<<< JPCERT/CC WEEKLY REPORT 2022-09-22 >>>
■09/11(日)〜09/17(土) のセキュリティ関連情報
目 次
【1】複数のマイクロソフト製品に脆弱性
【2】複数のApple製品に脆弱性
【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【4】複数のアドビ製品に脆弱性
【5】OpenAM(OpenAMコンソーシアム版)にオープンリダイレクトの脆弱性
【6】EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性
【今週のひとくちメモ】JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性(CVE-2022-1388)を悪用した攻撃」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版およびXML版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2022/wr223701.txt
https://www.jpcert.or.jp/wr/2022/wr223701.xml
【1】複数のマイクロソフト製品に脆弱性
情報源
CISA Current Activity
Microsoft Releases September 2022 Security Updates
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/microsoft-releases-september-2022-security-updates
概要
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行するなどの可能性があります。 この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく ださい。
関連文書 (日本語)
マイクロソフト株式会社
2022 年 9 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2022/09/13/202209-security-updates/JPCERT/CC 注意喚起
2022年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2022/at220024.html
【2】複数のApple製品に脆弱性
情報源
CISA Current Activity
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/apple-releases-security-updates-multiple-products
概要
複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - iOS 15.7より前のバージョン - iPadOS 15.7より前のバージョン - macOS Big Sur 11.7より前のバージョン - macOS Monterey 12.6より前のバージョン - Safari 16より前のバージョン この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す ることで解決します。詳細は、Appleが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
Apple製品のアップデートについて(2022年9月)
https://www.jpcert.or.jp/newsflash/2022091301.htmlApple
iOS 15.7 および iPadOS 15.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213445Apple
macOS Big Sur 11.7 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213443Apple
macOS Monterey 12.6 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213444Apple
iOS 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213446Apple
Safari 16 のセキュリティコンテンツについて
https://support.apple.com/ja-jp/HT213442
【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#36454862
Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性
https://jvn.jp/jp/JVN36454862/
概要
Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性 があります。結果として、当該製品の管理コンソールにログイン可能な第三者 が、任意のコードを実行するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Trend Micro Apex One 2019 - Trend Micro Apex One SaaS この問題は、該当する製品に開発者が提供するパッチを適用することで解決し ます。なお、Trend Micro Apex One SaaSは2022年8月のメンテナンスで修正済 みとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年9月)
https://success.trendmicro.com/jp/solution/000291471トレンドマイクロ株式会社
【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて(2022年9月)
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553JPCERT/CC 注意喚起
Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220023.html
【4】複数のアドビ製品に脆弱性
情報源
CISA Current Activity
Adobe Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/adobe-releases-security-updates-multiple-products
概要
複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー ドを実行するなどの可能性があります。 対象となる製品は次のとおりです。 - Adobe Experience Manager (AEM) - Adobe Bridge - Adobe InDesign - Adobe Photoshop - Adobe InCopy - Adobe Animate - Adobe Illustrator この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す ることで解決します。詳細は、アドビが提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC CyberNewsFlash
複数のアドビ製品のアップデートについて
https://www.jpcert.or.jp/newsflash/2022091401.html
関連文書 (英語)
アドビ
Security updates available for Adobe Experience Manager | APSB22-40
https://helpx.adobe.com/security/products/experience-manager/apsb22-40.htmlアドビ
Security Updates Available for Adobe Bridge | APSB22-49
https://helpx.adobe.com/security/products/bridge/apsb22-49.htmlアドビ
Security Update Available for Adobe InDesign | APSB22-50
https://helpx.adobe.com/security/products/indesign/apsb22-50.htmlアドビ
Security update available for Adobe Photoshop | APSB22-52
https://helpx.adobe.com/security/products/photoshop/apsb22-52.htmlアドビ
Security Update Available for Adobe InCopy | APSB22-53
https://helpx.adobe.com/security/products/incopy/apsb22-53.htmlアドビ
Security updates available for Adobe Animate | APSB22-54
https://helpx.adobe.com/security/products/animate/apsb22-54.htmlアドビ
Security Updates Available for Adobe Illustrator | APSB22-55
https://helpx.adobe.com/security/products/illustrator/apsb22-55.html
【5】OpenAM(OpenAMコンソーシアム版)にオープンリダイレクトの脆弱性
情報源
Japan Vulnerability Notes JVNVU#99326969
OpenAM (OpenAMコンソーシアム版)におけるオープンリダイレクトの脆弱性
https://jvn.jp/vu/JVNVU99326969/
概要
OpenAM(OpenAMコンソーシアム版)には、オープンリダイレクトの脆弱性があ ります。結果として、細工されたURLを通じて当該製品が稼働しているサーバー にアクセスすることで、任意のWebサイトにリダイレクトされる可能性があり ます。 対象となるバージョンは次のとおりです。 - OpenAM(OpenAMコンソーシアム版)14.0.0 この問題は、該当する製品に開発者が提供するパッチを適用することで解決し ます。詳細は、開発者が提供する情報を参照してください。
関連文書 (日本語)
OSSTech株式会社
OpenAM の脆弱性(CVE-2022-31735)について [am2022-1-1]
https://www.osstech.co.jp/support/am2022-1-1/
【6】EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性
情報源
Japan Vulnerability Notes JVN#21213852
EC-CUBE における複数の脆弱性
https://jvn.jp/jp/JVN21213852/Japan Vulnerability Notes JVN#30900552
EC-CUBE 用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性
https://jvn.jp/jp/JVN30900552/
概要
EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」 には、脆弱性があります。結果として、攻撃者が当該製品の管理者を細工した ページに誘導し、特定の操作を実行させることにより、管理者のWebブラウザー 上で任意のスクリプトが実行されるなどの可能性があります。 対象となる製品およびバージョンは次のとおりです。 - EC-CUBE 4.0.0から4.1.2まで(EC-CUBE 4系) - EC-CUBE 3.0.0から3.0.18-p4まで(EC-CUBE 3系) - 商品画像一括アップロードプラグイン 4.1.0 - 商品画像一括アップロードプラグイン 1.0.0 この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す るか、パッチを適用することで解決します。詳細は、開発者が提供する情報を 参照してください。
関連文書 (日本語)
株式会社イーシーキューブ
EC-CUBEにおけるディレクトリトラバーサルの脆弱性(JVN#21213852)
https://www.ec-cube.net/info/weakness/20220909/株式会社イーシーキューブ
EC-CUBEにおけるクロスサイトスクリプティングの脆弱性(JVN#21213852)
https://www.ec-cube.net/info/weakness/20220909/xss.php株式会社イーシーキューブ
EC-CUBE用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性(JVN#30900552)
https://www.ec-cube.net/info/weakness/20220909/product_images_uploader.php
■今週のひとくちメモ
○JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性(CVE-2022-1388)を悪用した攻撃」を公開
2022年9月15日、JPCERT/CCは「攻撃グループBlackTechによるF5 BIG-IPの脆弱 性(CVE-2022-1388)を悪用した攻撃」に関するブログをJPCERT/CC Eyesで公 開しました。2022年5月頃、JPCERT/CCはF5 BIG-IPの脆弱性(CVE-2022-1388) を悪用して日本の組織に攻撃を行う活動を確認しました。この攻撃は、攻撃グ ループBlackTechの活動と関連しているものと推測しています。本ブログでは、 今回確認した活動について紹介しています。
参考文献 (日本語)
JPCERT/CC Eyes
攻撃グループBlackTechによるF5 BIG-IPの脆弱性(CVE-2022-1388)を悪用した攻撃
https://blogs.jpcert.or.jp/ja/2022/09/bigip-exploit.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/