バグレポート| 2022年12月

この時期であれば、NAUGHTYリスト*ともいうべき、バグレポートへようこそ!ホリデーシーズンには、ツリーの下のプレゼントに重大なバグが隠されているものですが、そのうち2件はまだ謎のままです。休暇中はサイバー脅威も停止すると思いたいかもしれませんが、それらは続いています。12月はNSAによる言及、またCitrixについてもありました。

*悪い子リストのことで、名前がリストに載ってしまうとサンタさんからプレゼントがもらえません。


CVE-2022-27518

Citrix ADC または Citrix Gateway をSAML SP または SAML IdPとして構成しましたか。もしそうであれば、あなたは、Citrix ADC および Citrix Gateway に影響を及ぼす新しい未認証のリモート コード実行 (RCE) 脆弱性の勝者に該当します。 さらに、APT5 の標的にされた可能性があります。

あなたのための休日はありません

対象

Citrix ACD とGateway が広く利用されていることを考えると、世界中の顧客に影響を与える可能性がさらに高くなります。結局のところ、Citrix社の Web ページには、非営利団体や地方自治体から、eBay のようなハイテク大手までの顧客事例が掲載されています。一般ユーザーが、認証なしで金融、医療、または政府のシステムにアクセスできることは問題になるでしょう。現在、一般公開されている概念実証 (POC) コードがないため、その可能性が高いと思います。APT5 も同様です。APT5 は、中国に起因すると考えられており、通信会社やテクノロジー企業を標的にすることで知られている高度持続的脅威(APT)グループです。

CVE-2022-27518 が実際に (高度な攻撃者によっても) 活発に悪用されていることを考えると、パッチ管理プログラムが合理化されていない限り、Citrix社は今年あな​​たに補償を提供したかもしれません。POC はありませんが、NSA は、APT グループによるこの脆弱性の悪用を検出するためのYARA ルールをリリースしました。

1 年に 1 日働く人が今月の従業員を獲得できるのは政府だけです。1

対処法

ADC のパッチはこちらから、ゲートウェイのパッチはこちらから入手できますCVE-2022-27518に関する Citrix社 独自のセキュリティ情報が公開されています。


CVE-2022-42475

こちらは Fortinet FortiOS SSL-VPNにおける事前認証 RCEです。この脆弱性は、特別に細工されたリクエストを経由して悪用されるようです。サイバーセキュリティ ソリューションの大手企業の一つである Fortinet は、不幸にも今年の脆弱性を売り込む犠牲者となりました。

賢い悪魔、彼は与えて盗む

対象

Fortinet はパートナーと顧客に宣伝しており、広範囲に影響があります。もし私がFortinet 製品の顧客であれば、自分の防御態勢をできるだけ早く確認する必要があります。これはFortinet 製品を持つ何十社もの企業が目を向けるべき深刻な問題です。私の警告だけでは不十分な場合は、この脆弱性が実際に悪用されていることを思い出してください。

対処法

7 つ以上の製品バージョンが影響を受けるため、適切なパッチ管理の確認が重要になります。パッチの詳細については、Fortinet のアドバイザリを参照してください。


CVE-2022-4262

Google Chrome 内の V8 エンジンに型の取り違えの脆弱性が発見され、CISAが勧告を出すほどの波紋を呼んでいます。型式混同の 脆弱性によくあることですが、V8 エンジンのコンポーネントが、渡されたオブジェクトの型を検証しておらず、攻撃者が後で別の型を使用して同じオブジェクトにアクセスできるようになっています。この CVE のおかげで、特別に細工された HTML ページにより、リモートの攻撃者が一般的なブラウザのヒープ破損を悪用し、RCEを引き起こすことができます。

対象

いずれにせよ、一部のインターネット上の情報によると、Chrome ブラウザの市場シェアは 65% に達しているそうです。少なくとも 65% が気にかけていると言っても過言ではなく、おそらくSOC チームも気にかけているでしょう。SOC チームは、パッチが適用されなかったりプッシュされなかったりしたために、恐ろしいインシデント対応の電話を受けたくはないでしょう。

対処法

Google の Threat Analysis Group のおかげで、CVE-2022-4262 が実際に検知されていることを考えると、最善の方法は、迅速にパッチを適用することです。関連するパッチノートはこちらです。


CVE-2022-42856

CVE-2022-4262 を覚えていますか。実のところ、この脆弱性と前回の脆弱性との間に直接的な関連はありませんが、同じ研究者が両方について言及し、両方とも型の取り違えが関係しているとされています。それでも偶然の一致であることには変わりありません。

Apple は、iOS/iPadOS エコシステムで動作するすべてのサードパーティの Web ブラウザーに、WebKitの利用を義務付けています。WebKitは、AppleだけでなくGoogle Chrome、Chromiuim、GNOME Webなど、他のプラットフォームでも使用されているオープンソースのウェブブラウザエンジンです。この脆弱性の詳細は不明ですが、動的メモリの不適切な使用のように見えます。これは、V8 Google Chromium における同様の型の取り違えと関係があるのでしょうか。 Google と Apple は今年、それぞれの脆弱性についてコメントしないことを決めたようです。

トイレがいっぱいになると、猫は不機嫌になります

対象

市場規模をめぐる熾烈な競争を考えれば、2つの大企業が自社製品の安全性を保証していることは、驚くべきことではありません。結局のところ、Apple ユーザーもGoogle ユーザーも気にする必要があるのです。また、「Apple 製品を入手すれば、マルウェアに感染することはない」と独りよがりなことを言っている周りの人たちには、CVEをいくつか見せてあげればいいのです。

対処法

この脆弱性は、実際に非常に有能な攻撃者によって悪用されていることが確認されているため、パッチを適用することが最善策となります。まずは、Appleのアドバイザリ参照してください。

本記事およびここに含まれる情報は、啓蒙目的およびTrellixの顧客の利便性のみを目的としてコンピュータ セキュリティの研究について説明しています。Trellixは、脆弱性合理的開示ポリシーに基づいて調査を実施しています。記載されている活動の一部または全部を再現する試みについては、ユーザーの責任において行われるものとし、Trellixおよびその関連会社はいかなる責任も負わないものとします。