-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年3月第5週:Flashpointの脆弱性分析・優先順位付けに関するウィークリーレポート
脆弱性を予測し、状況を把握して優先順位を付けることで、組織に対する脅威に効果的に対処できます。
*本記事は、弊社マキナレコードが提携する米Flashpoint社のウィークリーレポートを翻訳したものです。
脅威アクターのキャンペーンにおいて、初期アクセスベクターとして脆弱性が使われるケースは180%増加しており、これは効果的な優先順位付けのプランニングがこれまで以上に重要になったことを意味しています。毎週発行される本シリーズでは、Flashpointが優先的に対処すべきと判断した脆弱性とその根拠を詳しく説明するだけでなく、より効率的な修復措置をサポートするために、各組織が迅速に優先順位を決める際に役立つ分析をお届けします。
新しい脆弱性エクスプロイトやゼロデイは日々発見されており、プロアクティブに脆弱性を管理する戦略が必要不可欠になってきました。このウィークリーレポートを活用することで、セキュリティチームがパッチ管理にインテリジェンス主導のアプローチを採用できるようになるため、組織は包括的な脆弱性インテリジェンスを通じてタイムリーな修復措置を適用できるようになります。
目次
[開く][閉じる]- CVE-2025-1496
- CVE-2025-27781
- CVE-2025-29913
- CVE-2025-2746
- CVE-2025-29927
主な脆弱性:2025年3月第5週
優先順位付けの出発点
Flashpointが今週公開した脆弱性のうち、すぐに対処可能な脆弱性は96件を数えます。それぞれの脆弱性には解決策と公開済みのエクスプロイトが存在し、リモートで悪用できる状態になっています。だからこそ、これらの脆弱性は優先順位付けの取り組みを始める出発点として理想的なのです。
画像1:先週公開された脆弱性のうち、エクスプロイトがリリース済みで解決策もあり、なおかつリモートで悪用可能な欠陥の数(画像入手元:Flashpoint)
さらに詳しく調査 – 緊急性の高い脆弱性
Flashpointが先週公開した脆弱性のうち、今週の脆弱性分析・優先順位付けに関するウィークリーレポートでは以下の4件が取り上げられています。その根拠は次の通りです。
- 広く使用されている製品に存在し、企業に影響を及ぼす可能性がある
- 実際に悪用されている、あるいはエクスプロイトが利用可能
- システム全体が侵害される可能性がある
- ネットワークを介して単体で、あるいはほかの脆弱性と組み合わせて悪用される可能性がある
- 対処するための解決策がある
さらに、これらの脆弱性はすべて簡単に発見できるため、ただちに調査して修正する必要があります。
これらの脆弱性にプロアクティブな姿勢で対処し、公開済みのソースにとどまらない包括的なカバレッジを確保するために、Flashpointの脆弱性インテリジェンスをご活用ください。ITやOT、IoT、CoT、さらにオープンソースのライブラリと依存関係を網羅する包括的なカバレッジを提供するFlashpointは、NVDに含まれていない、あるいはCVE IDのない脆弱性を10万件以上カタログ化し、一般に利用可能なソースを超える包括的なカバレッジを確保しています。なお、NVDでカバーされていない脆弱性はCVE IDが割り当てられていないため、VulnDBのIDによって言及されます。
CVE ID | 説明 | CVSS スコア(v2、v3、v4) | エクスプロイトのステータス | エクスプロイトの結果 | ランサムウェア攻撃で利用される可能性 | ソーシャルリスク評価 | 解決策の有無 |
| BG-TEK Coslat Hotspotの認証試行回数の不適切な制限によるリモートブルートフォース攻撃に対する脆弱性 | 10.0 9.8 9.3 | 公開されている | 認証バイパス | 深刻 | 低 | あり | |
| Applioのinference.py / tts.py model_fileのパラメータの安全でないデシリアライズによるリモートコード実行 | 10.0 9.8 9.3 | 公開されている | 任意コード実行 | 高 | 低 | パッチを利用可能 | |
| NASA CryptoLib core/crypto_tc.cのCrypto_TC_Prep_AAD()関数における整数アンダーフローによるヒープバッファオーバーフロー | 10.0 9.8 9.3 | PoCが公開されている | 任意コード実行 | 高 | 低 | パッチを利用可能 | |
| CVE-2025-2746 | Kentico Xperience(Kentico CMS)においてAuthenticateToken()関数でトリガーされ、エンドポイント/CMSPages/Staging/SyncServer.asmxに無効なユーザー名を指定することで生じるリモート認証バイパス | 7.5 9.8 9.3 | 公開されている | 認証バイパス | 高 | 低 | あり |
| Next.jsミドルウェアにおけるx-middleware-subrequestのヘッダー処理に起因するリモート認可バイパス | 6.4 9.1 9.3 | 公開されている | 認証バイパス | 高 | 高 | あり |
評価:2025年3月24日時点
注:脆弱性の深刻度を表すスコアは、新たな情報が反映されたことで変動する可能性があります。Flashpointでは最新かつ関連性の高い入手可能な情報を使って脆弱性データベースを維持しています。より多くの脆弱性に関するメタデータを確認し、最新の情報を入手するにはログインしてください。
CVSSスコア:当社アナリストは入手可能な新しい情報を基に、NVDが評価したCVSSスコアを計算し、必要に応じて調整しています。
ソーシャルリスク評価:Flashpointでは脆弱性がソーシャルメディアでどの程度注目されているかを推定し、評価しています。言及や議論が増えるとソーシャルリスク評価も上がり、悪用される可能性が高くなります。この評価には投稿量や投稿者などの要素が考慮されており、脆弱性の関連性が低くなれば評価は下がります。
ランサムウェア攻撃で利用される可能性:この評価では、ある脆弱性とランサムウェア攻撃での使用が確認された脆弱性との類似性を推定します。当社が脆弱性に関する新たな情報(悪用方法、影響を受けるテクノロジーなど)を入手し、さらにランサムウェア攻撃に使われる脆弱性が追加で発見されると、この評価も変動することがあります。
Flashpoint Igniteでは各要素が視認性の高いレイアウトにまとめられており、例えばBG-TEKの脆弱性に関するレコードは以下のような形で参照することができます。
このレコードでは影響を受ける製品のバージョン、MITRE ATT&CKのマッピング、アナリストのメモ、解決策の説明、分類、脆弱性のタイムラインとエクスポージャー指標、エクスプロイトに関する参考情報など追加のメタデータが提供されています。
注目すべき脆弱性に対するアナリストのコメント
ここでは、組織が危険にさらされた際に重点的に対応すべき脆弱性について、すでに話題に上がった5つの脆弱性を例にFlashpointのアナリストが説明します。
CVE-2025-1496
BG-TEK Coslat Hotspotに影響を与えるCVE-2025-1496は、認証に失敗できる回数が正しく制限されていないために発生する脆弱性です。ブルートフォース攻撃を行うことで、リモート攻撃者はより容易に認証メカニズムをバイパスできる可能性があります。
CVE-2025-27781
CVE-2025-27781はApplioにおける脆弱性で、model_fileのパラメーターへの入力値が安全でない方法でデシリアライズされるために引き起こされるinfer.pyスクリプトの不具合です。これによって、リモート攻撃者は任意のコードを実行できます。
現在、この不具合を修正するための既知の回避策やアップグレードはありません。ただし、この脆弱性に対処するためのパッチがGITやCVS、SVNといったソースコードリポジトリにコミットされています。次回のソフトウェア更新時にパッチが組み込まれるまでは、既存のインストールに手動でパッチを当てることが知られている唯一の解決策です。詳しくは、Igniteで当該の脆弱性を見て、参考欄でベンダーのリンクを確認してください。
CVE-2025-29913
CVE-2025-29913は、NASA CryptoLibの脆弱性です。core/crypto_tc.c内のCrypto_TC_Prep_AAD()関数に整数アンダーフロー状態が含まれていて、この状態はバッファへのインデックスを計算する際に引き起こされます。リモート攻撃者は、境界外読み取りを行うことでサービス拒否や、場合によってはヒープベースのバッファオーバーフローを生じさせることができます。後者は、任意コードの実行を可能にする恐れがあります。
ひとつ前に紹介した脆弱性と同様に、これを修正するための回避策やアップグレードは今のところありません。ただし、この脆弱性に対処するためのパッチがGITやCVS、SVNといったソースコードリポジトリにコミットされています。次回のソフトウェア更新時にパッチが組み込まれるまで、既存のインストールに手動でパッチを当てることが知られている唯一の解決策です。詳しくは、Igniteで当該の脆弱性を見て、参考欄でベンダーのリンクを確認してください。
Flashpointのアナリストは、これがライブラリ/フレームワークの脆弱性であると指摘しています。このコードはさまざまなソフトウェアで採用されているため、問題がいろいろな形で顕れるかもしれません。アナリストは、境界外読み取りがこの問題による直接的な影響であると述べているものの、ベンダーはヒープバッファオーバーフローに繋がる恐れのある問題であるとも説明しています。
CVE-2025-2746
CVE-2025-2746はKentico Xperience(Kentico CMS)の欠陥です。無効なユーザー名が指定された場合、カスタム関数AuthenticateToken()がパスワードハッシュとして空の文字列を返すことでトリガーされ、これによって有効な認証トークンを作成できるようになります。エンドポイント/CMSPages/Staging/SyncServer.asmxへの特別に細工されたリクエストにより、リモート攻撃者は認証をバイパスすることが可能になり、悪用に成功するとSOAP APIへの管理アクセスを取得できます。
Flashpointのアナリストは、この問題を悪用するには次のことが必要だと指摘しています。
- ステージング(またはデフォルトで無効になっている「同期」サービスの有効化)
- ステージングサービスを(X.509 ベースの認証オプションではなく)ユーザー名/パスワード認証で構成
CVE-2025-29927
「x-middleware-subrequest」が適切に処理されないことで発生するNext.jsの欠陥です。これにより、リモートの攻撃者がミドルウェアで行われる可能性のある認可チェックを回避し、本来は制限されているページへ不正にアクセスできる可能性があります。この脆弱性はソーシャルメディアで大きな話題となり、時間の経過とともにソーシャルリスクが増大しました。Flashpointのアナリストは、これをライブラリ/フレームワークの脆弱性と記しています。このコードが多様なソフトウェアで使用されているため、この問題はさまざまな形で顕在化する可能性があります。
この問題は、ミドルウェアで機微性の高い認可チェックが行われる場合にのみアプリケーションに影響します。
ベンダーは「next start」と「output: ‘standalone.’」を使い、すべてのセルフホスト型Next.jsデプロイメントを直ちに更新することを推奨しています。
Flashpoint, VulnDBについて
Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報や各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。
日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。
また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。
FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。
