「Acrobat」「Cisco IOS」などの脆弱性5件が攻撃の標的に

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、現地時間10月10日に「悪用が確認された脆弱性カタログ（KEV）」へ5件の脆弱性を追加した。

具体的には、「Adobe Acrobat」「Adobe Reader」における解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2023-21608」を追加した。同脆弱性は1月のアップデートで修正されており、共通脆弱性評価システム「CVSSv3.1」におけるベーススコアは「7.8」と評価されている。

同時に修正された脆弱性17件も含め、同社では適用優先度をもっとも低い「3」とレーティング。アップデートの公開当時は、任意のタイミングで更新するよう求めていた。

一方「CVE-2023-20109」は、Cisco Systems製ネットワーク機器に搭載されている「Cisco IOS」「Cisco IOS XE」の「Cisco Group Encrypted Transport VPN（GETVPN）」に明らかとなった脆弱性。

現地時間9月27日にセキュリティアドバイザリをリリースしており、CVSS基本値を「6.6」、重要度を4段階中、上から3番目にあたる「中（Medium）」としていた。

悪用にはグループのメンバーであるか、キーサーバの管理権限が必要となるが、任意のコードを実行したり、サービス拒否を引き起こすおそれがある。

（Security NEXT - 2023/10/13 ） ツイート

PR

関連記事

小中学校3校で一部指導要録が所在不明 - 小金井市
1世帯あたり5万円？　給付金の手続き案内に見せかけたフィッシング攻撃
Google、ブラウザ最新版「Chrome 120」を公開 - 脆弱性を解消
問合フォームより送信された資料が外部閲覧可能に - 充電池リサイクル団体
市サイトに農地所有者の個人情報を誤掲載 - みどり市
患者情報含む資料が流出、一部院外で回収 - 東北医科薬科大
ワイン通販サイトに不正アクセス - 個人情報流出の可能性
「Apache Struts」にアップデート - 「クリティカル」の脆弱性に対応
「Qlik Sense Enterprise」の脆弱性が標的に - ランサム攻撃でも
「経産省サイバーセキュリティ課」をかたる偽電話が急増