1週間で脆弱性7件を悪用リストに追加 - 米当局
米政府は、あらたに悪用が確認された脆弱性について注意喚起を行った。いわゆる「パッチチューズデー」にあたる現地時間9月10日以降、あらたに7件が登録されている。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)では、「悪用が確認された脆弱性カタログ(KEV)」へ現地時間9月10日に脆弱性4件、さらに同月13日に1件、同月16日に2件の脆弱性を追加した。
9月10日には、9月のMS月例パッチで当初よりゼロデイ攻撃が確認されていることが明らかにされている「CVE-2024-38014」「CVE-2024-38217」「CVE-2024-38226」「CVE-2024-43491」が公開と同時に「KEV」へ登録。
さらに同じく月例パッチで修正された「Microsoft Windows MSHTMLプラットフォーム」において「なりすまし」が可能となる脆弱性「CVE-2024-43461」は、公開当初に悪用は確認されていないとしていたが、その後ゼロデイ攻撃に悪用されていたことをマイクロソフトが明らかにし、9月13日に追加となった。
同じく9月13日には、Progress Softwareのネットワーク監視ツール「WhatsUp Gold」に判明したSQLインジェクションの脆弱性「CVE-2024-6670」が登録となっている。認証を必要とすることなく暗号化されたパスワードを取得することが可能。現地時間8月29日にセキュリティアドバイザリがリリースされていた。
またパッチチューズデーにアドバイザリが公開された「Ivanti Cloud Services Appliance」に判明したOSコマンドインジェクションの脆弱性
「CVE-2024-8190」についても、公開当初、悪用は未確認とされていたが、Ivantiでは9月13日にアドバイザリを更新。一部顧客で悪用されたことを明らかにしている。
(Security NEXT - 2024/09/17 )
ツイート
PR
関連記事
旧メールシステムのアカウントに不正アクセス - ゼットン
クラウドサーバにランサム攻撃、患者情報流出 - 日本美容医療研究機構
案内メールを「CC」送信で顧客のメアド流出 - 積文館書店
サイト掲載リーフレット、写真で個人特定可能に - 神奈川県理学療法士会
小学校で成績含むUSBメモリ紛失、データにはPW - 都城市
YCC情報システムにサイバー攻撃 - 影響など詳細を調査
総務省をかたる偽メールに注意 - 調査名目で情報詐取
「SandboxJS」にサンドボックス回避のクリティカル脆弱性などが判明
米当局、「FortiClient EMS」脆弱性の悪用に注意喚起 - 侵害有無の確認も要請
医師の経験症例リスト含むUSBメモリが所在不明 - 新潟大医歯学総合病院
