CERT勧告
CISA、積極的に悪用される4つの脆弱性をKEVカタログに追加
1分で読めますソース: CISA Cybersecurity Advisories
CVE-2019-19006
CISAが積極的に悪用されている4件の脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加。連邦機関および組織は、サイバー脅威の緩和に向けて迅速な対応が求められている。
CISA、積極的に悪用される4つの脆弱性をKEVカタログに追加
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、Known Exploited Vulnerabilities(KEV)カタログに4件の新たな脆弱性を追加した。これらの脆弱性は、実際の攻撃で悪用されている証拠があるとして、連邦機関および組織に対して早急な対応を求めている。
KEVカタログに追加された脆弱性
新たにリストされた脆弱性は以下の通り:
-
CVE-2019-19006 – Sangoma FreePBX
- 種類: リモートコード実行(RCE)
- 影響を受ける製品: Sangoma FreePBX(広く利用されているオープンソースPBXシステム)
- 影響: 認証なしで細工されたHTTPリクエストにより、任意のコードを実行可能。
-
CVE-2019-2725 – Oracle WebLogic Server
- 種類: デシリアライゼーションによるRCE
- 影響を受ける製品: Oracle WebLogic Server(バージョン10.3.6.0.0、12.1.3.0.0、12.2.1.3.0)
- 影響: 認証なしで悪用可能。攻撃者が脆弱なサーバーを制御可能。
-
CVE-2019-17621 – D-Link DIR-859 ルーター
- 種類: コマンドインジェクション
- 影響を受ける製品: D-Link DIR-859(ファームウェアバージョン1.06より前)
- 影響: リモート攻撃者が細工されたHTTPリクエストにより、任意のコマンドを実行可能。
-
CVE-2016-4117 – Adobe Flash Player
- 種類: Use-After-FreeによるRCE
- 影響を受ける製品: Adobe Flash Player(バージョン21.0.0.226以前)
- 影響: 悪意のあるFlashコンテンツにより、任意のコードを実行可能。
技術分析と悪用の証拠
CISAがこれらの脆弱性をKEVカタログに追加したことは、脅威アクターによる実際の悪用が確認されたことを示している。具体的な攻撃詳細は非公開だが、以下の点が指摘されている:
- CVE-2019-19006(Sangoma FreePBX): 誤って公開されたWebインターフェースを標的とする攻撃が多く、VoIPの設定ミスが狙われる。
- CVE-2019-2725(Oracle WebLogic): 過去にランサムウェアグループ(例:Sodinokibi/REvil)や仮想通貨マイナーによる攻撃で悪用された。
- CVE-2019-17621(D-Link DIR-859): ルーターの脆弱性は、ボットネット(例:Mirai亜種)への勧誘に悪用されることが多い。
- CVE-2016-4117(Adobe Flash): 古いFlashの脆弱性は、未修正の環境で依然として攻撃ベクターとして利用される。
影響と緩和策の推奨事項
影響を受ける製品を使用している組織は、以下の対策を直ちに実施することが推奨される:
- パッチの優先適用: ベンダー提供のアップデートを迅速に適用。連邦機関は、CISAの指令に基づき、通常2~4週間以内に対応を完了する必要がある。
- ネットワーク分離: 脆弱なシステム(例:VoIPサーバー、ルーター)を重要インフラから分離。
- 公開範囲の縮小: 不要なサービス(例:Flash Player)を無効化し、管理インターフェースへのアクセスを制限。
- 脅威監視: 侵入検知/防御システム(IDS/IPS)を導入し、悪用の試みを検出。
セキュリティチーム向けの次のステップ
- インベントリ確認: 環境内にある影響を受ける製品の全インスタンスを特定。
- 脆弱性スキャン: NessusやOpenVASなどのツールを使用し、未修正のシステムを検出。
- インシデント対応: 悪用が疑われる場合は、侵害の可能性を調査。
詳細なガイダンスについては、CISAのKEVカタログおよびベンダーのアドバイザリを参照のこと。
原文アドバイザリ:CISA Alert AA26-033A