米当局、「ArrayOS AG」脆弱性など2件を悪用リストに追加
米当局は、2件の脆弱性が悪用されているとして米国の行政機関へ対策を促すとともに注意喚起を行った。CVE番号が割り当てられていなかった「ArrayOS AG」の脆弱性も含まれる。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間2025年12月8日、2件の脆弱性「CVE-2025-66644」「CVE-2022-37055」を「悪用が確認された脆弱性カタログ(KEV)」へ追加した。米国内の行政機関へ対策を促すとともに、利用者へ注意するよう広く呼びかけている。
「CVE-2025-66644」は、Array Networksのリモートアクセス製品「Array AGシリーズ」に搭載されている「ArrayOS AG」に判明したOSコマンドインジェクションの脆弱性。
「ArrayOS AG 9.4.5.9」で修正されるもCVE番号は採番されておらず、日本国内で2025年8月以降に悪用されているとしてJPCERTコーディネーションセンターが報告。「IoC(Indicators of Compromise)」を公開するとともに注意喚起を行っていた。
MITREがCVE番号を採番しており、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「7.2」と評価、重要度を「高(High)」とレーティングしている。ネットワーク経由で攻撃が可能だが、悪用には高い権限が必要だという。
一方、「CVE-2022-37055」はD-Link製ルータ「Go-RTシリーズ」に判明したバッファオーバーフローの脆弱性。2024年5月にFortinetから注意喚起も行われていた。サポートが終了していると見られ、利用を注意するよう呼びかけられている。
(Security NEXT - 2025/12/09 )
ツイート
PR
関連記事
全文検索エンジン「Apache Solr」に複数の脆弱性
GitLab、重要度「High」3件含むセキュリティ更新をリリース
「Java SE」にアップデート - 脆弱性11件に対処
GNU Inetutilsの「telnetd」に認証回避の脆弱性 - rootログインのおそれ
「Apache Airflow」に情報漏洩の脆弱性 - アップデートで修正
「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響
米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起
「Cisco Unified Communications」に深刻なRCE脆弱性 - 攻撃試行も確認
Oracle、四半期パッチで脆弱性337件を修正 - CVSS 9以上が27件
Ciscoがゼロデイ脆弱性を修正、永続化機能の除去も - 侵害調査は別途必要
