米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、iCagendaおよびBalbooa Formsに影響する2件のファイルアップロード脆弱性を、実際の悪用が確認されたとして「既知の悪用された脆弱性」(KEV)カタログに追加しました。
Securityawareness training
この警告は2026年7月10日に発行され、両脆弱性は危険な種類のファイルの無制限アップロードを許してしまう問題であると特定されています。
こうした脆弱性を悪用すると、攻撃者は外部に公開されたWebサーバーに悪意あるスクリプトや実行ファイルをアップロードできるようになり、リモートコード実行、永続化、Webサイトの改ざん、データ窃取、ネットワーク内での横展開といった事態につながる恐れがあります。
今回新たにリストに追加された脆弱性は次のとおりです。
- CVE-2026-48939: iCagendaにおける無制限ファイルアップロードの脆弱性
- CVE-2026-56291: Balbooa Formsにおける無制限ファイルアップロードの脆弱性
CISAは、勧告の中で具体的な悪用手法の詳細、影響を受けるバージョンの範囲、攻撃者の特定情報などは明らかにしていません。しかし、これらの脆弱性がKEVカタログに追加されたこと自体が、悪意ある攻撃者による悪用を示す信頼性の高い証拠をCISAが入手していることを裏付けています。
CISA、悪用されたiCagendaとBalbooaについて警告
無制限ファイルアップロードの脆弱性は、アプリケーションがアップロードされるコンテンツ、ファイル名、拡張子、MIMEタイプ、アップロード先などを適切に検証できていない場合に発生します。
CISAによると、攻撃者は画像ファイルや文書、その他一見無害に見えるコンテンツに偽装したWebシェルを送信することで、こうした甘い検証プロセスを突くことができるとしています。
悪意あるファイルがWebからアクセス可能なディレクトリにアップロードされ、サーバー上で実行されてしまうと、攻撃者は対象のアプリケーション環境の制御権を奪うことが可能になります。
典型的な後続の攻撃活動としては、永続的なバックドアの展開、認証情報の窃取、Webサイトコンテンツの改ざん、さらには侵害したサーバーをより広範なネットワークへの侵入拠点として利用することなどが挙げられます。
一般公開されているコンテンツ管理システムの拡張機能やフォーム作成コンポーネントは、未認証あるいは低権限のユーザーからのファイル送信を受け付けることが多いため、特に狙われやすい標的となっています。
CISAの拘束的運用指令(BOD)2626-0404「リスクに基づくセキュリティアップデートの優先順位付け」は、連邦文民行政機関に対し、KEVに掲載された脆弱性についてリスクレベルに応じた修正の優先順位付けを義務付けています。
この指令では、悪用に成功すれば攻撃者がシステムの完全な制御権を得る可能性があるため、外部に公開されている資産に影響する脆弱性については迅速な対応が必要であることを強調しています。また、セキュリティアップデートを適用する前に、システムが既に侵害されていないかどうかを評価するよう各機関に求めています。
この指令は連邦文民機関を直接の対象としたものですが、CISAはiCagendaやBalbooa Formsを利用しているすべての組織に対し、リスクに基づく脆弱性管理プロセスを導入し、今回新たに特定されたこれらの問題を緊急事案として扱うよう呼びかけています。
推奨される対応
組織はまず、iCagendaやBalbooa Formsを稼働させているインターネット公開システムを速やかに特定し、利用可能なセキュリティアップデートや緩和策についてベンダーの勧告を確認する必要があります。セキュリティチームは、さらに以下の対応も講じるべきです。
- ベンダー提供のパッチを適用するか、パッチが利用できない場合は脆弱なコンポーネントを削除する
- ファイルアップロードを認証済みかつ許可されたユーザーのみに制限する
- ファイル拡張子の許可リストを導入し、ファイル内容をサーバー側で検証する
- 可能な限り、アップロードされたファイルをWebからアクセス可能なディレクトリの外部に保存する
- 不審なファイル、Webシェル、想定外の管理者アカウント、異常な外向き通信の有無を調査する
- 修正作業の前後で、Webサーバーおよびアプリケーションのログに異常なアップロード活動がないか精査する
KEVカタログに掲載された脆弱性は、信頼性が高くかつ差し迫った脅威であることを示すものであるため、CISAはすべての組織に対しその修正を優先するよう推奨しています。
Hacking& Cracking
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/cisa-warns-of-actively-exploited-icagenda-and-balbooa/