Trusted Design

CVE-2022-31199 の詳細

CVEの情報

説明:
Remote code execution vulnerabilities exist in the Netwrix Auditor User Activity Video Recording component affecting both the Netwrix Auditor server and agents installed on monitored systems. The remote code execution vulnerabilities exist within the underlying protocol used by the component, and potentially allow an unauthenticated remote attacker to execute arbitrary code as the NT AUTHORITY\SYSTEM user on affected systems, including on systems Netwrix Auditor monitors.

CVE更新日: 2022-11-08 01:15:09.767000

CVSSバージョン: 3.1

CVSSスコア: 9.8

KEVの情報

KEV更新日: 2023-07-11

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.058550000

EPSS更新日: 2026-06-12 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: high

Automatable: True

AIを使った解説

解説:

CVE-2022-31199は、Netwrix Auditor製品に存在する深刻なリモートコード実行 (RCE) の脆弱性です。以下に、指定された観点から解説します。

1. 脆弱性の概要

CVE-2022-31199は、Netwrix AuditorのUser Activity Video Recordingコンポーネントに存在する不安全なデシリアライゼーション(CWE-502)の脆弱性です。この脆弱性は、Netwrix Auditorサーバーおよび監視対象システムに展開されているエージェントの両方に影響を及ぼします。基盤となるプロトコルが、検証なしで攻撃者によって制御されたシリアライズ済みオブジェクトを受け入れてしまうことが根本原因です。

1.1 影響

この脆弱性が悪用されると、認証されていないリモートの攻撃者が、影響を受けるホスト上でNT AUTHORITY\SYSTEMユーザーとして任意のコードを実行できる可能性があります。これにより、攻撃者はホストの完全な制御を奪うことができます。エージェントコンポーネントはすべての監視対象エンドポイントで実行されるため、単一の認証されていない攻撃者がAuditorサーバーから監視対象のすべてのシステムに影響を拡大させる可能性があり、組織全体のセキュリティに重大な影響を与えます。機密データへの不正アクセスや、Netwrix Auditorによって監視されているシステムの制御を奪われる可能性があり、Active Directoryの侵害につながることもあります。この脆弱性の悪用には、ユーザーの操作や事前の認証は不要です。

1.2 深刻度

CVE-2022-31199のCVSS v3.1スコアは9.8 (Critical) であり、NVDによって「CRITICAL」と評価されています。この脆弱性はCISAの既知の悪用されている脆弱性カタログ(Known Exploited Vulnerabilities Catalog)に含まれており、実際にランサムウェアキャンペーンで悪用されていることが確認されています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

特定のOSバージョンに限定されず、Netwrix Auditor製品がインストールされている環境が影響を受けます。具体的には、Netwrix Auditorサーバーおよび監視対象システムにインストールされているNetwrix Auditor User Activity Video Recordingエージェントが影響を受けます。

2.2 影響を受ける設定

影響を受けるのは、Netwrix Auditorサーバーのバージョン10.5より前のバージョンです。また、影響を受けるコンポーネントがTCPポート9004で公開されているデプロイが対象となります。この脆弱性は、悪用するために特別な設定、ユーザーの操作、または攻撃者側の特権昇格を必要としません。

3. 影響を受けた時の兆候

Netwrixは、顧客から収集した侵害の痕跡(IOC)を含めるようにセキュリティアドバイザリを更新したと報告されていますが、具体的なIOCの内容は公開されていません。しかし、この脆弱性は実際にTruebotマルウェアの亜種を配布するために悪用され、米国およびカナダの組織から情報を収集・持ち出す行為に使用されたことが確認されています。したがって、Netwrix Auditorがインストールされたシステムで不審なプロセス、ネットワーク通信、またはデータの窃取などの活動が見られる場合、侵害の兆候である可能性があります。

4. 推奨対策

4.1 本対策

最も推奨される恒久的な対策は、Netwrix Auditorをバージョン10.5以降にアップグレードすることです。Netwrix Auditorバージョン10.5では、脆弱なUser Activity Video Recordingコンポーネントが削除されています。アップグレードは、サーバーと展開されているすべてのエージェントの両方に対して実施する必要があります。Netwrixは、特にNetwrix Auditor 10.5.10977.0へのアップグレードを推奨しています。ベンダーの指示に従って更新を適用するか、更新が利用できない場合は製品の使用を中止することが強く推奨されます。

4.2 暫定回避策(緩和策)

Netwrix Auditorシステムをインターネットに直接公開しないようにすることが、暫定的な緩和策として挙げられます。

不明点

影響を受けた時の兆候に関する具体的な技術的なログエントリやファイルシステムの変更など、より詳細な情報は検索結果からは特定できませんでした。

他に解説すべき観点

  • 公開日: CVE-2022-31199は2022年11月8日に公開されました。
  • 積極的な悪用: CISA、FBI、およびカナダサイバーセキュリティセンター(CCCS)は、Netwrix AuditorのRCE脆弱性(CVE-2022-31199)を悪用するマルウェアキャンペーンについて共同で警告を発行しました。2023年5月には、この脆弱性が新しいTruebotマルウェアの亜種を配布し、米国およびカナダの組織から情報を収集・持ち出すために積極的に使用されたことが確認されています。
  • 発見者: この脆弱性はBishop Foxによって発見されました。

参照したサイト

NVDサイト

NVDでCVEの詳細を見る

戻る