米政府、バックアップソフトやIPカメラの脆弱性悪用に注意喚起
米政府は、バックアップソフトやIPカメラなどに判明している既知の脆弱性3件が悪用されているとして注意喚起を行った。
現地時間2025年3月19日に、「悪用が確認された脆弱性カタログ(KEV)」へ「CVE-2024-48248」「CVE-2025-1316」「CVE-2017-12637」を追加したもの。米国内の行政機関へ対策を講じるよう促すとともに、利用者へ広く注意を呼びかけた。
「CVE-2024-48248」は、NAKIVOが提供するバックアップソフトウェア「NAKIVO Backup and Replication」に関するパストラバーサルの脆弱性。任意のファイルへアクセスが可能となる脆弱性で、機密情報を窃取されるおそれがある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「8.6」、重要度は「高(High)」とレーティングされている。
同製品は、QNAPやSynology、Western Digitalをはじめ、NAS製品と連携させる構成で導入されているケースもあり注意が必要となる。
またSAPのアプリケーションサーバ「NetWeaver Application Server (AS) Java」においてもパストラバーサルの脆弱性「CVE-2017-12637」が悪用されている。同脆弱性に関しては、2017年8月の時点でSAPにより悪用が報告されていた。
(Security NEXT - 2025/03/21 )
ツイート
PR
関連記事
「Apache Flink」にコードインジェクションの脆弱性 - 重要度「クリティカル」
「MongoDB」に深刻な脆弱性 - 早急な対応を強く推奨
WPS Office旧脆弱性、2020年以降の製品などにも影響
Ivanti、5月の月例アップデートを公開 - 「クリティカル」脆弱性も
「MS Edge」にセキュリティ更新 - 独自含む脆弱性76件を修正
米当局、「Exchange Server」ゼロデイ脆弱性に注意喚起
米当局、「Cisco SD-WAN」の脆弱性悪用で緊急対応を要請
「PHP」に複数の「クリティカル」脆弱性 - アップデートで解消
エレコム製ルーターなどに複数脆弱性 - 21モデルに影響
スマホ向け「Microsoft Authenticator」、トークン漏洩のおそれ
