CISA、WindowsおよびCiscoのアクティブな脆弱性を警告

米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）は、月曜日にCiscoおよびWindows製品に影響を与える2つのセキュリティ脆弱性を既知の悪用脆弱性（KEV）カタログに追加し、悪意のある行為者によるアクティブな悪用について組織に警告しました。

以下に示す2つの脆弱性は、悪用キャンペーンの証拠に基づいてKEVに追加されており、悪意のあるサイバー行為者にとって頻繁な攻撃ベクトルであり、組織に重大なリスクをもたらします。これらは：

CVE-2023-20118 (CVSSスコア: 6.5) – Cisco Small Business RVシリーズルーターのコマンドインジェクション脆弱性：

この欠陥は、Cisco Small Business Routers RV016、RV042、RV042G、RV082、RV320、およびRV325ルーターのウェブベースの管理インターフェースに存在します。

この脆弱性により、認証されたリモート攻撃者が影響を受けたデバイス上で任意のコマンドを実行できるようになります。これは、受信したHTTPパケット内のユーザー入力の不適切な検証によるものです。

攻撃者は、特別に作成されたHTTPリクエストをウェブベースの管理インターフェースに送信することで、この脆弱性を悪用できます。

成功した場合、攻撃者はルートレベルの権限を取得し、不正なデータにアクセスできる可能性があります。ただし、悪用には影響を受けたデバイス上の有効な管理者資格情報が必要です。

CVE-2018-8639 (CVSSスコア: 7.8) – Microsoft Windows Win32k不適切なリソースシャットダウンまたはリリース脆弱性：

この欠陥は特権昇格の脆弱性であり、Win32kコンポーネントがメモリ内のオブジェクトを適切に処理できない場合にWindowsに存在します。いわゆる「Win32k特権昇格脆弱性」です。

この脆弱性を悪用することで、ローカルの攻撃者は特権を昇格させ、カーネルモードで任意のコードを実行できる可能性があり、影響を受けたWindowsシステムを制御することができます。

2018年12月にMicrosoftが発行したセキュリティアドバイザリーによると、CVE-2018-8639脆弱性はWindows 7、Windows Server 2012 R2、Windows RT 8.1、Windows Server 2008、Windows Server 2019、Windows Server 2012、Windows 8.1、Windows Server 2016、Windows Server 2008 R2、Windows 10、およびWindows 10サーバーに影響を与えます。

これらの脆弱性のアクティブな悪用に対応して、CISAは2021年11月の拘束的運用指令（BOD）22-01に従い、すべての連邦市民執行機関（FCEB）に対し、特定された脆弱性を軽減し、潜在的な脅威からネットワークを保護するために、2025年3月24日までにパッチを適用するよう義務付けています。

CVE-2023-20118脆弱性に関しては、影響を受けたモデルがエンドオブライフ（EoL）に達しているため、Ciscoは修正パッチをリリースしていません。

一方、Microsoftは2018年12月にMicrosoft Windowsセキュリティ更新プログラムでCVE-2018-8639脆弱性を修正しました。

これらの製品を使用している組織は、リモート管理の無効化、最新のファームウェアへのアップグレード、異常なネットワーク活動の監視、複雑なパスワードのような強力な資格情報の使用、信頼できるソースへのアクセス制限、および多層防御戦略の実施など、即時の防御措置を講じることが推奨されます。