技術情報・コラム記事
セキュリティ

2023年8月 セキュリティ情報(7-Zipの複数脆弱性 [CVE-2023-31102]など)

目次

ご挨拶

「セキュリティの町医者」を目指し日々精進している三浦です。

早速ですが、2023年8月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。

注目した脆弱性(7-Zipの複数脆弱性 [CVE-2023-31102]など)

情報公開日:2023/8/23(現地時間)    

一次情報元(引用元) "ZERO DAY INITIATIVE" 7-Zip SquashFS File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability
"ZERO DAY INITIATIVE" 7-Zip 7Z File Parsing Integer Underflow Remote Code Execution Vulnerability
その他、情報ソース "CYBERSECURITYHELP" Multiple vulnerabilities in 7-Zip
"SOURCEFORGE" 7-Zip 23.00
CVE番号及び深刻度 CVE番号:CVE-2023-31102,CVE-2023-40481  深刻度:[両脆弱性ともに]CVSSスコア 7.8
脆弱性内容 7-Zip の複数脆弱性が公開。ともにファイル解析処理箇所(CVE-2023-31102:7Zファイル解析箇所、CVE-2023-40481:SQFSファイル解析箇所)に脆弱性があり、悪意のあるページにアクセスするか、悪意のあるファイルを処理させることで攻撃が成立し、悪用された場合、任意のコードが実行される可能性があります。
想定される影響 任意コード実行により、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。
影響を受ける製品 7-Zip Ver.2.00 ~ 22.01
解決策 ・当該脆弱性に対応したバージョン23.00以降へのUpdate
 ⇒詳細については「一次情報元(引用元)」でご確認ください。
コメント 注目した理由は、国内でも広く利用されているファイルアーカイバ(圧縮・展開/圧縮・解凍ソフト)で、ファイル解凍時などで、悪意のあるファイルが開かれる恐れが通常より高い点です。早急に対応を行うことを強くお勧めいたします。

その他、注目した脆弱性/ソフトウェアUpdate情報

日付 ソフトウエア 情報/コメント
2023/8/1 Mozilla Firefox /Firefox ESR Mozilla 社はFirefox /Firefox ESR のセキュリティアップデートを公開。影響度は全て「High」に設定されている。また、悪用が行えた可能性がある複数の脆弱性についても今回のアップデートで修正されている。

"Mozilla Foundation Security Advisory 2023-29 Security Vulnerabilities fixed in Firefox 116"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-29/
"Mozilla Foundation Security Advisory 2023-30 Security Vulnerabilities fixed in Firefox ESR 102.14"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-30/
"Mozilla Foundation Security Advisory 2023-31 Security Vulnerabilities fixed in Firefox ESR 115.1"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-31/
2023/8/2 Mozilla Thunderbird Mozilla 社はThunderbird のセキュリティアップデートを公開。影響度は「High」に設定されている。また、悪用が行えた可能性がある複数の脆弱性についても今回のアップデートで修正されている。

"Mozilla Foundation Security Advisory 2023-32 Security Vulnerabilities fixed in Thunderbird 102.14"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-32/
"Mozilla Foundation Security Advisory 2023-33 Security Vulnerabilities fixed in Thunderbird 115.1"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-33/
2023/8/2 Google Chrome Google 社はPC版及びAndroid版のWeb ブラウザ Google Chromeのアップデートを公開。PC版のGoogle Chromeでは深刻度「High」の脆弱性を含む17件のセキュリティ修正を行っている。

"Stable Channel Update for Desktop [Wednesday, August 2, 2023]"
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop.html
"Chrome for Android Update [Wednesday, August 2, 2023]"
https://chromereleases.googleblog.com/2023/08/chrome-for-android-update.html
2023/8/3 PHP PHPのバージョン「8.1.22」がリリース。CVE番号が付与された複数の脆弱性も対応されている。

"PHP 8.1.22 Released!"
https://www.php.net/archive/2023.php#2023-08-03-1
2023/8/4 PHP PHPのバージョン「8.0.30」がリリース。CVE番号が付与された複数の脆弱性も対応されている。

"PHP 8.0.30 Released!"
https://www.php.net/archive/2023.php#2023-08-04-1
2023/8/8 Microsoft 社複数製品 Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。なお、悪用が確認された脆弱性1件についても対応されている。

"2023 年 8 月のセキュリティ更新プログラム"
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2023-Aug
"2023 年 8 月のセキュリティ更新プログラム (月例)"
https://msrc.microsoft.com/blog/2023/08/202308-security-update/
悪用が確認されている脆弱性
".NET and Visual Studio Denial of Service Vulnerability"
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38180
2023/8/8 Adobe 社複数製品 Adobe 社は、自社製品に対するセキュリティアップデートを公開した。アップデートタイミングについては、全製品ともに利用者/管理者の判断でアップデートすることを勧めている。

"Security update available for Adobe Acrobat and Reader | APSB23-30"
https://helpx.adobe.com/security/products/acrobat/apsb23-30.html
"Security  update available for Adobe Commerce | APSB23-42"
https://helpx.adobe.com/security/products/magento/apsb23-42.html
"Security updates available for Dimension | APSB23-44"
https://helpx.adobe.com/security/products/dimension/apsb23-44.html
"Security Updates Available for Adobe XMP Toolkit SDK | APSB23-45"
https://helpx.adobe.com/security/products/xmpcore/apsb23-45.html
2023/8/8 Node.js 「Node.js」開発チームは深刻度「高」を含む脆弱性7件を修正したセキュリティアップデート。
(v16.x、v18.x、および v20.x に対するリリース)

