米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は3月30日(米国時間)、「CISA Adds Ten Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に新しく10個のセキュリティ脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。
-
CISA Adds Ten Known Exploited Vulnerabilities to Catalog|CISA
影響を受ける主な製品やサービスは次のとおり。
- CVE-2013-3163 Microsoft - Internet Explorer
- CVE-2014-1776 Microsoft - Internet Explorer
- CVE-2017-7494 Samba - Samba
- CVE-2022-42948 Fortra - Cobalt Strike
- CVE-2022-39197 Fortra - Cobalt Strike
- CVE-2021-30900 Apple - iOS, iPadOS, and macOS
- CVE-2022-38181 Arm - Mali Graphics Processing Unit (GPU)
- CVE-2023-0266 Linux - Kernel
- CVE-2022-3038 Google - Chrome
- CVE-2022-22706 Arm - Mali Graphics Processing Unit (GPU)
脆弱性の主な内容は次のとおり。
| CVE番号 | 脆弱性の内容 |
|---|---|
| CVE-2013-3163 | Microsoft Internet Explorerにおけるリモートコード実行やDoS状態を引き起こすことができるメモリ破壊の脆弱性 |
| CVE-2014-1776 | Microsoft Internet Explorerにおけるリモートコード実行を引き起こすメモリ破壊の脆弱性 |
| CVE-2017-7494 | Sambaにおけるリモートコード実行のセキュリティ脆弱性 |
| CVE-2022-42948 | Fortra Cobalt StrikeユーザーインタフェースにおけるJava Swingに関するリモートコード実行の脆弱性(まだ不特定) |
| CVE-2022-39197 | Fortra Cobalt Strike Teamserverにおけるリモートコード実行を引き起こすクロスサイトスクリプティングの脆弱性 |
| CVE-2021-30900 | Apple GPUドライバにおけるカーネル権限でコード実行が可能な境界外書き込みの脆弱性 |
| CVE-2022-38181 | Arm Mali GPUカーネルドライバにおける特権昇格などを引き起こすuse-after-freeの脆弱性 |
| CVE-2023-0266 | LinuxカーネルにおけるシステムユーザからRing0アクセスを取得する特権昇格が可能なuse-after-freeの脆弱性 |
| CVE-2022-3038 | Google Chromeにおけるリモートからのヒープ破壊が可能なuse-after-freeの脆弱性 |
| CVE-2022-22706 | Arm Mali GPUカーネルドライバにおける非特権ユーザが読み取り専用メモリページへ書き込みアクセスができる脆弱性(まだ不特定) |
今回カタログに追加された脆弱性は、Microsoft IEに関するものが最も古く2013年に発行されたものとなっている。カタログにはアクティブに悪用されている脆弱性が追加される仕組みになっており、脆弱性自体は古いものが含まれることもある。
長期にわたって使っている製品がこうした脆弱性を抱えたままになっていることもあるため、カタログに追加された製品に関しては再度情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。
