米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、実際の侵害で特定された脆弱性のリポジトリを再度拡大しました。最新の改定では、Samsung、SimpleHelp、およびD-Linkの製品内の4つの異なる欠陥が組み込まれています。これらの脆弱性は、攻撃者に理論的なエクスプロイト手段をもたらすだけでなく、システムの侵害への検証済みで実証済みの経路を提供しているため、脅威が増大しています。
CISAはCVE-2024-7399、CVE-2024-57726、CVE-2024-57728、およびCVE-2025-29635を既知の悪用される脆弱性(KEV)カタログに統合しました。このカタログは管理者にとって重要なリソースとして機能し、修復作業の優先順位付けを促進するために、悪用の経験的証拠を持つ欠陥を強調しています。
CVE-2024-7399はSamsung MagicINFO 9 Server(バージョン21.1050より前)に影響を与えます。パストラバーサルエラーにより、認証済みの攻撃者がシステム権限を昇格させた任意のファイルを書き込むことができます。実際の適用では、このフローはMagicINFO環境を管理するホストサーバーでのリモートコード実行(RCE)を許可します。
2つのさらなる脆弱性はSimpleHelp、リモートサポートとデバイス管理用のユーティリティに関するものです:
-
CVE-2024-57726は、最小限の特権を持つ技術者が過度な権限を持つアクセスキーを生成し、その権限をサーバー管理者のレベルにエスカレートすることを許可します。
-
CVE-2024-57728はSimpleHelpバージョン5.5.7およびその先行バージョンに影響を与えます。管理者は、指定されたディレクトリの外部にファイルを書き込むために、細心に作成されたアーカイブをアップロードできます。一般的に「Zip Slip」脆弱性と呼ばれるこの欠陥は、SimpleHelpサーバープロセスのセキュリティコンテキスト下での任意のコード実行を促進します。
CVE-2025-29635はD-Link DIR-823Xルーター(ファームウェアバージョン240126および240802)で特定されました。このコマンドインジェクション脆弱性により、認証済みの攻撃者が/goform/set_prohibitingエンドポイントへの特別なリクエストを送信してリモートコマンドを実行できます。公開されたセキュリティアドバイザリーはすでにこの欠陥をレガシーD-Linkハードウェアを対象とした侵害およびMiraiボットネットへのアクティブな勧誘にリンクしています。
KEVカタログは指令BOD 22-01の支援下で確立されました。これは、米国連邦民間機関がアクティブな脅威に対する政府ネットワークを強化するために、厳密な期間内にそのような脆弱性を修復することを義務付けています。これらの要件は公式には連邦エンティティにのみ適用されますが、CISAはすべての組織がカタログを緊急な修復のベンチマークとして利用することを強く奨励します。
このアップデートは永続的なトレンドを強調しています:攻撃者は大規模なエンタープライズアーキテクチャだけでなく、リモートサポートユーティリティ、管理サーバー、およびネットワークペリフェラルも絶えず追求しています。これらの製品はしばしば重要なネットワークセグメントへの特権付きアクセスを持っているため、パッチ適用の遅延は単一の脆弱性を包括的なインフラストラクチャ侵害に素早く変える可能性があります。
