-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2022-3701
                                                                   JPCERT/CC
                                                                  2022-09-22

            <<< JPCERT/CC WEEKLY REPORT 2022-09-22 >>>

――――――――――――――――――――――――――――――――――――――
■09/11(日)〜09/17(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】複数のマイクロソフト製品に脆弱性
【2】複数のApple製品に脆弱性
【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性
【4】複数のアドビ製品に脆弱性
【5】OpenAM（OpenAMコンソーシアム版）にオープンリダイレクトの脆弱性
【6】EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性
【今週のひとくちメモ】JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2022/wr223701.html
        https://www.jpcert.or.jp/wr/2022/wr223701.xml
============================================================================


【1】複数のマイクロソフト製品に脆弱性

    情報源
      CISA Current Activity
      Microsoft Releases September 2022 Security Updates
      https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/microsoft-releases-september-2022-security-updates

    概要
      複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三
      者が任意のコードを実行するなどの可能性があります。

      この問題は、Microsoft Updateなどを用いて、更新プログラムを適用すること
      で解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してく
      ださい。

    関連文書 (日本語)
      マイクロソフト株式会社
      2022 年 9 月のセキュリティ更新プログラム (月例)
      https://msrc-blog.microsoft.com/2022/09/13/202209-security-updates/

      JPCERT/CC 注意喚起
      2022年9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220024.html

【2】複数のApple製品に脆弱性

    情報源
      CISA Current Activity
      Apple Releases Security Updates for Multiple Products
      https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/apple-releases-security-updates-multiple-products

    概要
      複数のApple製品には、脆弱性があります。結果として、第三者が任意のコー
      ドを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - iOS 15.7より前のバージョン
      - iPadOS 15.7より前のバージョン
      - macOS Big Sur 11.7より前のバージョン
      - macOS Monterey 12.6より前のバージョン
      - Safari 16より前のバージョン

      この問題は、該当する製品をAppleが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、Appleが提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC CyberNewsFlash
      Apple製品のアップデートについて（2022年9月）
      https://www.jpcert.or.jp/newsflash/2022091301.html

      Apple
      iOS 15.7 および iPadOS 15.7 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213445

      Apple
      macOS Big Sur 11.7 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213443

      Apple
      macOS Monterey 12.6 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213444

      Apple
      iOS 16 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213446

      Apple
      Safari 16 のセキュリティコンテンツについて
      https://support.apple.com/ja-jp/HT213442

【3】Trend Micro Apex OneおよびTrend Micro Apex One SaaSに複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#36454862
      Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性
      https://jvn.jp/jp/JVN36454862/

    概要
      Trend Micro Apex OneおよびTrend Micro Apex One SaaSには、複数の脆弱性
      があります。結果として、当該製品の管理コンソールにログイン可能な第三者
      が、任意のコードを実行するなどの可能性があります。

      対象となるバージョンは次のとおりです。

      - Trend Micro Apex One 2019
      - Trend Micro Apex One SaaS

      この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
      ます。なお、Trend Micro Apex One SaaSは2022年8月のメンテナンスで修正済
      みとのことです。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      トレンドマイクロ株式会社
      アラート/アドバイザリ：Trend Micro Apex One 及びTrend Micro Apex One SaaSで確認した複数の脆弱性について（2022年9月）
      https://success.trendmicro.com/jp/solution/000291471

      トレンドマイクロ株式会社
      【注意喚起】Trend Micro Apex One / Trend Micro Apex One SaaS の複数の脆弱性および脆弱性を悪用した攻撃(CVE-2022-40139)を確認したことによる修正プログラム適用のお願いについて（2022年9月）
      https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=4553

      JPCERT/CC 注意喚起
      Trend Micro Apex OneおよびTrend Micro Apex One SaaSの脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2022/at220023.html

【4】複数のアドビ製品に脆弱性

    情報源
      CISA Current Activity
      Adobe Releases Security Updates for Multiple Products
      https://www.cisa.gov/uscert/ncas/current-activity/2022/09/13/adobe-releases-security-updates-multiple-products

    概要
      複数のアドビ製品には、脆弱性があります。結果として、第三者が任意のコー
      ドを実行するなどの可能性があります。

      対象となる製品は次のとおりです。

      - Adobe Experience Manager (AEM)
      - Adobe Bridge
      - Adobe InDesign
      - Adobe Photoshop
      - Adobe InCopy
      - Adobe Animate
      - Adobe Illustrator

      この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新す
      ることで解決します。詳細は、アドビが提供する情報を参照してください。

    関連文書 (日本語)
      JPCERT/CC CyberNewsFlash
      複数のアドビ製品のアップデートについて
      https://www.jpcert.or.jp/newsflash/2022091401.html

    関連文書 (英語)
      アドビ
      Security updates available for Adobe Experience Manager | APSB22-40
      https://helpx.adobe.com/security/products/experience-manager/apsb22-40.html

      アドビ
      Security Updates Available for Adobe Bridge | APSB22-49
      https://helpx.adobe.com/security/products/bridge/apsb22-49.html

      アドビ
      Security Update Available for Adobe InDesign | APSB22-50
      https://helpx.adobe.com/security/products/indesign/apsb22-50.html

      アドビ
      Security update available for Adobe Photoshop | APSB22-52
      https://helpx.adobe.com/security/products/photoshop/apsb22-52.html

      アドビ
      Security Update Available for Adobe InCopy | APSB22-53
      https://helpx.adobe.com/security/products/incopy/apsb22-53.html

      アドビ
      Security updates available for Adobe Animate | APSB22-54
      https://helpx.adobe.com/security/products/animate/apsb22-54.html

      アドビ
      Security Updates Available for Adobe Illustrator | APSB22-55
      https://helpx.adobe.com/security/products/illustrator/apsb22-55.html

【5】OpenAM（OpenAMコンソーシアム版）にオープンリダイレクトの脆弱性

    情報源
      Japan Vulnerability Notes JVNVU#99326969
      OpenAM (OpenAMコンソーシアム版)におけるオープンリダイレクトの脆弱性
      https://jvn.jp/vu/JVNVU99326969/

    概要
      OpenAM（OpenAMコンソーシアム版）には、オープンリダイレクトの脆弱性があ
      ります。結果として、細工されたURLを通じて当該製品が稼働しているサーバー
      にアクセスすることで、任意のWebサイトにリダイレクトされる可能性があり
      ます。

      対象となるバージョンは次のとおりです。

      - OpenAM（OpenAMコンソーシアム版）14.0.0

      この問題は、該当する製品に開発者が提供するパッチを適用することで解決し
      ます。詳細は、開発者が提供する情報を参照してください。

    関連文書 (日本語)
      OSSTech株式会社
      OpenAM の脆弱性(CVE-2022-31735)について [am2022-1-1]
      https://www.osstech.co.jp/support/am2022-1-1/

【6】EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」に脆弱性

    情報源
      Japan Vulnerability Notes JVN#21213852
      EC-CUBE における複数の脆弱性
      https://jvn.jp/jp/JVN21213852/

      Japan Vulnerability Notes JVN#30900552
      EC-CUBE 用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性
      https://jvn.jp/jp/JVN30900552/

    概要
      EC-CUBEおよびEC-CUBE用プラグイン「商品画像一括アップロードプラグイン」
      には、脆弱性があります。結果として、攻撃者が当該製品の管理者を細工した
      ページに誘導し、特定の操作を実行させることにより、管理者のWebブラウザー
      上で任意のスクリプトが実行されるなどの可能性があります。

      対象となる製品およびバージョンは次のとおりです。

      - EC-CUBE 4.0.0から4.1.2まで（EC-CUBE 4系）
      - EC-CUBE 3.0.0から3.0.18-p4まで（EC-CUBE 3系）
      - 商品画像一括アップロードプラグイン 4.1.0
      - 商品画像一括アップロードプラグイン 1.0.0

      この問題は、該当する製品を開発者が提供する修正済みのバージョンに更新す
      るか、パッチを適用することで解決します。詳細は、開発者が提供する情報を
      参照してください。

    関連文書 (日本語)
      株式会社イーシーキューブ
      EC-CUBEにおけるディレクトリトラバーサルの脆弱性(JVN#21213852)
      https://www.ec-cube.net/info/weakness/20220909/

      株式会社イーシーキューブ
      EC-CUBEにおけるクロスサイトスクリプティングの脆弱性(JVN#21213852)
      https://www.ec-cube.net/info/weakness/20220909/xss.php

      株式会社イーシーキューブ
      EC-CUBE用プラグイン「商品画像一括アップロードプラグイン」におけるアップロードファイルの検証不備の脆弱性(JVN#30900552)
      https://www.ec-cube.net/info/weakness/20220909/product_images_uploader.php


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JPCERT/CCが「攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃」を公開

      2022年9月15日、JPCERT/CCは「攻撃グループBlackTechによるF5 BIG-IPの脆弱
      性（CVE-2022-1388）を悪用した攻撃」に関するブログをJPCERT/CC Eyesで公
      開しました。2022年5月頃、JPCERT/CCはF5 BIG-IPの脆弱性（CVE-2022-1388）
      を悪用して日本の組織に攻撃を行う活動を確認しました。この攻撃は、攻撃グ
      ループBlackTechの活動と関連しているものと推測しています。本ブログでは、
      今回確認した活動について紹介しています。

    参考文献 (日本語)
      JPCERT/CC Eyes
      攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃
      https://blogs.jpcert.or.jp/ja/2022/09/bigip-exploit.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CCからのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下のURLからご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下のURLを参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CCのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

-----BEGIN PGP SIGNATURE-----
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=9vwg
-----END PGP SIGNATURE-----