CISA、連邦政府機関向けカタログに4つの脆弱性を追加

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、既知の悪用脆弱性リストに4件の脆弱性を追加し、連邦政府機関に対し、直ちに対策を講じるよう警告しました。この措置は主に連邦文民行政機関に適用されますが、この警告は、すべての組織がセキュリティ体制を評価し、新たなサイバー脅威から身を守るための警鐘となります。

4つの脆弱性とは何ですか?

4 つの脆弱性は次のとおりです。

• CVE-2024-45195： Apache OFBiz ERPシステムにおける直接リクエスト（または「強制ブラウジング」）の脆弱性。この脆弱性は2024年9月に修正されましたが、脅威アクターはURL、スクリプト、またはファイルを使用してサーバー上で任意のコードを実行する可能性があります。
• CVE-2024-29059： Microsoft .NET Framework バージョン 3.5 および 4.8 における .NET Framework 情報漏えいの脆弱性。具体的には、パスワードやインストール済みアプリケーションのフルパス名などの機密情報を含むエラーメッセージが生成される可能性があります。このエラーは、ソースコードによって自動的に生成される場合もあれば、言語インタープリタなどの外部要素によって生成される場合もあり、複数の方法で表示される可能性があります。この問題は 2024 年 3 月に修正されました。
• CVE-2018-9276: PRTG Network Monitor における脆弱性で、PRTG システム管理者への管理者権限を持つ脅威アクターが OS コマンドインジェクションの脆弱性を悪用できる可能性があります。この問題は 2018 年に修正されました。
• CVE-2018-19410は、PRTG Network Monitorにおける別の脆弱性です。この脆弱性を悪用することで、HTTPリクエストを利用してローカルファイルインクルージョン攻撃を実行し、読み取り・書き込み権限（管理者権限を含む）を持つユーザーを作成することが可能となります。この問題は2018年に修正されました。

参照: 英国は、開発者、システム オペレーター、組織が AI を安全に管理できるようにするための世界初のサイバー行動規範を発表しました。

CISAは警告の中で、「こうしたタイプの脆弱性は悪意のあるサイバー攻撃者による頻繁な攻撃経路であり、連邦政府機関に重大なリスクをもたらす」と述べた。

既知の悪用された脆弱性を監視することで、組織全体のセキュリティ体制を強化できます。今回のケースでは、ソフトウェア企業が脆弱性を修正しており（場合によっては何年も前に修正済み）、ユーザーは何もする必要はありません。さらに、これらの脆弱性は、重要な分野におけるセキュリティに関するコンプライアンスと報告の重要性を浮き彫りにしています。

こちらもご覧ください

• 値下げ：この完全な倫理ハッキングバンドルは今なら35ドル
• マイクロソフトはWindows Defenderに付属する無料VPNを近日中に削除する予定
• Windows 11 パソコンに指紋認証を追加する方法
• サイバーセキュリティ：さらに読むべき記事