CISAが警告:4つの重要な企業向けソフトウェア脆弱性が積極的に悪用される
CISAがVersa Director、Zimbra、Vite、Prettierの4つの重大な脆弱性(CVE-2024-39717他)が攻撃者に悪用されていると警告。至急パッチ適用とセキュリティ対策を推奨。
CISAが4つの企業向けソフトウェア脆弱性の積極的悪用を確認
米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、企業向けソフトウェア製品に影響を与える4つの脆弱性が積極的に悪用されていることを確認する警告を発表しました。これらの脆弱性は、Versa Director、Zimbra Collaboration Suite、フロントエンドツールのVite、コードフォーマッターのPrettierに影響を及ぼし、CISAのKnown Exploited Vulnerabilities(KEV)カタログに追加されました。
脆弱性の主な詳細
CISAのアドバイザリでは、以下のCVEが現在攻撃を受けていることが強調されています:
-
CVE-2024-39717 – Versa Directorにおける重大な認証バイパスの脆弱性。ソフトウェア定義ワイドエリアネットワーク(SD-WAN)管理プラットフォームに影響し、認証されていない攻撃者が影響を受けるシステムに管理者アクセスを取得する可能性があります。Versaはこの問題に対処するパッチをリリースしています。
-
CVE-2024-45519 – 広く使用されている電子メールおよびコラボレーションプラットフォーム、Zimbra Collaboration Suiteにおけるクロスサイトスクリプティング(XSS)の脆弱性。この脆弱性を悪用することで、攻撃者は被害者のセッションのコンテキストで任意のJavaScriptを実行し、アカウントの侵害やデータ窃取につながる可能性があります。
-
CVE-2024-23331 – 人気のフロントエンドビルドツールであるViteにおけるディレクトリトラバーサルの脆弱性。この脆弱性により、攻撃者は入力パスを操作してサーバー上の機密ファイルにアクセスし、特定の構成ではリモートコード実行(RCE)につながる可能性があります。
-
CVE-2023-46133 – 広く採用されているコードフォーマッターPrettierにおけるプロトタイプ汚染の脆弱性。この脆弱性を悪用することで、攻撃者はJavaScriptオブジェクトのプロトタイプを操作し、脆弱な環境で任意のコードを実行できる可能性があります。
影響とリスク評価
これらの脆弱性がCISAのKEVカタログに含まれたことは、その深刻さと組織が緩和策を適用する緊急性を強調しています。実際に野放しでの悪用が確認されていることから、脅威アクターがこれらの脆弱性を利用して企業システムを侵害し、データを窃取したりマルウェアを展開したりしている可能性が示唆されています。
- Versa Director(CVE-2024-39717):SD-WANインフラストラクチャの管理に関わるため、攻撃者に広範なネットワークアクセスを提供する可能性があり、高リスクです。
- Zimbra(CVE-2024-45519):電子メールプラットフォームを標的とした攻撃は、フィッシング、認証情報の窃取、企業ネットワーク内での横方向移動の可能性があるため、特に懸念されます。
- Vite(CVE-2024-23331):主に開発ツールですが、CI/CDパイプラインで侵害されるとサプライチェーン攻撃につながる可能性があります。
- Prettier(CVE-2023-46133):本番環境ではそれほど重大ではありませんが、プロトタイプ汚染の脆弱性は開発環境で連鎖的な影響を及ぼす可能性があります。
推奨される対策
CISAは、連邦民間行政機関(FCEB)に対し、これらの脆弱性を2024年9月13日までにBinding Operational Directive(BOD)22-01に従ってパッチを適用するよう義務付けています。民間企業にも以下の対策を優先的に実施するよう強く推奨しています:
-
直ちにパッチを適用:影響を受けるすべてのソフトウェアバージョンを最新のセキュアなリリースに更新します。
- Versa Director:パッチの詳細
- Zimbra:セキュリティアップデート
- Vite:GitHubアドバイザリ
- Prettier:リリースノート
-
悪用の試みを監視:これらのCVEを標的とした悪用の試みを検出およびブロックするために、侵入検知/防止システム(IDS/IPS)を導入します。
-
アクセス制御の見直し:Versa DirectorおよびZimbraについては、厳格な認証ポリシーを実施し、管理者アクセスを制限して露出を最小限に抑えます。
-
開発環境の監査:ViteやPrettierを使用している組織は、CI/CDパイプラインの侵害の兆候を確認し、セキュアなコーディングプラクティスを確保します。
-
インシデントの報告:悪用が検出された場合は、CISAのインシデント報告システムを通じて報告します。
結論
これらの脆弱性の積極的な悪用は、パッチ未適用の企業ソフトウェアがもたらす継続的なリスクを浮き彫りにしています。特に高価値な標的が関与していることを考慮し、組織はこれらの脅威を迅速に緩和する必要があります。CISAのアドバイザリは、サイバーレジリエンスを維持するために積極的な脆弱性管理の重要性を改めて思い起こさせるものです。