Microsoft Exchange Server の脆弱性:CVE-2022-41040およびCVE-2022-41082
2022年10月4日、Vishal Khandelwal
Barracuda Web Application Firewall ハードウェアおよび仮想アプライアンス、AWSとAzure、およびGCP上のBarracuda CloudGen WAF、Barracuda WAF-as-a-Service、そしてBarracuda Load Balancer ADCは、Microsoft Exchange Server edition 2013、2016、2019に影響を与える、最近見つかったゼロデイ脆弱性の影響を受けないことを確認しています。CVE-2022-41040 として識別される脆弱性はサーバサイドリクエストフォージェリ(SSRF)であり、CVE-2022-41082 として識別される脆弱性はリモートコード実行(RCE)です。
これらの脆弱性については、今後も継続的に更新していきますので、本スペースをご覧ください。
脆弱性の詳細
最近、GTSCは2つのゼロデイ脆弱性を発見し、その詳細を Zero Day Initiative(ZDI) と共有しました。ZDIが検証し、認めたバグは以下の通りです。
- ZDI-CAN-18333 | Microsoft | CVSS: 8.8
- ZDI-CAN-18802 | Microsoft | CVSS: 6.3
ZDIは、その内容をマイクロソフトと共有し、マイクロソフトの調査に基づき、特定された脆弱性に関して、以下のCVEを公開しました。
- CVE-2022-41040 | CVSS:3.1 8.8 / 8.1 | Vendor Severity: Critical| SSRF
- CVE-2022-41082 | CVSS:3.1 8.8 / 8.3 | Vendor Severity: Critical| RCE
これらの脆弱性は2022年9月29日に公開されたもので、Microsoft Exchange Server 2013、2016、2019に影響を与えます。どちらのCVEも、攻撃者が認証されたユーザーとして、脆弱なExchange Serverにアクセスする必要があります。
SSRF 攻撃は、認証されたユーザーとしてPowerShellへのアクセスを取得した後に実行されます。その後、攻撃者はCVE-2022-41082 で説明されている RCE 攻撃を実行することも可能です。
Barracuda Web Application Firewall、WAF-as-a-Service、およびLoad Balancer ADCは、この脆弱性の影響を受けません。
攻撃の検知と防御
バラクーダは、CVEを適切に評価した上で、脆弱性を軽減するためのシグネチャを近日中に公開する予定です。
それまでの間は、バラクーダのテクニカルサポートチームに連絡すれば、暫定的なシグナチャを取得できます。暫定的なシグナチャは、利用可能な脅威調査データに基づいて作成されます。脅威調査データの進化に伴い、シグナチャの更新を継続することにご留意ください。
手動設定の場合、以下のように、Barracuda Web Application Firewallの各製品カテゴリで公開されているアドバイザリに従うことをお勧めします。
Barracuda WAF-as-a-Service
WAF-as-a-Serviceをご利用の場合、キャンパスドキュメントにアクセスし、脆弱性を緩和するために必要な手順を手動で設定することをお勧めします。また、WAF-as–a-Serviceのアップデートに従って、設定手順を確認することができます。
AWS および Azure、そして GCP のBarracuda Web Application Firewall と Barracuda CloudGen WAF
Barracuda WAFおよびCloudGen WAFをお使いの場合、これらの脆弱性を軽減するために、キャンパスドキュメントに記載されている手順に従って、手動で設定を変更することをお勧めします。
ベストプラクティスとして、Microsoft Exchange Serverを保護するために、マイクロソフトからの暫定的な緩和策と推奨事項についても検討することをお勧めします。
この緩和策に必要な構成の変更と設定の詳細については、このキャンパスドキュメントをご覧ください。
これらの設定に関するサポートや攻撃パターンに関するご質問は、バラクーダテクニカルサポートにお問い合わせください。
原文はこちら
Microsoft Exchange Server vulnerabilities: CVE-2022-41040 and CVE-2022-41082
October 4, 2022
https://blog.barracuda.com/2022/10/04/microsoft-exchange-server-vulnerabilities-cve-2022-41040-and-cve-2022-41082/