米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は4月15日(米国時間)、「CISA Adds Nine Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に9個の脆弱性を追加したと伝えた。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2022-22960 VMware - 複数の製品
- CVE-2022-1364 Google - Chromium V8 Engine
- CVE-2019-3929 Crestron - 複数の製品
- CVE-2019-16057 D-Link - DNS-320 Storage Device
- CVE-2018-7841 Schneider_Electric - U.motion Builder
- CVE-2016-4523 Trihedral - VTScada (formerly VTS)
- CVE-2014-0780 InduSoft - Web Studio
- CVE-2010-5330 Ubiquiti - AirOS
- CVE-2007-3010 Alcatel - OmniPCX Enterprise
脆弱性の主な内容は次のとおり。
CVE番号 | 脆弱性内容 |
---|---|
CVE-2022-22960 | VMware Workspace ONE Access, Identity Manager and vRealize Automation contain a privilege escalation vulnerability due to improper permissions in support scripts. |
CVE-2022-1364 | Google Chromium V8 engine contains a type confusion vulnerability. |
CVE-2019-3929 | Multiple Crestron products are vulnerable to command injection via the file_transfer.cgi HTTP endpoint. A remote, unauthenticated attacker can use this vulnerability to execute operating system commands as root. |
CVE-2019-16057 | The login_mgr.cgi script in D-Link DNS-320 is vulnerable to remote code execution. |
CVE-2018-7841 | A SQL Injection vulnerability exists in U.motion Builder software which could cause unwanted code execution when an improper set of characters is entered. |
CVE-2016-4523 | The WAP interface in Trihedral VTScada (formerly VTS) allows remote attackers to cause a denial-of-service. |
CVE-2014-0780 | InduSoft Web Studio NTWebServer contains a directory traversal vulnerability which allows remote attackers to read administrative passwords in APP files, allowing for remote code execution. |
CVE-2010-5330 | Certain Ubiquiti devices contain a command injection vulnerability via a GET request to stainfo.cgi. |
CVE-2007-3010 | masterCGI in the Unified Maintenance Tool in Alcatel OmniPCX Enterprise Communication Server allows remote attackers to execute arbitrary commands. |
カタログに追加された脆弱性は積極的に悪用が確認されている点に注意が必要。該当する製品を使っている場合は、提供されているCVE情報やベンダの提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。
今回カタログに追加された脆弱性は、最も古いもので2007年に発行されたものが含まれている。カタログにはアクティブに悪用されている脆弱性が追加される仕組みになっており、脆弱性自体は新しいものから古いものまで幅広く追加されている。
長期にわたって使っている製品がこうした脆弱性を抱えたままになっていることもあるため、カタログに追加された製品に関しては再度情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。