GeoServerのRCE脆弱性を攻撃者が悪用、米CISAが警告：CVE-2024-36401

佐々山 Tacos

2024.07.17

7月17日：サイバーセキュリティ関連ニュース

GeoServerのRCE脆弱性を攻撃者が悪用、米CISAが警告：CVE-2024-36401

SecurityWeek – July 16, 2024

GeoServerにおける脆弱性CVE-2024-36401の悪用が確認されているとして、米CISAが注意喚起。KEVカタログ（悪用が確認済みの脆弱性カタログ）に追加し、連邦政府機関に一定期間内の対応を指示した。

CVE-2024-36401は、プロパティ名が安全でない形でXPath式として評価されることに起因する問題。認証されていない攻撃者がリモートでコードを実行できるようになる恐れがあるもので、CVSSスコアは9.8、深刻度は「Critical」とされている。

同脆弱性はGeoServerのバージョン2.23.6、2.24.4および2.25.2で修正されている。なお、悪用の詳細については明かされていない。

CVE-2024-6695 (CVSS 9.8) ：人気のWordPressプラグインに特権昇格の脆弱性、5万以上のサイトで管理者権限での乗っ取りが可能になる恐れ

Securityonline[.]info – JULY 15, 2024

5万以上のサイトで利用される人気のWordPressプラグイン「Profile Builder」に、重大な特権昇格の脆弱性CVE-2024-6695が存在。CVSSスコアが9.8のこの脆弱性を攻撃者が悪用すれば、既存のユーザーアカウントを利用することなくWebサイトの管理者権限を奪取できるようになる恐れがあるという。

CVE-2024-6695は、登録時にユーザーが提供したEメール情報をプラグインが処理する際の一貫性の欠如に起因する問題。通常のユーザー登録時、アカウントが作成されるとユーザーは自動的に「サブスクライバー」ロールでログインさせられる。そしてユーザー影響のEメールを検証するためのチェックが複数回行われ、すでに登録済みでないかの確認がなされる。しかしこのプロセスにおけるEメール検証の処理に問題があるため、攻撃者によるプロセスの改ざんが可能となっており、ひいては既存アカウントを用いることなく管理者アクセスを獲得できる恐れがあるのだという。

脆弱性はProfile Builderのバージョン3.11.9で修正されているものの、PoCが8月5日にリリース予定であることからも、利用者には速やかなアップデートが強く推奨されている。

CVE-2024-1086：Linuxカーネルの脆弱性、Moxaの多数製品に影響

Securityonline[.]info – JULY 15, 2024

Linuxカーネルにおける深刻度の高い脆弱性CVE-2024-1086により、Moxaの多様な産業ネットワーキング/コンピューティング製品が影響を受けることが判明。CVSSスコアが7.8の同脆弱性は、悪用によりシステムのクラッシュや特権昇格を可能にする恐れがあるほか、不正なアクセスや操作にも繋がる可能性があるという。なお、同脆弱性は今年4月30日に米CISAのKEVカタログ（悪用が確認済みの脆弱性カタログ）に追加されている。

CVE-2024-1086は、Linuxカーネルのnetfilter: nf_tablesコンポーネントにおけるメモリ二重開放の問題に起因するもの。攻撃者がこれを利用して解放済みメモリ使用の状態を引き起こすと、システムの不安定化やクラッシュに繋がる恐れがあるほか、昇格させた権限での任意コード実行も可能になるとされる。

影響を受けるMoxa製品シリーズは、産業用イーサネットスイッチ、ルーター、プロトコルゲートウェイなど多岐に渡る。大半の製品については脆弱性に対処したファームウェアアップデートがリリースされているものの、一部製品についてはパッチが開発途中であるため、ユーザーには以下のような緩和策の実施が推奨されている：