米 CISA は 4 月 24 日、Known Exploited Vulnerabilities (KEV) カタログに 4 件の脆弱性を追加しました。いずれも実環境での悪用が確認されており、連邦民間行政機関 (FCEB) には Binding Operational Directive 22-01 のもと 5 月 15 日までの修正が義務付けられます。民間企業も優先対応の対象としています。
主なポイント
- CVE-2024-57726 / CVE-2024-57728: SimpleHelp の認可不備とパストラバーサル。低権限技術者の API キー昇格や任意ファイル書き込みが可能。Field Effect / Sophos が DragonForce ランサムの侵入経路と報告
- CVE-2024-7399: Samsung MagicINFO 9 Server のパストラバーサルで、SYSTEM 権限による任意ファイル書き込みに繋がる
- CVE-2025-29635: D-Link DIR-823X のコマンドインジェクション。認証済み攻撃者が
/goform/set_prohibitingに POST して任意コマンド実行 - SimpleHelp 系は 2024 年公表ながら未パッチの社内 RMM 環境を狙う事例が継続。MSP 経由の侵害観測が増えている
- CISA は影響を受ける製品の利用を直ちに棚卸しし、ベンダ修正版の適用と外部公開面の制限を行うよう推奨
出典: CISA Adds Four Known Exploited Vulnerabilities to Catalog