FBI reveals top targeted vulnerabilities of the last two years
2021/07/28 BleepingComputer — 本日に、米国と英国とオーストラリアのサイバー・セキュリティ機関が発表した、共同セキュリティ・アドバイザリでは、過去2年間で頻繁に標的とされた脆弱性の、Top-12 が明らかにされている。
Cybersecurity and Infrastructure Security Agency (CISA)
Australian Cyber Security Centre (ACSC)
United Kingdom’s National Cyber Security Centre (NCSC)
Federal Bureau of Investigation (FBI)
また、これらの機関は、民間企業や公的機関が、深刻な脆弱性に対処するための緩和策も発表している。CISA の Executive Assistant Director for Cybersecurity である Eric Goldstein は、「コラボレーションは CISA の重要な活動の1つであり、ACSC / NCSC / FBI と協力して、官民の組織が優先的にパッチを適用すべき脆弱性にフォーカスすることで、脅威アクターに悪用されるリスクを最小限に抑えることができた」と述べている。
米国政府が収集したデータによると、昨年に標的となった上位の脆弱性の大半は、2020年に入ってから開示されたものであり、パンデミック始まってからのリモート・ワーク移行に起因すると思われる、大きなトレンドが見られるという。CISA は、「仮想プライベート・ネットワーク (VPN) やクラウド・ベースの環境などの、リモート・ワーク・オプションの急速な変化と利用の増加は、定期的なソフトウェア・パッチの適用/維持に苦労しているサイバー・ディフェンダーたちに、さらなる負担をかける可能性がある」と述べている。
脅威アクターたちも、リモート・ワーキングへの移行を狙っているため、2020年に最も日常的に標的とされた4つの脆弱性は、在宅勤務 (WFH: work-from-home) や、VPN、クラウドベースのテクノロジーに影響を及ぼすものだった。さらに CISA は、「2021年も継続して、サイバー攻撃者たちは境界型デバイスの脆弱性を標的にしている。2021年に最も悪用された脆弱性の中には、Microsoft / Pulse / Accellion / VMware / Fortinet に関連するものがある」と付け加えている。このアドバイザリに示されるように、さまざまな業界セクターの、幅広いターゲットに影響を与える、公知のセキュリティ・バグ (古いものが多い) を、脅威アクターたちは悪用し続ける。
CVE-2019-19781 : Citrix : arbitrary code execution
CVE 2019-11510 : Pulse : arbitrary file reading
CVE 2018-13379 : Fortinet : path traversal
CVE 2020-5902 : F5- Big IP : remote code execution (RCE)
CVE 2020-15505 : MobileIron : RCE
CVE-2017-11882 : Microsoft : RCE
CVE-2019-11580 : Atlassian : RCE
CVE-2018-7600 : Drupal : RCE
CVE 2019-18935 : Telerik : RCE
CVE-2019-0604 : Microsoft : RCE
CVE-2020-0787 : Microsoft : elevation of privilege
CVE-2020-1472 : Netlogon : elevation of privilege
CISA / ACSC / NCSC / FBI は、世界中の公的機関および民間企業に対して、可能な限り早急にシステムにパッチを適用/更新することで、攻撃対象を減らすよう勧告している。共同勧告には、「世界の企業は、利用可能なパッチをシステムに適用し、集中的なパッチ管理システムを導入することで、この報告書に記載されている脆弱性を軽減することが可能だ」と記されている。また、すぐにパッチを適用できない場合や、すぐに適用する計画が立てられない場合は、侵害の兆候を確認した上で、インシデント対応および復旧計画を、ただちに開始する必要がある。
過去2年間の攻撃で日常的に悪用されている CVE の完全なリストは、本日未明に発表された共同勧告に掲載されている。また、これらの4つの機関は、勧告に記載されている各脆弱性について、侵害の指標、推奨される緩和策、検知方法、パッチへのリンクを公開している。NCSC の Director for Operations である Paul Chichester は、「本日に公開された勧告は、VPN ゲートウェイ機器の未パッチ化など、最も一般的な脆弱性を修正する力を、すべての組織に提供するものだ。我々は、国際的なパートナーと協力して、被害を与えようとする者たちがもたらす、脅威に対する認識を高めていく」と述べている。先週には MITRE も、この2年間に私たちを悩ませた、今年の CWE Top-25 リストを発表している。
この記事ですが、原題は「Top-30」となっているのですが、リンク先などを確認しても、数が合いませんでした。そのため、記事に記されているとおり、タイトルを「Top-12」に変更しました。CVE の 2019 や 2020 というのは、その脆弱性が公表された年を示すもので、だいたいが年明け早々に切り替わります。したがって、これらの脆弱性は、2018年〜2020年に公表されたものです。そんな背景があるので、CISA も ACSC も NCSC も FBI も、みんな揃って早くパッチを適用してほしいと言っているわけです。お確かめください。
IoT OT Security News 