脆弱性最新情報、Google PixelやLinuxカーネルに脆弱性 - 確認を
eSecurity Planetは8月20日(現地時間)、「Vulnerability Recap 8/19/24: Microsoft, Ivanti, SolarWinds」において、8月12日から18日までの1週間に発表された主要な脆弱性の概要を伝えた。
○脆弱性の概要
取り上げられている主要な脆弱性の概要は次のとおり。
○Ivanti Virtual Traffic Managerの脆弱性
8月12日(米国時間)、Ivantiは「Ivanti Virtual Traffic Manager」に認証バイパスの脆弱性が存在すると発表した(参考:「Security Advisory: Ivanti Virtual Traffic Manager (vTM ) (CVE-2024-7593)」)。脆弱性は「CVE-2024-7593」として追跡されており、悪用されるとリモートの認証されていない攻撃者に管理パネルの認証をバイパスされる可能性がある。
脆弱性の影響を受ける製品およびバージョンは次のとおり。
Ivanti Virtual Traffic Manager 22.2
Ivanti Virtual Traffic Manager 22.3
Ivanti Virtual Traffic Manager 22.3R2
Ivanti Virtual Traffic Manager 22.5R1
Ivanti Virtual Traffic Manager 22.6R1
Ivanti Virtual Traffic Manager 22.7R1
脆弱性が修正された製品およびバージョンは次のとおり。
Ivanti Virtual Traffic Manager 22.2R1
Ivanti Virtual Traffic Manager 22.3R3
Ivanti Virtual Traffic Manager 22.5R2
Ivanti Virtual Traffic Manager 22.6R2
Ivanti Virtual Traffic Manager 22.7R2
脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該製品を運用している管理者には、影響を確認してアップデートすることが推奨されている。
○Microsoftが月例パッチで90件の脆弱性を修正
8月13日(米国時間)、Microsoftは複数のゼロデイの脆弱性を含む90件の脆弱性を修正した8月のセキュリティ更新プログラムを公開した(参考:「2024 年 8 月のセキュリティ更新プログラム - リリースノート - セキュリティ更新プログラムガイド - Microsoft」)。
Trend Micro Zero Day Initiativeの研究者によると、修正された脆弱性のうち6つが実際に悪用されているという。これは1回の更新プログラムでは異例の多さとされる。
○SolarWinds Web Help Deskに脆弱性
2024年8月13日(米国時間)、セキュリティ関連企業の「Tenable」は「SolarWinds Web Help Desk」に緊急の脆弱性「CVE-2024-28986」が存在すると報じた(参考:「CVE-2024-28986 | Tenable」)。この脆弱性はJavaデシリアライゼーションの脆弱性とされ、悪用されるとリモートの攻撃者にコマンドを実行される可能性がある。
当初、この脆弱性は認証を受けてない攻撃者にも悪用可能として報告された。しかしながら、SolarWindsはその後の調査にて、認証していない攻撃者による悪用は再現できなかったと報告している(参考:「SolarWinds Trust Center Security Advisories | CVE-2024-28986」)。
○Google Pixelに脆弱性
2024年8月15日(米国時間)、モバイルセキュリティ企業の「iVerify」は2017年9月以降に出荷された世界中のGoogle Pixelデバイスに脆弱性が存在すると報じた。この脆弱性はデバイスにプリインストールされたアプリ「Showcase.apk」に存在し、悪用されるとリモートコード実行(RCE: Remote Code Execution)につながる可能性がある(参考:「世界中のGoogle Pixelに脆弱性、数百万台に影響か | TECH+(テックプラス)」)。
Showcase.apkはファームウェアに統合されているため、ユーザーによるアンインストールはできない。Googleは今後数週間以内にShowcase.apkを削除したPixelソフトウェアをリリースする予定としている。
○Microsoft Entra IDに脆弱性
8月15日(米国時間)、セキュリティ企業の「Cymulate」はMicrosoft Entra IDに脆弱性が存在すると報じた(参考:「Exploiting Pass-through Authentication Validation in Azure AD」)。脆弱性はオンプレミスではなくクラウド環境に存在し、攻撃者は同期されたADユーザーとしてログイン可能とされる。
この脆弱性は7月にMicrosoftに報告されているが修正時期は未定。そのため、Cymulateは多要素認証(MFA: Multi-Factor Authentication)の有効化を推奨している。
○Linuxカーネルに脆弱性
8月17日(米国時間)、LinuxカーネルのDirect Memory Access(DMA)に脆弱性が存在すると報告された。この脆弱性は「CVE-2024-43856」として追跡されており、dmam_free_coherent関数のDMAアロケーション解放処理の不具合とされる。
