「既知の悪用された脆弱性カタログ」に2件が追加 Zimbra製品などが対象に
Zimbra Collaborationなどの2個の脆弱性がサイバー攻撃に利用されているとして「既知の悪用された脆弱性カタログ」に追加された。脆弱性の詳細を確認し、必要に応じてアップデートや緩和策の適用が求められる。
» 2022年10月25日 08時00分 公開
[後藤大地,有限会社オングス]
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は22022年10月20日(現地時間)、「既知の悪用された脆弱(ぜいじゃく)性カタログ」に新たに2件の脆弱性(CVE-2022-41352、CVE-2021-3493)を追加したと発表した。これらの脆弱性は、既にサイバー攻撃者による悪用が進んでいるため注意が必要だ。
2件の脆弱性の詳細は?
CISAによれば、以下の製品や技術で今回の脆弱性が積極的な悪用が確認されたとしている。
- Linux Kernel
- Zimbra Collaboration(ZCS)
脆弱性の詳細は、CVE識別番号にリンクされたNISTのWebサイトを確認してほしい。
- CVE-2022-41352:Zimbra Collaboration(ZCS)でサイバー攻撃者が細工したcpioパッケージをアップロードすることで、他のユーザーに対する不正なアクセスを取得できる脆弱性
- CVE-2021-3493:Linuxカーネルのoverlayfsスタッキングファイルシステムがユーザー名前空間に対するファイルケイパビリティを適切に検証していないことが原因で特権昇格が可能になる問題
カタログに追加された脆弱性は、既にセキュリティアドバイザリが発行されており、アップデートや回避策の適用でリスクを低減できる。該当製品を使用している場合は、再度脆弱性に関する情報を確認するとともに、直ちに対処してほしい。
関連記事
レッドチーム向け調査分析ツール「RedEye」をCISAがOSSで公開
CISAはレッドチームを支援するツール「RedEye」を公開した。オペレーターはRedEyeを使うことで複雑なデータを迅速に評価し、効果的な意思決定が可能になるとされている。
MandiantがGoogleの買収に合意した理由
Mandiantは「mWISE Conference」を開催した。サイバーセキュリティに関する組織やユーザーが広く参加するカンファレンスだ。同カンファレンスの基調講演ではMandiantのCEOであるケビン・マンディア氏がGoogleの買収に合意した理由を明らかにした。
誰でも手軽にフィッシング詐欺が可能? PhaaS「Caffeine」に注意
Mandiantは新たなフィッシング・アズ・ア・サービスのプラットフォーム「Caffeine」を発見した。サイバー犯罪者が簡単かつ効果的にフィッシング詐欺を実行できるツールとして注目が集まっている。
「既知の悪用された脆弱性カタログ」に1件が追加 Windows LSAの脆弱性でアクティブなサイバー攻撃を確認
CISAは、2022年6月のMicrosoft累積更新プログラムで修正された脆弱性がアクティブにサイバー攻撃に利用されているとし、「既知の悪用された脆弱性カタログ」に追加した。同脆弱性についてはアップデート適用時に注意点があるため併せて確認が必要だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「アダルトビデオが無料です」――IE標的のトロイの木馬に要注意
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
ITmediaはアイティメディア株式会社の登録商標です。