弱性