Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米当局、AppleやOracleの脆弱性悪用に注意喚起

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、AppleやOracleの製品に対するゼロデイ攻撃について注意を呼びかけた。

現地時間11月21日に「悪用が確認された脆弱性カタログ(KEV)」へ3件の脆弱性を追加し、行政機関へ対応を促すとともに、広く注意喚起を行ったもの。

「CVE-2024-44308」「CVE-2024-44309」は「macOS」「iOS」「iPadOS」などが影響を受ける脆弱性。Appleでは現地時間11月19日にアドバイザリを公開。アップデートをリリースするとともに、IntelのCPUを搭載したMacを標的とした攻撃について報告があることを明らかにしていた。

一方「CVE-2024-21287」は、「Oracle Supply Chain」のコンポーネント「Oracle Agile PLM Framework」に明らかとなった脆弱性。認証を回避してファイルを参照でき、情報漏洩が生じるおそれがある。現地時間11月18日にアドバイザリを定例外で公開し、利用者に注意を呼びかけていた。

「悪用が確認された脆弱性カタログ(KEV)」については、今週に入ってから11月18日、20日、21日と脆弱性が連日登録されており、あらたに8件が追加されている。11月だけで21件が登録されており、あわせて注意したい。

11月に「悪用が確認された脆弱性カタログ(KEV)」へ追加された脆弱性

CVE-2024-8956:PTZOptics Cameras(2024/11/04)
CVE-2024-8957:PTZOptics Cameras(2024/11/04)
CVE-2019-16278:Nostromo nhttpd(2024/11/07)
CVE-2024-51567:CyberPersons CyberPanel(2024/11/07)
CVE-2024-43093:Android Framework(2024/11/07)
CVE-2024-5910:Palo Alto Networks Expedition(2024/11/07)
CVE-2021-26086:Atlassian Jira(2024/11/12)
CVE-2014-2120:Cisco Adaptive Security Appliance(2024/11/12)
CVE-2021-41277:Metabase Metabase(2024/11/12)
CVE-2024-43451:Microsoft Windows(2024/11/12)
CVE-2024-49039:Microsoft Windows(2024/11/12)
CVE-2024-9465:Palo Alto Networks Expedition(2024/11/14)
CVE-2024-9463:Palo Alto Networks Expedition(2024/11/14)
CVE-2024-9474:Palo Alto Networks PAN-OS(2024/11/18)
CVE-2024-0012:Palo Alto Networks PAN-OS(2024/11/18)
CVE-2024-1212:Progress Kemp LoadMaster(2024/11/18)
CVE-2024-38813:VMware vCenter Server(2024/11/20)
CVE-2024-38812:VMware vCenter Server(2024/11/20)
CVE-2024-21287:Oracle Agile PLM(2024/11/21)
CVE-2024-44309:Apple Multiple Products(2024/11/21)
CVE-2024-44308:Apple Multiple Products(2024/11/21)

(Security NEXT - 2024/11/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

Array Networks製VPN狙う脆弱性攻撃に注意 - 米当局が呼びかけ
「VMware vCenter Server」脆弱性の悪用に注意喚起 - 米当局
ロードバランサや「PAN-OS」の脆弱性悪用に注意喚起 - 米当局
Palo Alto製移行ツールの利用者狙う攻撃に注意喚起 - 米当局
WindowsやCisco ASAなど脆弱性5件の悪用に注意呼びかけ - 米当局
10月の脆弱性悪用警告は17件、前月の約3分の2に - 米CISA
米CISA、脆弱性4件の悪用について注意喚起
PTZOptics製カメラにRCE脆弱性 - 米政府が悪用に注意喚起
ウェブメール「RoundCube」やCiscoセキュリティ製品を狙う攻撃に警戒を
悪用済み脆弱性「CVE-2024-23113」の対象製品を追加 - Fortinet