米政府、バックアップソフトやIPカメラの脆弱性悪用に注意喚起
米政府は、バックアップソフトやIPカメラなどに判明している既知の脆弱性3件が悪用されているとして注意喚起を行った。
現地時間2025年3月19日に、「悪用が確認された脆弱性カタログ(KEV)」へ「CVE-2024-48248」「CVE-2025-1316」「CVE-2017-12637」を追加したもの。米国内の行政機関へ対策を講じるよう促すとともに、利用者へ広く注意を呼びかけた。
「CVE-2024-48248」は、NAKIVOが提供するバックアップソフトウェア「NAKIVO Backup and Replication」に関するパストラバーサルの脆弱性。任意のファイルへアクセスが可能となる脆弱性で、機密情報を窃取されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」、重要度は「高(High)」とレーティングされている。
同製品は、QNAPやSynology、Western Digitalをはじめ、NAS製品と連携させる構成で導入されているケースもあり注意が必要となる。
またSAPのアプリケーションサーバ「NetWeaver Application Server (AS) Java」においてもパストラバーサルの脆弱性「CVE-2017-12637」が悪用されている。同脆弱性に関しては、2017年8月の時点でSAPにより悪用が報告されていた。
(Security NEXT - 2025/03/21 )
ツイート
PR
関連記事
5月下旬以降、「PeopleSoft」にゼロデイ攻撃 - 対策と侵害有無の調査を
Oracle「PeopleSoft」に深刻なRCE脆弱性 - ただちに対応を
「Ivanti Sentry」脆弱性の悪用確認 - PoC公開でリスク増
「Chrome」に今週2度目のセキュ更新 - 脆弱性28件を修正
「Splunk Enterprise」にアップデート - 「クリティカル」脆弱性など解消
「Arista EOS」ゼロデイ含む脆弱性3件を悪用リストに追加 - 米当局
「OpenSSL」にセキュリティアップデート - 脆弱性18件を修正
ビデオ会議ツール「Zoom」のモバイルクライアントなどに脆弱性
「Ivanti Sentry」に複数の深刻な脆弱性 - 修正版を公開
Adobe、「Adobe Acrobat Reader」に20件の脆弱性 - アップデートを公開
