Known Exploited Vulnerabilities Catalog 10/28, 11/08

CVE-2022-3723              Google  Chromium V8 Engine

Google Chromium V8 Type Confusion Vulnerability

2022-10-28

Google Chromium V8 contains a type confusion vulnerability. Specific impacts from exploitation are not available at this time.

Google Chromium V8 には、型崩れの脆弱性が存在します。この脆弱性を利用した具体的な影響について、現時点ではご提供できません。

Apply updates per vendor instructions by 2022-11-18.

https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_27.html

 

----------------------------------------------------

CVE-2022-41091            Microsoft           Windows

Microsoft Windows Mark of the Web (MOTW) Security Feature Bypass Vulnerability

2022-11-08

Microsoft Windows Mark of the Web (MOTW) contains a security feature bypass vulnerability resulting in a limited loss of integrity and availability of security features.

Microsoft Windows Mark of the Web (MOTW) には、セキュリティ機能をバイパスする脆弱性があり、セキュリティ機能の完全性と可用性が限定的に損なわれます。             

Apply updates per vendor instructions by 2022-11-29

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41091

 

CVE-2022-41073            Microsoft           Windows

Microsoft Windows Print Spooler Privilege Escalation Vulnerability

2022-11-08

Microsoft Windows Print Spooler contains an unspecified vulnerability which allows an attacker to gain SYSTEM-level privileges.

Microsoft Windows Print Spooler には、攻撃者が SYSTEM レベルの特権を獲得することができる、未詳の脆弱性が存在します。

Apply updates per vendor instructions by 2022-11-29

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41073

Taro's Note: 

It's again! Print Spooler! I think it's another choice to stop Print Spooler (for your private PC and some servers).

またもプリントスプーラ! プリントスプーラを止めるというのも一つの選択だと思います（個人PCと一部のサーバー向け）。

 

CVE-2022-41125            Microsoft           Windows

Microsoft Windows CNG Key Isolation Service Privilege Escalation Vulnerability

2022-11-08

Microsoft Windows Cryptographic Next Generation (CNG) Key Isolation Service contains an unspecified vulnerability which allows an attacker to gain SYSTEM-level privileges.

Microsoft Windows Cryptographic Next Generation (CNG) Key Isolation Service には、攻撃者が SYSTEM レベルの特権を獲得することができる、未確認の脆弱性があります。

Apply updates per vendor instructions by 2022-11-29

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41125

 

CVE-2022-41128            Microsoft           Windows

Microsoft Windows Scripting Languages Remote Code Execution Vulnerability

2022-11-08

Microsoft Windows contains an unspecified vulnerability in the JScript9 scripting language which allows for remote code execution.

Microsoft Windows には、スクリプト言語 JScript9 に、リモートでコードを実行される可能性のある未詳な脆弱性が存在します。

Apply updates per vendor instructions by 2022-11-29

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41128

 

----------------------------------------------------

CVE-2021-25337            Samsung           Mobile Devices

Samsung Mobile Devices Improper Access Control Vulnerability

2022-11-08

Samsung mobile devices contain an improper access control vulnerability in clipboard service which allows untrusted applications to read or write arbitrary files. This vulnerability was chained with CVE-2021-25369 and CVE-2021-25370.

Samsung モバイルデバイスには、クリップボードサービスにおける不適切なアクセス制御の脆弱性が存在し、信頼できないアプリケーションが任意のファイルを読み書きすることが可能です。この脆弱性は、CVE-2021-25369 および CVE-2021-25370 と連鎖しています。

Apply updates per vendor instructions by 2022-11-29

https://security.samsungmobile.com/securityUpdate.smsb

 

CVE-2021-25369            Samsung           Mobile Devices             

Samsung Mobile Devices Improper Access Control Vulnerability

2022-11-08

Samsung mobile devices using Mali GPU contains an improper access control vulnerability in sec_log file. Exploitation of the vulnerability exposes sensitive kernel information to the userspace. This vulnerability was chained with CVE-2021-25337 and CVE-2021-25370.

Samsung 社のモバイル機器に搭載されている Mali GPU には、sec_log ファイルに不適切なアクセス制御の脆弱性が存在します。この脆弱性を利用されると、カーネルの機密情報がユーザー空間に公開されます。本脆弱性は、CVE-2021-25337 および CVE-2021-25370 と連鎖しています。

Apply updates per vendor instructions by 2022-11-29

https://security.samsungmobile.com/securityUpdate.smsb

 

CVE-2021-25370            Samsung           Mobile Devices

Samsung Mobile Devices Memory Corruption Vulnerability

2022-11-08

Samsung mobile devices using Mali GPU contain an incorrect implementation handling file descriptor in dpu driver. This incorrect implementation results in memory corruption, leading to kernel panic. This vulnerability was chained with CVE-2021-25337 and CVE-2021-25369.

Samsung 社のモバイルデバイスで Mali GPU を使用している場合、dpu ドライバのファイル記述子の処理に不正な実装が含まれています。この不適切な実装により、メモリが破壊され、カーネルパニックに陥ります。この脆弱性は、CVE-2021-25337 および CVE-2021-25369 と連鎖しています。

Apply updates per vendor instructions by 2022-11-29

https://security.samsungmobile.com/securityUpdate.smsb

 

Known Exploited Vulnerabilities Catalog 10/20, 24, 25

CVE-2022-41352           Zimbra Collaboration (ZCS)

Zimbra Collaboration (ZCS) Arbitrary File Upload Vulnerability

2022-10-20

Zimbra Collaboration (ZCS) allows an attacker to upload arbitrary files using cpio package to gain incorrect access to any other user accounts.

Zimbra Collaboration (ZCS) は、攻撃者が cpio パッケージを使用して任意のファイルをアップロードし、他のユーザーアカウントに不正にアクセスすることを可能にします。

Apply updates per vendor instructions by 2022-11-10.

2022-11-10までに、ベンダーの指示に従いアップデートを適用してください。

https://wiki.zimbra.com/wiki/Security_Center

 

CVE-2021-3493              Linux    Kernel

Linux Kernel Privilege Escalation Vulnerability

2022-10-20

The overlayfs stacking file system in Linux kernel does not properly validate the application of file capabilities against user namespaces, which could lead to privilege escalation.

Linux カーネルの overlayfs スタッキングファイルシステムは、ユーザーネームスペースに対するファイル機能の適用を適切に検証していないため、特権の昇格につながる可能性があります。

Apply updates per vendor instructions by 2022-11-10.

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7c03e2cda4a584cadc398e8f6641ca9988a39d52

 

CVE-2020-3433              Cisco    AnyConnect Secure

Cisco AnyConnect Secure Mobility Client for Windows DLL Hijacking Vulnerability

2022-10-24

Cisco AnyConnect Secure Mobility Client for Windows interprocess communication (IPC) channel allows for insufficient validation of resources that are loaded by the application at run time. An attacker with valid credentials on Windows could execute code on the affected machine with SYSTEM privileges.

Cisco AnyConnect Secure Mobility Client for Windowsのプロセス間通信（IPC）チャネルでは、アプリケーションによって実行時にロードされるリソースの検証が不十分です。Windows の有効な認証情報を持つ攻撃者が、影響を受けるマシンで SYSTEM 権限でコードを実行する可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-F26WwJW

 

CVE-2020-3153              Cisco    AnyConnect Secure

Cisco AnyConnect Secure Mobility Client for Windows Uncontrolled Search Path Vulnerability

2022-10-24

Cisco AnyConnect Secure Mobility Client for Windows allows for incorrect handling of directory paths. An attacker with valid credentials on Windows would be able to copy malicious files to arbitrary locations with system level privileges. This could include DLL pre-loading, DLL hijacking, and other related attacks.

Cisco AnyConnect Secure Mobility Client for Windowsでは、ディレクトリパスの不正な処理が可能です。Windows上で有効な認証情報を持つ攻撃者は、システムレベルの権限で悪意のあるファイルを任意の場所にコピーできるようになります。これには、DLLプリロード、DLLハイジャック、およびその他の関連する攻撃が含まれる可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ac-win-path-traverse-qO4HWBsj

 

----------------------------------------------

 

CVE-2018-19323           GIGABYTE         Multiple Products

GIGABYTE Multiple Products Privilege Escalation Vulnerability

2022-10-24

The GPCIDrv and GDrv low-level drivers in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU expose functionality to read and write arbitrary physical memory. This could be leveraged by a local attacker to elevate privileges.           

GIGABYTE App Center、AORUS Graphics Engine、XTREME Gaming Engine、および OC GURU の GPCIDrv および GDrv 低レベルドライバーは、任意の物理メモリを読み書きする機能を公開します。この問題を利用すると、ローカルの攻撃者が特権を昇格させることができる可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://www.gigabyte.com/Support/Security/1801

 

CVE-2018-19322           GIGABYTE         Multiple Products

GIGABYTE Multiple Products Code Execution Vulnerability

2022-10-24

The GPCIDrv and GDrv low-level drivers in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II expose functionality to read/write data from/to IO ports. This could be leveraged in a number of ways to ultimately run code with elevated privileges.

GIGABYTE App Center、AORUS Graphics Engine、XTREME Gaming Engine、および OC GURU II の GPCIDrv および GDrv ローレベルドライバーは、IO ポートから/へのデータの読み取り/書き込み機能を公開します。これは、最終的に昇格した特権でコードを実行するために、様々な方法で活用される可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://www.gigabyte.com/Support/Security/1801

 

CVE-2018-19321           GIGABYTE         Multiple Products

GIGABYTE Multiple Products Privilege Escalation Vulnerability

2022-10-24

The GPCIDrv and GDrv low-level drivers in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II expose functionality to read and write arbitrary physical memory. This could be leveraged by a local attacker to elevate privileges.

GIGABYTE App Center、AORUS Graphics Engine、XTREME Gaming Engine、OC GURU II の GPCIDrv および GDrv 低レベルドライバーは、任意の物理メモリを読み書きする機能を公開します。この機能を利用すると、ローカル攻撃者が特権を昇格させる可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://www.gigabyte.com/Support/Security/1801

 

CVE-2018-19320           GIGABYTE         Multiple Products

GIGABYTE Multiple Products Unspecified Vulnerability

2022-10-24

The GDrv low-level driver in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II exposes ring0 memcpy-like functionality that could allow a local attacker to take complete control of the affected system.

GIGABYTE App Center、AORUS Graphics Engine、XTREME Gaming Engine、および OC GURU II の GDrv 低レベルドライバは、ring0 memcpy に似た機能を公開し、ローカル攻撃者が冒されたシステムを完全に制御できるようになる可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://www.gigabyte.com/Support/Security/1801

 

----------------------------------------------

 

CVE-2022-42827           Apple    iOS and iPadOS

Apple iOS and iPadOS Out-of-Bounds Write Vulnerability

2022-10-25

Apple iOS and iPadOS kernel contain an out-of-bounds write vulnerability which can allow an application to perform code execution with kernel privileges.

Apple iOS および iPadOS のカーネルには、境界外書き込みの脆弱性があり、アプリケーションがカーネル特権でコード実行を行う可能性があります。

Apply updates per vendor instructions by 2022-11-15.

https://support.apple.com/en-us/HT213489

 

About the security content of iOS 16.1 and iPadOS 16

It says ...

"Kernel

Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, iPad mini 5th generation and later

Impact: An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.

Description: An out-of-bounds write issue was addressed with improved bounds checking.

..."

「カーネル

対象製品：iPhone 8以降、iPad Pro（全モデル）、iPad Air第3世代以降、iPad第5世代以降、iPad mini第5世代以降

影響：アプリケーションによって、カーネル権限で任意のコードを実行される可能性があります。Apple は、この問題が活発に悪用されている可能性があるという報告を認識しています。

説明：境界外への書き込みの問題は、境界チェックを改善することで対処しました。

...　」

CVE-2022-40684 (Fortinet Multiple Products) was added in K.E.V. Catalog

This vulnerability was added in Known Exploited Vulnerabilities Catalog on 10/11.

CVE-2022-40684    Fortinet    Multiple Products          

Fortinet Multiple Products Authentication Bypass Vulnerability

Fortinet 複数製品認証回避の脆弱性

Added in K.E.V. Catalog on 2022-10-11

2022-10-11 に K.E.V. カタログに追加されました。

Fortinet FortiOS, FortiProxy, and FortiSwitchManager contain an authentication bypass vulnerability that could allow an unauthenticated attacker to perform operations on the administrative interface via specially crafted HTTP or HTTPS requests.

Fortinet FortiOS、FortiProxy、および FortiSwitchManager には、認証バイパスの脆弱性があり、特別に細工した HTTP または HTTPS 要求を介して、認証されていない攻撃者が管理インターフェイス上で操作を実行できる可能性があります。

Apply updates per vendor instructions by 2022-11-01
https://www.fortiguard.com/psirt/FG-IR-22-377
 

Taro's Note:

I don't think the administrative interface is normally open to the Internet. However, human makes mistakes strange sometimes. Applying update seems easier and it more surely works than trying to find reason not update.

管理用インターフェイスは通常インターネットに公開されていない（従って本件によってインターネット上の攻撃者から直ちに侵入を受けるとまでは言えない）と思います。しかし、人間は時々おかしな間違いをするものです。アップデートをしない理由を探すより、アップデートを適用する方が簡単で、確実に動作するように思います。

When you can't update, the workaround described above vendor webpage also seems easy. Please try that.

アップデートできないときは、上記のベンダーウェブページに記載されている回避策も簡単なようです。ぜひお試しください。

I'll quote the vendor's webpage shortly below.

以下、ベンダーのウェブページを短く引用します。

 
Exploitation Status:
Fortinet is aware of an instance where this vulnerability was exploited, and recommends immediately validating your systems against the following indicator of compromise in the device's logs:
user="Local_Process_Access"
Please contact customer support for assistance.

 

悪用された状況

フォーティネットは、この脆弱性が悪用された事例を認識しており、デバイスのログにある以下の侵害の指標に対して、直ちにシステムを検証することを推奨しています。

user="Local_Process_Access"（ローカルプロセスアクセス）。

カスタマーサポートにお問い合わせください。

 
Workaround:
FortiOS:
Disable HTTP/HTTPS administrative interface
OR
Limit IP addresses that can reach the administrative interface:
(The vendor page also describes further about its operations for FortiOS, FortiProxy and FortiSwitchManager.)

 

回避策

FortiOS

HTTP/HTTPS 管理インターフェイスを無効にする

または

管理インターフェイスに到達可能なIPアドレスを制限します。

(また、ベンダーページでは、FortiOS、FortiProxy、FortiSwitchManagerの操作についてさらに詳しく説明されています。)

CVE-2022-36804 was added in Known Exploited Vulnerabilities Catalog on 09/30

CVE-2022-36804    Atlassian    Bitbucket Server and Data Center

Atlassian Bitbucket Server and Data Center Command Injection Vulnerability

Atlassian Bitbucket サーバおよびデータセンターにおけるコマンドインジェクションの脆弱性

Added in K.E.V. Catalog on 2022-09-30

2022-09-30 に K.E.V. カタログに追加されました。

Multiple API endpoints of Atlassian Bitbucket Server and Data Center contain a command injection vulnerability where an attacker with access to a public Bitbucket repository, or with read permissions to a private one, can execute code by sending a malicious HTTP request.

Atlassian Bitbucket Server および Data Center の複数の API エンドポイントには、コマンドインジェクションの脆弱性があり、公開 Bitbucket リポジトリへのアクセス権限、または非公開リポジトリへの読み取り権限を持つ攻撃者が、悪意のある HTTP リクエストを送信することでコードを実行することが可能です。

Apply updates per vendor instructions by 2022-10-21.

2022-10-21までにベンダーの指示に従い、アップデートを適用してください。

https://jira.atlassian.com/browse/BSERV-13438

FYI:

Bitbucket Server

    Git based code hosting and collaboration for teams

    A single server deployment

    Perpetual license + free year of maintenance

Bitbucket Data Center

    Git based code hosting and collaboration for teams

    Active-active clustering for high availability

    Smart mirroring for performance across geographies

    Annual term license + maintenance

日本語ページ https://www.atlassian.com/ja/software/bitbucket/enterprise

 

MS Exchange Server and Windows, added in Known Exploited Vulnerabilities Catalog on 09.30, 10.11

CVEs of MS Exchange Server and Windows were added in Known Exploited Vulnerabilities Catalog on 09.30, 10.11

CVE-2022-41082    Microsoft    Exchange Server            

Microsoft Exchange Server Remote Code Execution Vulnerability
Added in K.E.V. Catalog on 2022-09-30
Microsoft Exchange Server contains an unspecified vulnerability which allows for authenticated remote code execution.
Dubbed "ProxyNotShell," this vulnerability is chainable with CVE-2022-41040 which allows for the remote code execution.

Microsoft Exchange Server には、認証されたリモートでのコード実行を可能にする未指定の脆弱性が存在します。

"ProxyNotShell" と呼ばれるこの脆弱性は、リモートでコードを実行できる CVE-2022-41040 と連鎖する可能性があります。

Apply updates per vendor instructions by 2022-10-21.

2022-10-21 までに、ベンダーの指示に従い、アップデートを適用してください。

https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
 

CVE-2022-41040    Microsoft    Exchange Server            

Microsoft Exchange Server Server-Side Request Forgery Vulnerability
Added in K.E.V. Catalog on 2022-09-30
Microsoft Exchange Server allows for server-side request forgery.
Dubbed "ProxyNotShell," this vulnerability is chainable with CVE-2022-41082 which allows for remote code execution.

Microsoft Exchange Server は、サーバーサイドリクエストフォージェリーの可能性があります。 

"ProxyNotShell" と呼ばれるこの脆弱性は、リモートでコードを実行できるCVE-2022-41082と連鎖します。

Apply updates per vendor instructions by 2022-10-21.
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
 

CVE-2022-41033    Microsoft    Windows COM+ Event System Service

Microsoft Windows COM+ Event System Service Privilege Escalation Vulnerability
Added in K.E.V. Catalog on 2022-10-11
Microsoft Windows COM+ Event System Service contains an unspecified vulnerability that allows for privilege escalation.

Microsoft Windows COM+ Event System Service には、権限昇格の可能性がある未確認の脆弱性が存在します。

Apply updates per vendor instructions by 2022-11-01.
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41033
 

Zoho ManageEngine in Known Exploited Vulnerabilities (K.E.V.) Catalog on 2022-09-22

CVE-2022-35405    Zoho    ManageEngine

Zoho ManageEngine Multiple Products Remote Code Execution Vulnerability

Zoho ManageEngine 複数製品におけるリモートコード実行の脆弱性           

Added in Known Exploited Vulnerabilities (K.E.V.) Catalog on 2022-09-22   
Zoho ManageEngine PAM360, Password Manager Pro, and Access Manager Plus contain an unspecified vulnerability which allows for remote code execution.

Zoho ManageEngine PAM360, Password Manager Pro, Access Manager Plus には、リモートでコードを実行される可能性のある未修正の脆弱性が存在します。

Apply updates per vendor instructions by 2022-10-13.

2022-10-13までに、ベンダーの指示に従いアップデートを適用してください。

https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-35405.html

FYI, Wikipedia says ...

Zoho Corporation is an Indian multinational technology company that makes web-based business tools. It is best known for the online office suite offering Zoho Office Suite. The company was founded in 1996 by Sridhar Vembu and Tony Thomas and has a presence in seven locations with global headquarters in Chennai, Tamil Nadu, India, and corporate headquarters outside of Austin in Del Valle, Texas. Radha Vembu, Sridhar Vembu's sister, owns a majority stake in the company.
- Revenue ₹5,230 crore (US$650 million) (FY2021)
- Net income ₹1,918 crore (US$240 million) (FY2021)

Zoho Corporationは、Webベースのビジネスツールを製造するインドの多国籍テクノロジー企業です。オンラインオフィススイートを提供するZoho Office Suiteで最もよく知られています。同社は1996年にSridhar VembuとTony Thomasによって設立され、インドのタミルナドゥ州チェンナイにグローバル本社、テキサス州デルバレーのオースティン郊外に本社を置き、7カ所で事業展開しています。Sridhar Vembuの姉であるRadha Vembuが同社の株式の過半数を所有しています。
・売上高 ₹5,230百万ドル（650百万米ドル） （2021年3月期）
・純利益 ₹1,918 crore (US$240 million) (2021年3月期)

Zoho JAPAN Corp.           ゾーホージャパン
種類       株式会社
非公開会社
事業内容             自社開発ソフトウェア製品の販売、付帯するコンサルティングサービス、保守サービスの提供
資本金   9,000万円
従業員数             89名

Taro's note:

Probably due to its popularity, there have been added other 3 vulnerabilities in Known Exploited Vulnerabilities (K.E.V.) Catalog as shown below. Please also verify if you've corresponded.

その人気の高さからか、この他にも以下のような3つの脆弱性が既に悪用されている脆弱性リストに挙がっています。

CVE-2021-40539    Zoho    ManageEngine ADSelfServicePlus

Zoho Corp. ManageEngine ADSelfService Plus Version 6113 and Earlier Authentication Bypass
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine ADSelfService Plus versions 6113 and earlier contain an authentication bypass vulnerability which allows for Remote Code Execution.

Zoho ManageEngine ADSelfService Plus バージョン 6113 およびそれ以前のバージョンには、認証回避の脆弱性があり、リモートでコードが実行される可能性があります。

Apply updates per vendor instructions by 2021-11-17.
 

CVE-2020-10189    Zoho    ManageEngine Desktop Central

Zoho ManageEngine Desktop Central Remote Code Execution Vulnerability
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine Desktop Central before 10.0.474 allows remote code execution because of deserialization of untrusted data in getChartImage in the FileStorage class. This is related to the CewolfServlet and MDMLogUploaderServlet servlets.      

10.0.474 以前の Zoho ManageEngine Desktop Central では、FileStorage クラスの getChartImage で信頼されていないデータをデシリアライズするため、リモートでコードが実行される可能性がありました。これは、CewolfServlet および MDMLogUploaderServlet サーブレットに関連するものです。

Apply updates per vendor instructions by 2022-05-03.
 

CVE-2019-8394    Zoho    ManageEngine ServiceDesk Plus (SDP)

Zoho ManageEngine ServiceDesk Plus Arbitrary File Upload Vulnerability
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine ServiceDesk Plus (SDP) before 10.0 build 10012 allows remote attackers to upload arbitrary files via login page customization.

Zoho ManageEngine ServiceDesk Plus (SDP) 10.0 build 10012 より前のバージョンでは、リモートの攻撃者がログインページのカスタマイズを介して任意のファイルをアップロードすることができます。

Apply updates per vendor instructions by 2022-05-03.
 

CVE-2022-3236    Sophos  Firewall    Sophos Firewall Code Injection Vulnerability

It's another CVE added in the catalog on 09/22. 

Refer to my past article.

Bookmark 2022.10.10

https://www.cisa.gov/known-exploited-vulnerabilities-catalog

https://www.facebook.com/groups/otjapan

http://www.st.ryukoku.ac.jp/~kjm/security/memo/

https://twitter.com/i/lists/855591155731357696

https://www.youtube.com/watch?v=0MTXI1ba4Fo&list=PLiAoCRCAqBVhsKlfyx0U59doqxFwgbpI2

WindowsにSpotifyが自動インストールされる件

WindowsにSpotifyが自動インストールされたと世界中で騒ぎに、レビューにも苦情殺到 (10/03)

https://internet.watch.impress.co.jp/docs/yajiuma/1444232.html

詳しい原因は不明だが、Windows 10以降にはユーザーに合わせたお勧めアプリを許諾画面なしで自動インストールする機能があり、かつてこの仕組みを使ってLINEアプリが多くのユーザーに自動インストールされて騒ぎになった件と酷似していることから、同じ仕組みが使われたのではと推測する声もある。

「Windows 10」でアプリが勝手にインストールされないようにする方法 (2018/12/04)

https://kakakumag.com/pc-smartphone/?id=13097

スタートメニューから「Microsoft Store」アプリを起動する。起動したらメニューを開いて「設定」を開く。あとは、アプリの自動更新機能をオフにすればいい。

CVE-2022-3236 Sophos Firewall Code Injection Vulnerability

CISA added CVE-2022-3236 Sophos Firewall Code Injection Vulnerability in Known Exploited Vulnerabilities Catalog on Sep.23.

 

CVE-2022-3236    Sophos    Firewall             

Sophos Firewall Code Injection Vulnerability        

Added on 2022-09-23    

A code injection vulnerability in the User Portal and Webadmin of Sophos Firewall allows for remote code execution.           

Sophos Firewall のユーザポータルおよび Webadmin にコードインジェクションの脆弱性があり、リモートでコードを実行される可能性があります。     

Apply updates per vendor instructions by 2022-10-14

ベンダーの指示に従い2022-10-14 までにアップデートを適用してください。

 

Taro's Note:

The above vendor site lists workarounds and remedies. It is worthwhile to read them, as they present ideas that are common to protect firewall products and management console from other vendors as well. Let me quote it below.

上記ベンダーサイトに回避策や改善策が挙げられている。それはには他社のファイアウォール製品や管理コンソールの保護にも共通の考え方が示されており、一読しておくと良い。下記に引用する。

 

Overview ... 概要

No action is required for Sophos Firewall customers with the "Allow automatic installation of hotfixes" feature enabled on remediated versions (see Remediation section below). Enabled is the default setting.

修正されたバージョンで「Hotfix の自動インストールを許可する」機能を有効にしている Sophos Firewall のお客様は、何もする必要はありません (以下の「修正」のセクションを参照)。有効はデフォルトの設定です。

 

Sophos has observed this vulnerability being used to target a small set of specific organizations, primarily in the South Asia region. We have informed each of these organizations directly. Sophos will provide further details as we continue to investigate.

ソフォスは、この脆弱性が、主に南アジア地域の少数の特定の組織を標的として使用されていることを確認しています。これらの組織には、それぞれ直接通知しました。ソフォスは、調査を継続しながら、さらなる詳細を提供します。

 

Applies to the following Sophos product(s) and version(s)

以下のソフォス製品およびバージョンに適用されます。

 

Sophos Firewall v19.0 MR1 (19.0.1) and older

Sophos Firewall v19.0 MR1 (19.0.1) およびそれ以前のバージョン

 

Workaround .. 回避策

Customers can protect themselves from external attackers by ensuring their User Portal, and Webadmin are not exposed to WAN.

お客様は、ユーザーポータルおよび Webadmin が WAN に露出しないようにすることで、外部からの攻撃から身を守ることができます。

 

Disable WAN access to the User Portal and Webadmin by following device access best practices (*1) and instead use VPN and/or Sophos Central (preferred) for remote access and management.

デバイスアクセスのベストプラクティス (*1) に従って、ユーザーポータルと Webadmin への WAN アクセスを無効にし、代わりに VPN や Sophos Central (推奨) を使用してリモートアクセスと管理を行います。

 

*1  Device Access Best practices … デバイスアクセスのベストプラクティス

Administrative services and user portal: We do not recommend allowing access to the web admin console (HTTPS), CLI console (SSH), and the user portal from the WAN zone or over the SSL VPN port. If you must give access, we recommend using the best practices listed in the table in this section.

管理サービスおよびユーザーポータル: WANゾーンから、またはSSL VPNポート経由で、Web管理コンソール（HTTPS）、CLIコンソール（SSH）、およびユーザーポータルにアクセスできるようにすることはお勧めしません。アクセスを許可する必要がある場合は、このセクションの表に記載されているベストプラクティスを使用することをお勧めします。

 

SSL VPN port: By default, all management services use unique ports. SSL VPN is set to TCP port 8443.

SSL VPNポート; デフォルトでは、すべての管理サービスは固有のポートを使用します。SSL VPNは、TCPポート8443に設定されています。

 

Warning ,,, 警告

If you manually change the default ports, we strongly recommend that you use a unique port for each service. Using a unique port ensures that services are not exposed to the WAN zone even after you turn off access. Example: If you use port 443 for both the user portal and SSL VPN, the user portal will be accessible from the WAN zone even if you turn off WAN access from this page.

デフォルトのポートを手動で変更する場合は、各サービスに一意のポートを使用することを強くお勧めします。一意のポートを使用すると、アクセスをオフにした後でも、サービスがWANゾーンに公開されないようになります。例 例：ユーザーポータルとSSL VPNの両方にポート443を使用する場合、このページからWANアクセスをオフにしても、ユーザーポータルはWANゾーンからアクセス可能です。

 

Remediation .. 改善策

Ensure you are running a supported version

サポートされているバージョンを実行していることを確認する

 

Hotfixes for the following versions published on September 21, 2022:

2022年9月21日に公開された以下のバージョンのHotfix。

• v19.0 GA, MR1, and MR1-1
• v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4

 

Hotfixes for the following versions published on September 23, 2022:

2022年9月23日に公開された以下のバージョンのHotfixです。

• v18.0 MR3, MR4, MR5, and MR6
• v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
• v17.0 MR10

Fix included in v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), and v19.5 GA
v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), v19.5 GA で修正されました。

Users of older versions of Sophos Firewall are required to upgrade to receive the latest protections, and this fix
Sophos Firewall の旧バージョンを使用しているユーザーは、最新の保護を受けるため並びに当該修正を受けるためにアップグレードする必要があります。

Source:

・Known Exploited Vulnerabilities Catalog

　https://www.cisa.gov/known-exploited-vulnerabilities-catalog

・Resolved RCE in Sophos Firewall (CVE-2022-3236) (09/23)

　https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce