Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

運用監視ソフト「Cacti」の脆弱性が標的に - 米政府が注意喚起

サーバの運用監視ソフト「Cacti」において、2022年12月に明らかとなった既知の脆弱性が積極的に悪用されているとして、米政府が注意を呼びかけている。

コマンドインジェクションの脆弱性「CVE-2022-46169」が、サイバー攻撃で積極的に悪用されているとして、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)が「悪用が確認された脆弱性カタログ(KEV)」へ追加し、注意を促したもの。

脆弱性を悪用されると、IPアドレスによる制限を回避し、Cactiの実行権限でコマンドを実行されるおそれがある。CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」、重要度を「クリティカル(Critical)」とレーティングしている。

同脆弱性は、2022年12月5日に公表され、ソースリポジトリにおいてパッチが提供されているほか、2023年1月2日にリリースされた「同1.2.23」にて修正されている。

脆弱性については、パッチ公開時より詳細が明らかにされており、その後同脆弱性のエクスプロイトコードなども公開されている。

(Security NEXT - 2023/02/21 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ワークフロー管理の「Apache DolphinScheduler」に脆弱性
Atlassian、「Confluence」など複数製品にセキュリティアップデート
GitLabが2月2度目のアップデート、脆弱性やバグに対応
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
ランサムウェア被害のイズミ、完全復旧目標は5月1日
イズミ、ランサム被害で宅配など一部サービスを停止 - 新店舗オープンを延期
サイクリングイベント申込フォームでミス、個人情報が流出 - 倉敷市
コンテスト入賞作品を撤収中に紛失、その後返還 - 鳥取県
事務連絡メールに7468人分の個人情報含む送付先一覧を誤添付 - 大阪市
受講システムで受講者の情報閲覧権限に設定ミス - ラック