<<< JPCERT/CC WEEKLY REPORT 2023-09-21 >>>

■09/10(日)〜09/16(土) のセキュリティ関連情報

目　次

【1】複数のFortinet製品に脆弱性

【2】Apache Struts 2にサービス運用妨害（DoS）の脆弱性

【3】Apache Tomcat Connectors（mod_jk）に情報漏えいの脆弱性

【4】複数のMozilla製品に脆弱性

【5】不適切なフォーマットのBGP UPDATEメッセージの処理に関するBGP実装の脆弱性

【6】複数のマイクロソフト製品に脆弱性

【7】複数のアドビ製品に脆弱性

【8】Google Chromeに複数の脆弱性

【9】Pyramidにディレクトリトラバーサルの脆弱性

【10】HPE Aruba Networking 9200・9000シリーズのArubaOSに複数の脆弱性

【11】IPAが「建設業とサイバーセキュリティ」を公開

【12】IPAが「攻撃者視点の獲得を目的としたボードゲーム：Cyber Attacker Placement」を公開

【13】Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起

【1】複数のFortinet製品に脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/09/15/fortinet-releases-security-updates-multiple-products

概要

Fortinetは同社製品における脆弱性に関するアドバイザリを12件（High 3件を含む）公開しました。対象製品および影響は多岐にわたり、対策は製品により異なります。SeverityがHighのアドバイザリ（FG-IR-23-106）では、FortiOSおよびFortiProxyのクロスサイトスクリプティングの脆弱性（CVE-2023-29183）が修正されています。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.fortiguard.com/psirt/FG-IR-23-068

https://www.fortiguard.com/psirt/FG-IR-22-310

https://www.fortiguard.com/psirt/FG-IR-23-106

【2】Apache Struts 2にサービス運用妨害（DoS）の脆弱性

情報源

https://jvn.jp/vu/JVNVU93658064/

概要

Apache Struts 2には、サービス運用妨害（DoS）の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://cwiki.apache.org/confluence/display/WW/S2-065

【3】Apache Tomcat Connectors（mod_jk）に情報漏えいの脆弱性

情報源

https://jvn.jp/vu/JVNVU96802408/

概要

Apache Tomcat Connectors（mod_jk）には、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、ISAPIリダイレクターは本脆弱性の影響を受けません。詳細は開発者が提供する情報を参照してください。

関連文書

https://tomcat.apache.org/security-jk.html#Fixed_in_Apache_Tomcat_JK_Connector_1.2.49

【4】複数のMozilla製品に脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/09/13/mozilla-releases-security-updates-multiple-products

概要

複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。Mozillaは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参考にしてください。

関連文書

https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/

【5】不適切なフォーマットのBGP UPDATEメッセージの処理に関するBGP実装の脆弱性

情報源

https://kb.cert.org/vuls/id/347067

概要

複数のBGP（Border Gateway Protocol）実装において、特別に細工されたBGP UPDATEメッセージの処理に脆弱性が確認されており、本脆弱性の影響を受けるルーターがサービス運用妨害（DoS）状態になる可能性があります。幾つかの製品ベンダーは、この問題への緩和策や修正に関する情報を提供しています。CERT/CCは、この問題に関して製品ベンダーの対応状況を横断的に示していますので、ご確認のうえ対処をご検討ください。

関連文書

https://supportportal.juniper.net/s/article/2023-08-29-Out-of-Cycle-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-A-crafted-BGP-UPDATE-message-allows-a-remote-attacker-to-de-peer-reset-BGP-sessions-CVE-2023-4481

https://security.paloaltonetworks.com/CVE-2023-38802

【6】複数のマイクロソフト製品に脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/09/12/microsoft-releases-september-2023-updates

概要

複数のマイクロソフト製品に関する脆弱性が公開されています。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。対象となる製品およびバージョンは多岐にわたります。マイクロソフトは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.jpcert.or.jp/at/2023/at230019.html

https://msrc.microsoft.com/blog/2023/09/202309-security-update/

【7】複数のアドビ製品に脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2023/09/12/adobe-releases-security-updates-multiple-products

概要

複数のアドビ製品には、脆弱性があります。Adobe AcrobatおよびReader、Adobe Connect、Adobe Experience Managerが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.jpcert.or.jp/at/2023/at230018.html

https://www.jpcert.or.jp/newsflash/2023091301.html

https://helpx.adobe.com/security/products/acrobat/apsb23-34.html

https://helpx.adobe.com/security/products/connect/apsb23-33.html

https://helpx.adobe.com/security/products/experience-manager/apsb23-43.html

【8】Google Chromeに複数の脆弱性

情報源

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

概要

Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Googleは今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。詳細は開発者が提供する情報を参照してください。

関連文書

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_12.html

【9】Pyramidにディレクトリトラバーサルの脆弱性

情報源

https://jvn.jp/jp/JVN41113329/

概要

Pylons Projectが提供するPython用のWebフレームワークPyramidには、ディレクトリトラバーサルの脆弱性があります。この問題は、Pyramidを修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://github.com/advisories/GHSA-j8g2-6fc7-q8f8

https://pypi.org/project/pyramid/2.0.2/

【10】HPE Aruba Networking 9200・9000シリーズのArubaOSに複数の脆弱性

情報源

https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2023-014.txt

概要

HPE Aruba Networking製9200シリーズおよび9000シリーズのArubaOSには、複数の脆弱性があります。この問題は、当該製品をアップグレードすることで解決します。なお、開発者によると、すでにサポートを終了したバージョンの製品も影響を受けるものがありますが、パッチは提供されないとのことで、サポートポリシーを確認し対処することを勧めています。詳細は開発者が提供する情報を参照してください。

【11】IPAが「建設業とサイバーセキュリティ」を公開

情報源

https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/construction-industry-cybersecurity.html

概要

2023年9月13日、独立行政法人情報処理推進機構（IPA）は「建設業とサイバーセキュリティ」を公開しました。建設業におけるサイバーセキュリティの意識向上を目的として、建設業とサイバーセキュリティ教育、ビル設備におけるサイバーセキュリティ、と2つのテーマに取り組んだとのことです。また公開成果物として、建設業向けサイバーセキュリティ教育動画および作成手法とビル設備におけるサイバーセキュリティチェックリストおよび設問項目ガイドを作成したとのことです。

【12】IPAが「攻撃者視点の獲得を目的としたボードゲーム：Cyber Attacker Placement」を公開

情報源

https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/cyber-attacker-placement.html

概要

2023年9月13日、独立行政法人情報処理推進機構（IPA）は「攻撃者視点の獲得を目的としたボードゲーム：Cyber Attacker Placement」を公開しました。セキュリティを題材にしたボードゲームは各団体などで作成されている中で、攻撃を題材にしたボードゲームを作成したとのことです。

【13】Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起

情報源

https://www.jpcert.or.jp/at/2023/at230020.html

概要

2023年9月14日、JPCERT/CCはArray Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起を公開しました。2022年5月以降、サイバーセキュリティ協議会の活動などを通じて、Array Networks Array AGシリーズの脆弱性を悪用したと思われる複数の標的型サイバー攻撃を断続的に確認しています。複数の攻撃グループ／攻撃活動が本製品の脆弱性を悪用していると考えられ、また、国内のみならず海外拠点も標的となっているため、自組織の海外拠点における対策や侵害有無の調査も推奨します。

■JPCERT/CCからのお願い