<<< JPCERT/CC WEEKLY REPORT 2024-04-10 >>>

■03/31(日)〜04/06(土) のセキュリティ関連情報

目　次

【1】Apache HTTP Server 2.4に複数の脆弱性

【2】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性

【3】NEC Atermシリーズに複数の脆弱性

【4】Centeミドルウェアに複数の脆弱性

【5】プラネックス製無線LANルータMZK-MF300Nに複数の脆弱性

【6】複数のCisco製品に脆弱性

【7】フルノシステムズ製マネージド・スイッチACERA 9010（MSモード以外で使用時）に初期パスワードに関する脆弱性

【8】XZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）について

【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を公表

【1】Apache HTTP Server 2.4に複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU99032532/

概要

Apache HTTP Server 2.4系には、複数の脆弱性があります。これらの問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://httpd.apache.org/security/vulnerabilities_24.html#2.4.59

https://kb.cert.org/vuls/id/421644

【2】Ivanti Connect SecureおよびIvanti Policy Secureに複数の脆弱性

情報源

https://www.cisa.gov/news-events/alerts/2024/04/04/ivanti-releases-security-update-ivanti-connect-secure-and-policy-secure-gateways

概要

Ivanti Connect Secure（旧：Pulse Connect Secure）およびIvanti Policy Secureゲートウェイには、複数の脆弱性があります。この問題は、当該製品に修正パッチを適用することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://forums.ivanti.com/s/article/SA-CVE-2024-21894-Heap-Overflow-CVE-2024-22052-Null-Pointer-Dereference-CVE-2024-22053-Heap-Overflow-and-CVE-2024-22023-XML-entity-expansion-or-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

https://forums.ivanti.com/s/article/New-CVE-2024-21894-Heap-Overflow-CVE-2024-22052-Null-Pointer-Dereference-CVE-2024-22053-Heap-Overflow-and-CVE-2024-22023-XML-entity-expansion-or-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways

【3】NEC Atermシリーズに複数の脆弱性

情報源

https://jvn.jp/jp/JVN82074338/

概要

日本電気株式会社が提供するAtermシリーズには、複数の脆弱性があります。一部の問題は、当該製品を修正済みのバージョンに更新するまたは回避策を適用することで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は開発者が提供する情報を参照してください。

関連文書

https://jpn.nec.com/security-info/secinfo/nv24-001.html

【4】Centeミドルウェアに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU94016877/

概要

DMG MORI Digital株式会社が開発し、NEXT株式会社が提供するCenteミドルウェアTCP/IPネットワークシリーズの一部製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.cente.jp/obstacle/4956/

https://www.cente.jp/obstacle/4960/

https://www.cente.jp/obstacle/4963/

【5】プラネックス製無線LANルータMZK-MF300Nに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU91975826/

概要

プラネックスコミュニケーションズ株式会社が提供する無線LANルータMZK-MF300Nには、複数の脆弱性があります。開発者によると、当該製品の販売は終了しており、修正アップデートは提供されません。開発者は当該製品の使用停止を推奨しています。

【6】複数のCisco製品に脆弱性

情報源

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-dir-trav-SSn3AYDw

概要

Ciscoは同社製品における脆弱性に関するアドバイザリを計12件（High 1件、Medium 11件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は、開発者が提供する情報を参照してください。

関連文書

https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【7】フルノシステムズ製マネージド・スイッチACERA 9010（MSモード以外で使用時）に初期パスワードに関する脆弱性

情報源

https://jvn.jp/vu/JVNVU99285099/

概要

株式会社フルノシステムズが提供するマネージド・スイッチACERA 9010には、工場出荷時設定においてパスワードが設定されていません。当該製品をMSモード以外で使用している場合、本脆弱性の影響を受ける可能性があります。当該製品のパスワードを出荷時設定のまま変更せずに使用している場合、CLIコマンドを使用してパスワードを設定してください。詳細は開発者が提供する情報を参照してください。

関連文書

https://www.furunosystems.co.jp/news/info/vulner20240401.html

【8】XZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）について

情報源

https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

概要

2024年3月29日（現地時間）、複数のLinuxディストリビューションなどで利用されているファイル可逆圧縮ツールであるXZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）が確認されたとして、ツールの開発元であるThe Tukaani Projectの開発者などが情報を公開しています。同問題の影響を受けるバージョンのツールがインストールされたシステムでは、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があります。同ツールの開発者などが公開する最新の情報を参照し、影響の有無の調査や必要な対処の実施をご検討ください。

関連文書

https://www.jpcert.or.jp/newsflash/2024040101.html

https://tukaani.org/xz-backdoor/

【9】経済産業省が「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を公表

情報源

https://www.meti.go.jp/press/2024/04/20240404002/20240404002.html

概要

2024年4月4日、経済産業省は「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン【別冊：スマート化を進める上でのポイント】」を公表しました。2022年11月に公表されたガイドラインの拡充版として、主に工場のスマート化を進める企業を読者に想定し、スマート工場の概要とともに、ガイドライン本編に示した各ステップの対策におけるスマート化を進めるにあたっての留意点や具体例を示しています。

■JPCERT/CCからのお願い