GitHubに投稿されたアドバイザリーによると、この脆弱性はDMAアロケーションの解放前にdevresエントリーを破棄することで解決された(参考:「In the Linux kernel, the following vulnerability has been... · CVE-2024-43856 · GitHub Advisory Database · GitHub」)。
○脆弱性の概要
○Ivanti Virtual Traffic Managerの脆弱性
8月12日(米国時間)、Ivantiは「Ivanti Virtual Traffic Manager」に認証バイパスの脆弱性が存在すると発表した(参考:「Security Advisory: Ivanti Virtual Traffic Manager (vTM ) (CVE-2024-7593)」)。脆弱性は「CVE-2024-7593」として追跡されており、悪用されるとリモートの認証されていない攻撃者に管理パネルの認証をバイパスされる可能性がある。
脆弱性の影響を受ける製品およびバージョンは次のとおり。
Ivanti Virtual Traffic Manager 22.2
Ivanti Virtual Traffic Manager 22.3
Ivanti Virtual Traffic Manager 22.3R2
Ivanti Virtual Traffic Manager 22.5R1
Ivanti Virtual Traffic Manager 22.6R1
Ivanti Virtual Traffic Manager 22.7R1
脆弱性が修正された製品およびバージョンは次のとおり。
Ivanti Virtual Traffic Manager 22.2R1
Ivanti Virtual Traffic Manager 22.3R3
Ivanti Virtual Traffic Manager 22.5R2
Ivanti Virtual Traffic Manager 22.6R2
Ivanti Virtual Traffic Manager 22.7R2
脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該製品を運用している管理者には、影響を確認してアップデートすることが推奨されている。
○Microsoftが月例パッチで90件の脆弱性を修正
8月13日(米国時間)、Microsoftは複数のゼロデイの脆弱性を含む90件の脆弱性を修正した8月のセキュリティ更新プログラムを公開した(参考:「2024 年 8 月のセキュリティ更新プログラム - リリースノート - セキュリティ更新プログラムガイド - Microsoft」)。
Trend Micro Zero Day Initiativeの研究者によると、修正された脆弱性のうち6つが実際に悪用されているという。これは1回の更新プログラムでは異例の多さとされる。
○SolarWinds Web Help Deskに脆弱性
2024年8月13日(米国時間)、セキュリティ関連企業の「Tenable」は「SolarWinds Web Help Desk」に緊急の脆弱性「CVE-2024-28986」が存在すると報じた(参考:「CVE-2024-28986 | Tenable」)。この脆弱性はJavaデシリアライゼーションの脆弱性とされ、悪用されるとリモートの攻撃者にコマンドを実行される可能性がある。
当初、この脆弱性は認証を受けてない攻撃者にも悪用可能として報告された。しかしながら、SolarWindsはその後の調査にて、認証していない攻撃者による悪用は再現できなかったと報告している(参考:「SolarWinds Trust Center Security Advisories | CVE-2024-28986」)。
○Google Pixelに脆弱性
2024年8月15日(米国時間)、モバイルセキュリティ企業の「iVerify」は2017年9月以降に出荷された世界中のGoogle Pixelデバイスに脆弱性が存在すると報じた。この脆弱性はデバイスにプリインストールされたアプリ「Showcase.apk」に存在し、悪用されるとリモートコード実行(RCE: Remote Code Execution)につながる可能性がある(参考:「世界中のGoogle Pixelに脆弱性、数百万台に影響か | TECH+(テックプラス)」)。
Showcase.apkはファームウェアに統合されているため、ユーザーによるアンインストールはできない。Googleは今後数週間以内にShowcase.apkを削除したPixelソフトウェアをリリースする予定としている。
○Microsoft Entra IDに脆弱性
8月15日(米国時間)、セキュリティ企業の「Cymulate」はMicrosoft Entra IDに脆弱性が存在すると報じた(参考:「Exploiting Pass-through Authentication Validation in Azure AD」)。脆弱性はオンプレミスではなくクラウド環境に存在し、攻撃者は同期されたADユーザーとしてログイン可能とされる。
この脆弱性は7月にMicrosoftに報告されているが修正時期は未定。そのため、Cymulateは多要素認証(MFA: Multi-Factor Authentication)の有効化を推奨している。
○Linuxカーネルに脆弱性
8月17日(米国時間)、LinuxカーネルのDirect Memory Access(DMA)に脆弱性が存在すると報告された。この脆弱性は「CVE-2024-43856」として追跡されており、dmam_free_coherent関数のDMAアロケーション解放処理の不具合とされる。
GitHubに投稿されたアドバイザリーによると、この脆弱性はDMAアロケーションの解放前にdevresエントリーを破棄することで解決された(参考:「In the Linux kernel, the following vulnerability has been... · CVE-2024-43856 · GitHub Advisory Database · GitHub」)。
