OWASPは仮想パッチの適用について、「既知の脆弱性の悪用を防ぐセキュリティポリシーの実行レイヤー」と定義しています。Catoは、Catoシングルパスクラウドエンジン(SPACE)のIPSレイヤーを通じて、仮想パッチの適用を実行します。Catoのエキスパートたちが、お客様の関与を一切必要とすることなく、新規のIPSルールをデプロイして新たなCVEに素早く対応します。
Name
CVE
Severity Score
Detect to Protect
Description
Apache Struts 2 Webフレームワークのファイルアップロードロジックの欠陥により、リモートでコードが実行可能なため、任意のファイルがアップロードされてコードが実行されてしまいます。
Detection
POCの公開 – 2023年12月12日
Opt-in Protection
2023年12月12日
Global Protection
2023年12月13日
Name
CVE
Severity Score
Detect to Protect
Description
インターネットに公開されているCiscoのデバイスで、IOS XEが実行され、HTTP Web UI機能が実行されている場合に、権限昇格が可能になります。
Detection
POCの公開 – 2023年10月30日午後8:30(UTC)
Opt-in Protection
2023年10月31日午後8:00(UTC)
Global Protection
2023年11月1日午後8:00(UTC)
Name
CVE
Severity Score
Detect to Protect
Description
SOCKS5プロキシハンドシェイク中のホスト名解決にヒープバッファーオーバーフローの脆弱性が存在するため、脆弱なlibcurlの実装により、悪質なコードが実行される可能性があります。
Detection
2023年10月11日午前6:30(UTC)
Opt-in Protection
2023年10月11日午後8:00(UTC)
Global Protection
2023年10月12日午前9:30(UTC)
Name
CVE
Severity Score
Detect to Protect
Description
Atlassian Confluence ServerとData Centerのオンプレミス版に存在する権限昇格の脆弱性で、攻撃者が脆弱なエンドポイントを悪用して不正な管理者ユーザーを作成し、サーバーへのアクセス権を取得することを可能にします。
Detection
2023年10月4日午後1:00(UTC)
Opt-in Protection
2023年10月5日午前11:00(UTC)
Global Protection
2023年10月6日午後0:00(UTC)
Name
CVE
Severity Score
Detect to Protect
Description
InProgress社のマネージドファイル転送(MFT)ソリューション「MOVEit Transfer」に潜むSQLインジェクションの脆弱性により、攻撃者がSQLコマンドを実行し、RCEを可能とする専用のバックドアをインストールすることが可能。
Detection
2023年6月6日午前8:00
Opt-in Protection
2023年6月8日午後4:30
Global Protection
2023年6月9日午後2:00
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Outlookの権限昇格の脆弱性 * ゼロタイム対応:アウトバウンドのSMBトラフィックはCatoのファイアフォールがデフォルトでブロック
Detection
2023年3月3日午前8:02
Opt-in Protection
2023年3月3日午前8:02
Global Protection
2023年3月3日午前8:02
Name
CVE
Severity Score
Detect to Protect
Description
ProxyNotShellエクスプロイトチェーンの一部で、MS Exchangeの一部バージョンがRCE(リモートコード実行)に対する脆弱性を有する。
Detection
2022年12月21日午後5:00
Opt-in Protection
2022年12月21日午後11:29
Global Protection
2022年12月22日午後4:45
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Exchange Serverの特権昇格の脆弱性
Detection
2022年9月30日午後1:19
Opt-in Protection
2022年9月30日午後11:25
Global Protection
2022年10月2日午後0:40
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Windowsサポート診断ツール(MSDT)に存在するリモートコード実行の脆弱性
Detection
2022年8月10日午前11:22
Opt-in Protection
2022年8月11日午後6:38
Global Protection
2022年8月12日午後4:16
Name
CVE
Severity Score
Detect to Protect
Description
Apache SparkのUIでは、構成オプション「spark.acls.enable」を通じて、ACL(アクセス制御リスト)を有効にできる可能性が存在します。これは、認証フィルターを使用して、ユーザーにアプリケーションの表示権限または変更権限があるかどうかをチェックする機能です。ACLが有効になると、HttpSecurityFilterのコードパスにより、 誰かが任意のユーザー名を提供することでなりすましができる状態となります。その場合、悪意のあるユーザーが権限チェック関数(入力値に基づいて最終的にUnixシェルコマンドを構築・実行する関数)に到達できる可能性があります。その結果、現在Sparkを実行しているユーザーとして、任意のシェルコマンドが実行されます。
Detection
2022年7月19日午前10:06
Opt-in Protection
2022年7月19日午後7:25
Global Protection
2022年7月20日午後5:23
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Windowsサポート診断ツール(MSDT)に存在するリモートコード実行の脆弱性
Detection
2022年5月31日午前8:43
Opt-in Protection
2022年5月31日午後10:06
Global Protection
2022年6月1日午後5:00
Name
CVE
Severity Score
Detect to Protect
Description
Spring Cloud Functionのバージョン3.1.6、3.2.2およびそれより古いサポート対象外のバージョンにおいて、 ルーティング機能を使用する際に、ユーザーが特別に細工したSpELをルーティング表現として提供することができ、その結果、リモートでコードが実行され、ローカルリソースにアクセスされる可能性があります。
Detection
2022年3月30日午後6:00
Opt-in Protection
2022年3月30日午後11:09
Global Protection
2022年4月1日午後7:54
Name
CVE
Severity Score
Detect to Protect
Description
