米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月30日(米国時間)、「CISA Adds Three Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に3個の脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されており注意が必要。
影響を受ける主な製品やサービスは次のとおり。
- CVE-2022-41082 Microsoft - Exchange Server
- CVE-2022-41040 Microsoft - Exchange Server
- CVE-2022-36804 Atlassian - Bitbucket Server and Data Center
脆弱性の主な内容は次のとおり。
CVE番号 | 脆弱性の内容 |
---|---|
CVE-2022-41082 | Microsoft Exchange Server contains an unspecified vulnerability which allows for authenticated remote code execution. Dubbed "ProxyNotShell, this vulnerability is chainable with CVE-2022-41040 which allows for the remote code execution. |
CVE-2022-41040 | Microsoft Exchange Server allows for server-side request forgery. Dubbed "ProxyNotShell, this vulnerability is chainable with CVE-2022-41082 which allows for remote code execution. |
CVE-2022-36804 | Multiple API endpoints of Atlassian Bitbucket Server and Data Center contain a command injection vulnerability where an attacker with access to a public Bitbucket repository, or with read permissions to a private one, can execute code by sending a malicious HTTP request. |
Microsoft Exchange Serverの脆弱性を巡っては、この数日間で多くのセキュリティベンダーや当局が取り上げ危険性を指摘しており注意が必要。該当する製品を使っている場合は、提供されているCVE情報やベンダーが提供する情報を確認するとともに、迅速にアップデートを適用することが望まれる。