CISA が 306件の脆弱性カタログを発行:政府およびインフラに対する悪用を阻止する

CISA shares a catalog of 306 actively exploited vulnerabilities

2021/11/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている 306件の脆弱性のカタログを公開し、それぞれの連邦政府機関に対して、一定の期限内に対処するよう命じる運用指令を発出した。この指令は、連邦政府の情報システムに存在する、すべてのソフトウェアおよびハードウェアを対象としており、そこには、連邦政府の施設内で管理されているもの、および、連邦政府に代わって第三者がホストされているものがある。

このカタログには、Adobe/Apple/Atlassian/Cisco/Google/IBM/Microsoft/Nagios/Netgear/Oracle/Pulse Secure などの、数多くの企業の製品に含まれる脆弱性が掲載されている。

カタログに掲載されている中で、最も古い脆弱性は SAP NetWeaver Application Server の CVE-2010-5326 RCE であり、その期間は 2010年まで遡る。また CISA は、それぞれの民間機関に対して、2021年に公開された全ての CVE に関して、2021年11月17日までに対処するよう命じ、それより古い脆弱性は 2022年5月3日までに修正すべきとしている。

同組織は、「これまでに、官民の組織に対して悪用された脆弱性は、あらゆる種類の悪意のサイバー・アクターが頻繁に利用する攻撃手段だ。これらの脆弱性は、政府機関や連邦企業に大きなリスクをもたらしてきた。連邦政府の情報システムを保護し、サイバー・インシデントを減少させるために、悪用された既知の脆弱性を積極的に修正することが不可欠だ」と、Department of Homeland Security (DHS) が発表した指令を読み上げている。

このカタログには、連邦企業に重大なリスクをもたらしてきた、脆弱性が掲載されている。2021年以前に割り当てられた CVE(Common Vulnerabilities and Exposures)ID を持つ脆弱性については 6カ月以内に、また、それ以前の脆弱性については 2週間以内に修正することが求められている。これらのデフォルトのタイムラインが、企業にとって重大なリスクとなる場合には、調整することが可能となる。

CISA の Director である Jen Easterly は、「このカタログの公開は、民間企業にとってもチャンスである。米国 CISA が共有するリストに含まれる、それぞれの脆弱性に対応してシステムを見直す必要があることは明らかだ。我々の敵は毎日のように、既知の脆弱性を利用して連邦政府機関を狙っている。連邦政府のサイバー・セキュリティの運用責任者である我々は、悪意のサイバー・アクターが積極的に利用していることが判明している特定の脆弱性を緩和するために、指令権限を用いてサイバー・セキュリティの取り組みを推進している。この指令は、連邦民間機関が脆弱性管理を改善するために直ちに行動を起こし、サイバー攻撃を劇的に減らすための明確な要件を示している。また、この指令は連邦政府の民間機関に適用されるものだが、重要インフラ企業などの組織が、同じ脆弱性により標的にされていることも判明している。したがって、すべての組織が、この指令を採用し、CISA の公開カタログに掲載されている脆弱性を優先的に緩和することが重要である」と述べている。

この CISA の Known Exploited Vulnerabilities Catalog は良いですね。長いページですが、一番下までスクロールすると、CSV ファイルのダウンロード・リンクもあります。それだと、306件ではなく 292件ですが 🙂 以前に、「オンプレ・データベース:企業の 50% が深刻な脆弱性を放置している」や、「FBI 警告:この2年間の最凶脆弱性 Top-12」といった記事をポストしていますが、なかなか消えない脆弱性に対して、CISA は危機感を高めているのでしょう。これまでの対応に漏れがないか、ぜひ、ご確認ください。

%d bloggers like this: