Oct 26, 2022

Known Exploited Vulnerabilities Catalog 10/20, 24, 25

CVE-2022-41352           Zimbra Collaboration (ZCS)

Zimbra Collaboration (ZCS) Arbitrary File Upload Vulnerability

2022-10-20

Zimbra Collaboration (ZCS) allows an attacker to upload arbitrary files using cpio package to gain incorrect access to any other user accounts.

Zimbra Collaboration (ZCS) は、攻撃者が cpio パッケージを使用して任意のファイルをアップロードし、他のユーザーアカウントに不正にアクセスすることを可能にします

Apply updates per vendor instructions by 2022-11-10.

2022-11-10までに、ベンダーの指示に従いアップデートを適用してください。

https://wiki.zimbra.com/wiki/Security_Center

 

CVE-2021-3493              Linux    Kernel

Linux Kernel Privilege Escalation Vulnerability

2022-10-20

The overlayfs stacking file system in Linux kernel does not properly validate the application of file capabilities against user namespaces, which could lead to privilege escalation.

Linux カーネルの overlayfs スタッキングファイルシステムは、ユーザーネームスペースに対するファイル機能の適用を適切に検証していないため、特権の昇格につながる可能性があります。

Apply updates per vendor instructions by 2022-11-10.

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=7c03e2cda4a584cadc398e8f6641ca9988a39d52

 

CVE-2020-3433              Cisco    AnyConnect Secure

Cisco AnyConnect Secure Mobility Client for Windows DLL Hijacking Vulnerability

2022-10-24

Cisco AnyConnect Secure Mobility Client for Windows interprocess communication (IPC) channel allows for insufficient validation of resources that are loaded by the application at run time. An attacker with valid credentials on Windows could execute code on the affected machine with SYSTEM privileges.

Cisco AnyConnect Secure Mobility Client for Windowsのプロセス間通信(IPC)チャネルでは、アプリケーションによって実行時にロードされるリソースの検証が不十分です。Windows の有効な認証情報を持つ攻撃者が、影響を受けるマシンで SYSTEM 権限でコードを実行する可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-anyconnect-dll-F26WwJW

 

CVE-2020-3153              Cisco    AnyConnect Secure

Cisco AnyConnect Secure Mobility Client for Windows Uncontrolled Search Path Vulnerability

2022-10-24

Cisco AnyConnect Secure Mobility Client for Windows allows for incorrect handling of directory paths. An attacker with valid credentials on Windows would be able to copy malicious files to arbitrary locations with system level privileges. This could include DLL pre-loading, DLL hijacking, and other related attacks.

Cisco AnyConnect Secure Mobility Client for Windowsでは、ディレクトリパスの不正な処理が可能です。Windows上で有効な認証情報を持つ攻撃者は、システムレベルの権限で悪意のあるファイルを任意の場所にコピーできるようになります。これには、DLLプリロード、DLLハイジャック、およびその他の関連する攻撃が含まれる可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ac-win-path-traverse-qO4HWBsj

 

----------------------------------------------

 

CVE-2018-19323           GIGABYTE         Multiple Products

GIGABYTE Multiple Products Privilege Escalation Vulnerability

2022-10-24

The GPCIDrv and GDrv low-level drivers in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU expose functionality to read and write arbitrary physical memory. This could be leveraged by a local attacker to elevate privileges.           

GIGABYTE App CenterAORUS Graphics EngineXTREME Gaming Engine、および OC GURU  GPCIDrv および GDrv 低レベルドライバーは、任意の物理メモリを読み書きする機能を公開します。この問題を利用すると、ローカルの攻撃者が特権を昇格させることができる可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://www.gigabyte.com/Support/Security/1801

 

CVE-2018-19322           GIGABYTE         Multiple Products

GIGABYTE Multiple Products Code Execution Vulnerability

2022-10-24

The GPCIDrv and GDrv low-level drivers in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II expose functionality to read/write data from/to IO ports. This could be leveraged in a number of ways to ultimately run code with elevated privileges.

GIGABYTE App CenterAORUS Graphics EngineXTREME Gaming Engine、および OC GURU II  GPCIDrv および GDrv ローレベルドライバーは、IO ポートから/へのデータの読み取り/書き込み機能を公開します。これは、最終的に昇格した特権でコードを実行するために、様々な方法で活用される可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://www.gigabyte.com/Support/Security/1801

 

CVE-2018-19321           GIGABYTE         Multiple Products

GIGABYTE Multiple Products Privilege Escalation Vulnerability

2022-10-24

The GPCIDrv and GDrv low-level drivers in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II expose functionality to read and write arbitrary physical memory. This could be leveraged by a local attacker to elevate privileges.

GIGABYTE App CenterAORUS Graphics EngineXTREME Gaming EngineOC GURU II  GPCIDrv および GDrv 低レベルドライバーは、任意の物理メモリを読み書きする機能を公開します。この機能を利用すると、ローカル攻撃者が特権を昇格させる可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://www.gigabyte.com/Support/Security/1801

 

CVE-2018-19320           GIGABYTE         Multiple Products

GIGABYTE Multiple Products Unspecified Vulnerability

2022-10-24

The GDrv low-level driver in GIGABYTE App Center, AORUS Graphics Engine, XTREME Gaming Engine, and OC GURU II exposes ring0 memcpy-like functionality that could allow a local attacker to take complete control of the affected system.

GIGABYTE App CenterAORUS Graphics EngineXTREME Gaming Engine、および OC GURU II  GDrv 低レベルドライバは、ring0 memcpy に似た機能を公開し、ローカル攻撃者が冒されたシステムを完全に制御できるようになる可能性があります。

Apply updates per vendor instructions by 2022-11-14.

https://www.gigabyte.com/Support/Security/1801

 

----------------------------------------------

 

CVE-2022-42827           Apple    iOS and iPadOS

Apple iOS and iPadOS Out-of-Bounds Write Vulnerability

2022-10-25

Apple iOS and iPadOS kernel contain an out-of-bounds write vulnerability which can allow an application to perform code execution with kernel privileges.

Apple iOS および iPadOS のカーネルには、境界外書き込みの脆弱性があり、アプリケーションがカーネル特権でコード実行を行う可能性があります。

Apply updates per vendor instructions by 2022-11-15.

https://support.apple.com/en-us/HT213489

 

About the security content of iOS 16.1 and iPadOS 16

It says ...

"Kernel

Available for: iPhone 8 and later, iPad Pro (all models), iPad Air 3rd generation and later, iPad 5th generation and later, iPad mini 5th generation and later

Impact: An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.

Description: An out-of-bounds write issue was addressed with improved bounds checking.

..."

「カーネル

対象製品:iPhone 8以降、iPad Pro(全モデル)、iPad Air3世代以降、iPad5世代以降、iPad mini5世代以降

影響:アプリケーションによって、カーネル権限で任意のコードを実行される可能性があります。Apple は、この問題が活発に悪用されている可能性があるという報告を認識しています。

説明:境界外への書き込みの問題は、境界チェックを改善することで対処しました。

... 」


Oct 12, 2022

CVE-2022-40684 (Fortinet Multiple Products) was added in K.E.V. Catalog

This vulnerability was added in Known Exploited Vulnerabilities Catalog on 10/11.


CVE-2022-40684    Fortinet    Multiple Products          

Fortinet Multiple Products Authentication Bypass Vulnerability
Fortinet 複数製品認証回避の脆弱性
Added in K.E.V. Catalog on 2022-10-11
2022-10-11  K.E.V. カタログに追加されました。
Fortinet FortiOS, FortiProxy, and FortiSwitchManager contain an authentication bypass vulnerability that could allow an unauthenticated attacker to perform operations on the administrative interface via specially crafted HTTP or HTTPS requests.
Fortinet FortiOSFortiProxy、および FortiSwitchManager には、認証バイパスの脆弱性があり、特別に細工した HTTP または HTTPS 要求を介して、認証されていない攻撃者が管理インターフェイス上で操作を実行できる可能性があります。
Apply updates per vendor instructions by 2022-11-01
https://www.fortiguard.com/psirt/FG-IR-22-377
 

Taro's Note:

I don't think the administrative interface is normally open to the Internet. However, human makes mistakes strange sometimes. Applying update seems easier and it more surely works than trying to find reason not update.
管理用インターフェイスは通常インターネットに公開されていない(従って本件によってインターネット上の攻撃者から直ちに侵入を受けるとまでは言えない)と思います。しかし、人間は時々おかしな間違いをするものです。アップデートをしない理由を探すより、アップデートを適用する方が簡単で、確実に動作するように思います。
When you can't update, the workaround described above vendor webpage also seems easy. Please try that.
アップデートできないときは、上記のベンダーウェブページに記載されている回避策も簡単なようです。ぜひお試しください。
I'll quote the vendor's webpage shortly below.
以下、ベンダーのウェブページを短く引用します。
 
Exploitation Status:
Fortinet is aware of an instance where this vulnerability was exploited, and recommends immediately validating your systems against the following indicator of compromise in the device's logs:
user="Local_Process_Access"
Please contact customer support for assistance.
 
悪用された状況
フォーティネットは、この脆弱性が悪用された事例を認識しており、デバイスのログにある以下の侵害の指標に対して、直ちにシステムを検証することを推奨しています。
user="Local_Process_Access"ローカルプロセスアクセス)。
カスタマーサポートにお問い合わせください。
 
Workaround:
FortiOS:
Disable HTTP/HTTPS administrative interface
OR
Limit IP addresses that can reach the administrative interface:
(The vendor page also describes further about its operations for FortiOS, FortiProxy and FortiSwitchManager.)
 
回避策
FortiOS
HTTP/HTTPS 管理インターフェイスを無効にする
または
管理インターフェイスに到達可能なIPアドレスを制限します。
(また、ベンダーページでは、FortiOSFortiProxyFortiSwitchManagerの操作についてさらに詳しく説明されています。)


CVE-2022-36804 was added in Known Exploited Vulnerabilities Catalog on 09/30


CVE-2022-36804    Atlassian    Bitbucket Server and Data Center

Atlassian Bitbucket Server and Data Center Command Injection Vulnerability
Atlassian Bitbucket サーバおよびデータセンターにおけるコマンドインジェクションの脆弱性
Added in K.E.V. Catalog on 2022-09-30
2022-09-30  K.E.V. カタログに追加されました。
Multiple API endpoints of Atlassian Bitbucket Server and Data Center contain a command injection vulnerability where an attacker with access to a public Bitbucket repository, or with read permissions to a private one, can execute code by sending a malicious HTTP request.
Atlassian Bitbucket Server および Data Center の複数の API エンドポイントには、コマンドインジェクションの脆弱性があり、公開 Bitbucket リポジトリへのアクセス権限、または非公開リポジトリへの読み取り権限を持つ攻撃者が、悪意のある HTTP リクエストを送信することでコードを実行することが可能です。
Apply updates per vendor instructions by 2022-10-21.
2022-10-21までにベンダーの指示に従い、アップデートを適用してください。
Bitbucket Server
    Git based code hosting and collaboration for teams
    A single server deployment
    Perpetual license + free year of maintenance
Bitbucket Data Center
    Git based code hosting and collaboration for teams
    Active-active clustering for high availability
    Smart mirroring for performance across geographies
    Annual term license + maintenance
 

MS Exchange Server and Windows, added in Known Exploited Vulnerabilities Catalog on 09.30, 10.11

CVEs of MS Exchange Server and Windows were added in Known Exploited Vulnerabilities Catalog on 09.30, 10.11


CVE-2022-41082    Microsoft    Exchange Server            

Microsoft Exchange Server Remote Code Execution Vulnerability
Added in K.E.V. Catalog on 2022-09-30
Microsoft Exchange Server contains an unspecified vulnerability which allows for authenticated remote code execution.
Dubbed "ProxyNotShell," this vulnerability is chainable with CVE-2022-41040 which allows for the remote code execution.
Microsoft Exchange Server には、認証されたリモートでのコード実行を可能にする未指定の脆弱性が存在します。
"ProxyNotShell" と呼ばれるこの脆弱性は、リモートでコードを実行できる CVE-2022-41040 と連鎖する可能性があります。
Apply updates per vendor instructions by 2022-10-21.
2022-10-21 までに、ベンダーの指示に従い、アップデートを適用してください。
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
 

CVE-2022-41040    Microsoft    Exchange Server            

Microsoft Exchange Server Server-Side Request Forgery Vulnerability
Added in K.E.V. Catalog on 2022-09-30
Microsoft Exchange Server allows for server-side request forgery.
Dubbed "ProxyNotShell," this vulnerability is chainable with CVE-2022-41082 which allows for remote code execution.
Microsoft Exchange Server は、サーバーサイドリクエストフォージェリーの可能性があります。 
"ProxyNotShell" と呼ばれるこの脆弱性は、リモートでコードを実行できるCVE-2022-41082と連鎖します。
Apply updates per vendor instructions by 2022-10-21.
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/
 

CVE-2022-41033    Microsoft    Windows COM+ Event System Service

Microsoft Windows COM+ Event System Service Privilege Escalation Vulnerability
Added in K.E.V. Catalog on 2022-10-11
Microsoft Windows COM+ Event System Service contains an unspecified vulnerability that allows for privilege escalation.
Microsoft Windows COM+ Event System Service には、権限昇格の可能性がある未確認の脆弱性が存在します。
Apply updates per vendor instructions by 2022-11-01.
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-41033
 

Zoho ManageEngine in Known Exploited Vulnerabilities (K.E.V.) Catalog on 2022-09-22


CVE-2022-35405    Zoho    ManageEngine

Zoho ManageEngine Multiple Products Remote Code Execution Vulnerability
Zoho ManageEngine 複数製品におけるリモートコード実行の脆弱性           
Added in Known Exploited Vulnerabilities (K.E.V.) Catalog on 2022-09-22   
Zoho ManageEngine PAM360, Password Manager Pro, and Access Manager Plus contain an unspecified vulnerability which allows for remote code execution.
Zoho ManageEngine PAM360, Password Manager Pro, Access Manager Plus には、リモートでコードを実行される可能性のある未修正の脆弱性が存在します。
Apply updates per vendor instructions by 2022-10-13.
2022-10-13までに、ベンダーの指示に従いアップデートを適用してください。
https://www.manageengine.com/products/passwordmanagerpro/advisory/cve-2022-35405.html

FYI, Wikipedia says ...

Zoho Corporation is an Indian multinational technology company that makes web-based business tools. It is best known for the online office suite offering Zoho Office Suite. The company was founded in 1996 by Sridhar Vembu and Tony Thomas and has a presence in seven locations with global headquarters in Chennai, Tamil Nadu, India, and corporate headquarters outside of Austin in Del Valle, Texas. Radha Vembu, Sridhar Vembu's sister, owns a majority stake in the company.
- Revenue ₹5,230 crore (US$650 million) (FY2021)
- Net income ₹1,918 crore (US$240 million) (FY2021)
Zoho Corporationは、Webベースのビジネスツールを製造するインドの多国籍テクノロジー企業です。オンラインオフィススイートを提供するZoho Office Suiteで最もよく知られています。同社は1996年にSridhar VembuTony Thomasによって設立され、インドのタミルナドゥ州チェンナイにグローバル本社、テキサス州デルバレーのオースティン郊外に本社を置き、7カ所で事業展開しています。Sridhar Vembuの姉であるRadha Vembuが同社の株式の過半数を所有しています。
・売上高 ₹5,230百万ドル(650百万米ドル) (20213月期)
・純利益 ₹1,918 crore (US$240 million) (20213月期)
Zoho JAPAN Corp.           ゾーホージャパン
種類       株式会社
非公開会社
事業内容             自社開発ソフトウェア製品の販売、付帯するコンサルティングサービス、保守サービスの提供
資本金   9,000万円
従業員数             89

Taro's note:

Probably due to its popularity, there have been added other 3 vulnerabilities in Known Exploited Vulnerabilities (K.E.V.) Catalog as shown below. Please also verify if you've corresponded.
その人気の高さからか、この他にも以下のような3つの脆弱性が既に悪用されている脆弱性リストに挙がっています。

CVE-2021-40539    Zoho    ManageEngine ADSelfServicePlus

Zoho Corp. ManageEngine ADSelfService Plus Version 6113 and Earlier Authentication Bypass
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine ADSelfService Plus versions 6113 and earlier contain an authentication bypass vulnerability which allows for Remote Code Execution.
Zoho ManageEngine ADSelfService Plus バージョン 6113 およびそれ以前のバージョンには、認証回避の脆弱性があり、リモートでコードが実行される可能性があります。
Apply updates per vendor instructions by 2021-11-17.
 

CVE-2020-10189    Zoho    ManageEngine Desktop Central

Zoho ManageEngine Desktop Central Remote Code Execution Vulnerability
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine Desktop Central before 10.0.474 allows remote code execution because of deserialization of untrusted data in getChartImage in the FileStorage class. This is related to the CewolfServlet and MDMLogUploaderServlet servlets.      
10.0.474 以前の Zoho ManageEngine Desktop Central では、FileStorage クラスの getChartImage で信頼されていないデータをデシリアライズするため、リモートでコードが実行される可能性がありました。これは、CewolfServlet および MDMLogUploaderServlet サーブレットに関連するものです。
Apply updates per vendor instructions by 2022-05-03.
 

CVE-2019-8394    Zoho    ManageEngine ServiceDesk Plus (SDP)

Zoho ManageEngine ServiceDesk Plus Arbitrary File Upload Vulnerability
Added in K.E.V. Catalog on 2021-11-03
Zoho ManageEngine ServiceDesk Plus (SDP) before 10.0 build 10012 allows remote attackers to upload arbitrary files via login page customization.
Zoho ManageEngine ServiceDesk Plus (SDP) 10.0 build 10012 より前のバージョンでは、リモートの攻撃者がログインページのカスタマイズを介して任意のファイルをアップロードすることができます。
Apply updates per vendor instructions by 2022-05-03.
 

CVE-2022-3236    Sophos  Firewall    Sophos Firewall Code Injection Vulnerability

It's another CVE added in the catalog on 09/22. 
Refer to my past article.



Oct 5, 2022

WindowsにSpotifyが自動インストールされる件

WindowsにSpotifyが自動インストールされたと世界中で騒ぎに、レビューにも苦情殺到 (10/03)

https://internet.watch.impress.co.jp/docs/yajiuma/1444232.html

詳しい原因は不明だが、Windows 10以降にはユーザーに合わせたお勧めアプリを許諾画面なしで自動インストールする機能があり、かつてこの仕組みを使ってLINEアプリが多くのユーザーに自動インストールされて騒ぎになった件と酷似していることから、同じ仕組みが使われたのではと推測する声もある。


「Windows 10」でアプリが勝手にインストールされないようにする方法 (2018/12/04)

https://kakakumag.com/pc-smartphone/?id=13097

スタートメニューから「Microsoft Store」アプリを起動する。起動したらメニューを開いて「設定」を開く。あとは、アプリの自動更新機能をオフにすればいい。