"Wednesday August 9th 2023 Security Releases"
https://nodejs.org/en/blog/vulnerability/august-2023-security-releases
2023/8/15 Google Chrome Google 社はPC版/Android版/iOS版のWeb ブラウザ Google Chromeのアップデートを公開。PC版/Android番のGoogle Chromeでは深刻度「High」の脆弱性を含む26件のセキュリティ修正を行っている。

"Stable Channel Update for Desktop [Tuesday, August 15, 2023]"
https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html
"Chrome for Android Update [Tuesday, August 15, 2023]"
https://chromereleases.googleblog.com/2023/08/chrome-for-android-update_0776151896.html
"Chrome Stable for iOS Update [Tuesday, August 15, 2023]"
https://chromereleases.googleblog.com/2023/08/chrome-stable-for-ios-update_15.html
2023/8/16 Citrix ShareFile StorageZones コントローラ アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称)は悪用が確認された脆弱性としてCitrix ShareFile StorageZones コントローラの脆弱性(CVE-2023-24489)を周知した。

"CISA Adds One Known Exploited Vulnerability to Catalog [Release DateAugust 16, 2023]"
https://www.cisa.gov/news-events/alerts/2023/08/16/cisa-adds-one-known-exploited-vulnerability-catalog
"CTX559517 ShareFile StorageZones Controller Security Update for CVE-2023-24489"
https://support.citrix.com/article/CTX559517/sharefile-storagezones-controller-security-update-for-cve202324489
2023/8/16 PHP PHPのバージョン「8.2.9」がリリース。CVE番号が付与された複数の脆弱性も対応されている。

"PHP 8.2.9 Released!"
https://www.php.net/archive/2023.php#2023-08-16-1
2023/8/21 Adobe ColdFusion CISAは悪用が確認された脆弱性としてAdobe ColdFusion の脆弱性(CVE-2023-26359)を周知した。

"CISA Adds One Known Exploited Vulnerability to Catalog [Release DateAugust 21, 2023]"
https://www.cisa.gov/news-events/alerts/2023/08/21/cisa-adds-one-known-exploited-vulnerability-catalog
"Security updates available for Adobe ColdFusion | APSB23-25"
https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html
2023/8/29 Mozilla Firefox /Firefox ESR Mozilla 社はFirefox /Firefox ESR のセキュリティアップデートを公開。影響度は全て「High」に設定されている。また、悪用が行えた可能性がある複数の脆弱性についても今回のアップデートで修正されている。

"Mozilla Foundation Security Advisory 2023-34 Security Vulnerabilities fixed in Firefox 117"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-34/
"Mozilla Foundation Security Advisory 2023-35 Security Vulnerabilities fixed in Firefox ESR 102.15"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-35/
"Mozilla Foundation Security Advisory 2023-36 Security Vulnerabilities fixed in Firefox ESR 115.2"
https://www.mozilla.org/en-US/security/advisories/mfsa2023-36/

注目したインシデント

2023年7月下旬のインシデント情報も含まれております。

公表日 発生組織の業種 インシデント内容 情報/コメント
2023/7/25 日本人形などの企画・製造及び販売 ECサイトへの不正アクセス 同社のオンラインショッピングサイトシステムの脆弱性を突かれ、ペイメントアプリケーションが改ざんされた。被害としてはクレジットカード情報を含む個人情報が流出した。
2023/7/26 追加報 港湾運送業 ランサムウェアによるシステム障害 7月に発生したランサムウェア感染による障害について追加報告を行い、リモート接続機器の脆弱性が悪用され不正アクセスを受けたと考えられるとコメントしている。
2023/7/28 信販会社 同社サーバへの不正アクセス 詳細は不明。被害拡大を防ぐため、外部との通信を遮断し、外部の専門家による調査を進めているとのこと。なお、同社ローンやクレジットカードなど各種サービスの利用に影響は無いとコメントしている。
2023/7/28 病院 不正アクセスによる個人情報流出の可能性 不正アクセスによりデータベースに保存されている個人情報及び患者情報が外部から閲覧可能な状態になっていたことを確認。その後、報道では「サポート詐欺」に遭ったことが原因として取り上げられていた。
2023/7/29 海外(軍部) 基地内のコンピュータネットワークへのマルウェア配置 基地に繋がる送電/通信、用水を操作するコンピュータネットワークの深部にマルウェアが仕込まれていたとのこと。有事の際に発動させる仕組みであったと報道されている。
2023/8/3 大学 不正アクセス及び迷惑メール送信 不正アクセスの原因は学外事業者接続用VPNの設定不備であったとコメントしている。
2023/8/4 行政機関/省庁 ゼロデイ攻撃によるメールデータ流出の可能性 行政機関及び一部の庁で使用していたメール関連システムが攻撃に遭った。なお、攻撃で突かれた脆弱性はメーカー側も把握していなかったという報道もされている。
TOP技術情報・コラム記事2023年8月 セキュリティ情報(7-Zipの複数脆弱性 [CVE-2023-31102]など)