1週間で脆弱性7件を悪用リストに追加 - 米当局
米政府は、あらたに悪用が確認された脆弱性について注意喚起を行った。いわゆる「パッチチューズデー」にあたる現地時間9月10日以降、あらたに7件が登録されている。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、「悪用が確認された脆弱性カタログ(KEV)」へ現地時間9月10日に脆弱性4件、さらに同月13日に1件、同月16日に2件の脆弱性を追加した。
9月10日には、9月のMS月例パッチで当初よりゼロデイ攻撃が確認されていることが明らかにされている「CVE-2024-38014」「CVE-2024-38217」「CVE-2024-38226」「CVE-2024-43491」が公開と同時に「KEV」へ登録。
さらに同じく月例パッチで修正された「Microsoft Windows MSHTMLプラットフォーム」において「なりすまし」が可能となる脆弱性「CVE-2024-43461」は、公開当初に悪用は確認されていないとしていたが、その後ゼロデイ攻撃に悪用されていたことをマイクロソフトが明らかにし、9月13日に追加となった。
同じく9月13日には、Progress Softwareのネットワーク監視ツール「WhatsUp Gold」に判明したSQLインジェクションの脆弱性「CVE-2024-6670」が登録となっている。認証を必要とすることなく暗号化されたパスワードを取得することが可能。現地時間8月29日にセキュリティアドバイザリがリリースされていた。
またパッチチューズデーにアドバイザリが公開された「Ivanti Cloud Services Appliance」に判明したOSコマンドインジェクションの脆弱性
「CVE-2024-8190」についても、公開当初、悪用は未確認とされていたが、Ivantiでは9月13日にアドバイザリを更新。一部顧客で悪用されたことを明らかにしている。
(Security NEXT - 2024/09/17 )
ツイート
PR
関連記事
市内全世帯向けデジタル金券の配送中に一部紛失 - 太田市
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
「不正ログイン」相談が約1.5倍 - 「偽警告」は関係者逮捕で減少するも限定的
Apple、「iOS 26.1」「iPadOS 26.1」を公開 - 56件の脆弱性を解消
ランサム攻撃でシステム障害が発生、影響など調査 - エネサンスHD
Apple、脆弱性を修正した「iOS 18.7.2」「iPadOS 18.7.2」を公開
一部サーバでランサム被害、バックアップ削除も - 新報国マテリアル
日英、IoT製品セキュラベル制度「JC-STAR」「PSTI法」で相互承認
「Django」にSQLiやDoS脆弱性 - 修正版をリリース
動画配信「バンダイCH」が一時停止 - 「意図せぬ退会」発生
