米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Fortinet、Ivanti、Nice製品の脆弱性が積極的に悪用されているとして、これらのセキュリティ上の欠陥を既知の悪用された脆弱性(KEV)カタログに追加した。追加された脆弱性は以下の通りである。
– CVE-2023-48788(CVSSスコア:9.3): Fortinet FortiClient EMSのSQLインジェクション脆弱性
– CVE-2021-44529(CVSSスコア:9.8): Ivanti Endpoint Manager Cloud Service Appliance(EPM CSA)のコードインジェクション脆弱性
– CVE-2019-7256(CVSSスコア:10.0): Nice Linear eMerge E3-SeriesのOSコマンドインジェクション脆弱性
Fortinet FortiClient EMSの脆弱性は、特定のリクエストを介して認証されていない攻撃者が不正なコードやコマンドを実行できるとして、Fortinetによって報告された。Ivanti Endpoint Manager Cloud Service Appliance(EPM CSA)の脆弱性は、認証されていないユーザーが限定的な権限で悪意のあるコードを実行できるものである。Nice Linear eMerge E3-Seriesの脆弱性は、2020年2月以降に脅威アクターによって悪用されている。
これらの脆弱性の積極的な悪用を受け、連邦機関は2024年4月15日までにベンダーから提供された緩和策を適用することが求められている。CISAと連邦捜査局(FBI)は、ソフトウェアメーカーに対し、SQLインジェクションの脆弱性を緩和するための措置を講じるよう促す共同警告を発表した。
【ニュース解説】
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が、Fortinet、Ivanti、Nice製品に存在する脆弱性が積極的に悪用されていると警告し、これらのセキュリティ上の欠陥を既知の悪用された脆弱性(KEV)カタログに追加しました。この措置は、これらの脆弱性を通じて潜在的なサイバー攻撃のリスクが高まっていることを示しています。
Fortinet、Ivanti、Nice製品の脆弱性は、それぞれ異なる種類の攻撃を可能にします。Fortinet FortiClient EMSのSQLインジェクション脆弱性は、攻撃者がデータベースに不正なコマンドを注入することで、システム上で任意のコードを実行できる可能性があります。Ivanti Endpoint Manager Cloud Service Applianceのコードインジェクション脆弱性は、認証されていないユーザーが悪意のあるコードを実行できることを意味します。Nice製品のOSコマンドインジェクション脆弱性は、攻撃者が遠隔からシステムにコマンドを実行することを可能にします。
これらの脆弱性の存在は、組織にとって重大なセキュリティリスクをもたらします。攻撃者がこれらの脆弱性を悪用することで、機密情報の漏洩、データの改ざん、さらにはシステムの完全な制御を奪うことが可能になります。特に、公共のインターネットに露出しているシステムやサービスは、積極的に標的とされやすくなります。
CISAとFBIがSQLインジェクションの脆弱性に対する警告を発していることは、この種の攻撃が依然として広く行われていることを示しています。ソフトウェア開発者は、セキュリティを設計段階から考慮し、定期的なセキュリティテストを実施することで、これらの脆弱性を未然に防ぐことが重要です。
組織は、CISAが提供する緩和策を迅速に適用し、定期的なセキュリティ監査と脆弱性スキャンを実施することで、これらのリスクに対処することが求められます。また、従業員へのセキュリティ意識の向上と教育も、組織のセキュリティ体制を強化する上で不可欠です。
長期的には、ソフトウェア開発のプロセスにおいてセキュリティを最優先事項とする文化の醸成が必要です。また、サイバーセキュリティの動向に常に注意を払い、新たな脅威に迅速に対応できる体制を整えることが、組織を保護する上で重要となります。
from CISA Alerts on Active Exploitation of Flaws in Fortinet, Ivanti, and Nice Products.