Apache Log4j2のバージョン2.0-beta9から2.15.0(セキュリティリリース2.12.2、2.12.3、2.3.1を除く)において、構成、ログメッセージ、パラメーターで使用されるJNDI機能は、攻撃者がLDAPやその他のJNDI関連のエンドポイントの制御を奪った場合に防御することができません。ログメッセージやログメッセージのパラメーターの制御が可能となった攻撃者は、メッセージの検索・置換機能が有効になっている場合に、LDAPサーバーから読み込まれる任意のコードを実行できます。
Detection
2021年12月10日午後8:45
Opt-in Protection
2021年12月11日午前3:16
Global Protection
2021年12月11日午後1:47
Name
CVE
Severity Score
Detect to Protect
Description
Apache HTTP Server 2.4.49のパス正規化処理に加えられた変更に欠陥が見つかりました。攻撃者はパストラバーサル攻撃を使って、URLをAlias(または類似の)ディレクティブよって構成されたディレクトリ以外のファイルにマッピングできる可能性があります。これらのディレクトリの外にあるファイルが、通常のデフォルトの構成である「require all denied」によって保護されていない場合、リクエストが成功する可能性があります。エイリアスが設定されたパスに対してCGIスクリプトも有効になっている場合は、リモートコードの実行が許可される可能性があります。
Detection
2021年10月6日午前7:19
Opt-in Protection
2021年10月7日午後2:01
Global Protection
2021年10月8日午前0:05
Name
CVE
Severity Score
Detect to Protect
Name
CVE
Severity Score
Detect to Protect
Description
vCenter Serverには、Analyticsサービスに任意のファイルをアップロードできる脆弱性が存在します。vCenter Serverの443番ポートにネットワークからアクセスできる悪意のある行為者が、この問題を悪用して、特別に細工されたファイルをアップロードすることで、vCenter Server上でコードを実行できる可能性があります。
Detection
2021年9月23日午前8:36
Opt-in Protection
2021年9月23日午後6:23
Global Protection
2021年9月26日午後6:37
Name
CVE
Severity Score
Detect to Protect
Description
Windows Printスプーラーの特権昇格の脆弱性
Detection
2021年7月5日午後0:16
Opt-in Protection
2021年7月11日午前10:52
Global Protection
2021年7月11日午後6:44
Name
CVE
Severity Score
Detect to Protect
Description
The vSphere Client (HTML5) contains a remote code execution vulnerability due to lack of input validation in the Virtual SAN Health Check plug-in which is enabled by default in vCenter Server. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server
Detection
May 31, 2021 at 10:55 AM
Opt-in Protection
June 1, 2021 at 9:47 PM
Global Protection
June 3, 2021 at 10:24 PM
Name
CVE
Severity Score
Detect to Protect
Description
On specific versions of BIG-IP and BIG-IQ , the iControl REST interface has an unauthenticated remote command execution vulnerability
Detection
Mar 20th, 2021 at 11:43 PM
Opt-in Protection
Mar 23rd, 2021 at 12:12 PM
Global Protection
March 23, 2021 at 7:21 PM
Name
CVE
Severity Score
Detect to Protect
Description
Microsoft Exchange Server Remote Code Execution Vulnerability
Detection
March 3, 2021 at 11:03 AM
Opt-in Protection
March 4, 2021 at 10:48 PM
Global Protection
March 7, 2021 at 1:26 PM
Name
CVE
Severity Score
Detect to Protect
Description
The vSphere Client (HTML5) contains a remote code execution vulnerability in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue to execute commands with unrestricted privileges on the underlying operating system that hosts vCenter Server.
Detection
February 25, 2021 at 10:06 AM
Opt-in Protection
February 25, 2021 at 7:16 PM
Global Protection
February 26, 2021 at 12:03 PM
新たに登場するCVEからネットワークを守るために必要なプロセス、リソース、時間に悩まされているお客様が多くいらっしゃいます。その理由がこちらです。
ベンダーがCVEを調査して、シグネチャを開発する必要がある
お客様がメンテナンス期間中にシグネチャをテストする必要がある
テストをするお客様は、シグネチャがトラフィックに悪影響したり、パフォーマンスやユーザー体験に影響を与えたりしていないことを確認しなければならない
テストが成功した場合のみ、シグネチャを有効化することができる
このプロセスには多くのリソースが必要で、多くのお客様が不正侵入防止システム(IPS)を検知モードに移行したり、最適なセキュリティ体制を維持できなくなる原因となっています。こうした現実があるため、攻撃者がパッチ未適用のCVE(古いものを含む)を悪用しようとする中で、セキュリティ侵害のリスクが高まります。
Catoの仮想パッチ適用プロセスは4つのステップで構成されており、Cato セキュリティチームによって実行されます。
評価
CVEの対象範囲を評価して 脆弱性を調査。 特に、このCVEを使った攻撃が実際に 発生しているかどうかを 調査します。
どのシステムが影響を受け、 脅威アクターがどのように攻撃を 実行するかを理解します。
開発
脆弱性に仮想パッチを適用するため、 新しいIPSルールを作成します。
トラフィックのメタデータに 対するバックテスティングに基づき 誤検知を排除します。
オプトインによる保護
「シミュレートモード」で 仮想パッチを選択的にデプロイします。
特定のお客様を対象に オプトインで防御を有効にします。
全面保護
仮想パッチを防御モードに 移行します。
すべてのお客様とトラフィックを対象に仮想パッチを適用します。
このプロセスはお客様のリソースを一切関与させることなく実行され、お客様の業務をリスクに晒すこともありません。