CISA alerts federal agencies of ancient bugs still being exploited
2022/01/11 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、悪用が検知されている脆弱性のリストを更新し、米国企業への攻撃手段として頻繁に利用されている、15件のセキュリティ問題を新たに追加した。今回のリストに追加された脆弱性は、それぞれの深刻度と公開日を持ち、中程度のリスクと評価されているものもあれば、2013年に公開されたものもある。
これらの脆弱性は、ネットワーク上での脅威アクターの足場および、古くてパッチが適用されていないデバイス、インターネット上でのデバイスの露出などの要因と相まって、深刻なセキュリティ・ギャップとなり、敵対者にチャンスを提供している。
リストに掲載された旧来のバグ
CISA は、「既知の脆弱性カタログに新たに追加されたセキュリティ問題が、現在進行中の攻撃に利用されている証拠を発見し、新しいリストを作成した」と述べている。
15件のエントリーのうち、最近のものは 2021年が4件、2020年が1件のみである。残りは2年以上前のもので、最も古いものは 2013年となる。それは、CVE-2013-3900 として追跡されている WinVerifyTrust 関数のバグであり、XP SP2 から Server 2012までの Windows バージョンに影響する。
もう1つの古いものは 2015年の、IBM WebSphere Application Server and Server Hyervisor Edition におけるリモートコード実行の脆弱性 (CVE-2015-7450)であり、深刻度を示す CVSS 値は 9.8 である。
以下の表に示される脆弱性は、CISA から連邦政府機関へ向けて、今月中の修正が求められているもので、活発な脅威に対する防御力を高める必要がある。CISA では、ベンダーの指示に従い、利用可能なアップデートの適用を推奨している。
CVE identifier | Description | Remediation due date | NVD severity rating |
CVE-2021-22017 | VMware vCenter Server Improper Access Control Vulnerability | 1/24/2022 | 5.3 (medium) |
CVE-2021-36260 | Hikvision Improper Input Validation Vulnerability | 1/24/2022 | 9.8 (critical) |
CVE-2021-27860 | FatPipe WARP, IPVPN, and MPVPN Privilege Escalation vulnerability | 1/24/2022 | 8.8 (high) |
CVE-2020-6572 | Google Chrome prior to 81.0.4044.92 Use-After-Free Vulnerability | 7/10/2022 | 8.8 (high) |
CVE-2019-1458 | Microsoft Win32K Elevation of Privilege Vulnerability | 7/10/2022 | 7.8 (high) |
CVE-2019-7609 | Elastic Kibana Remote Code Execution Vulnerability | 7/10/2022 | 10.0 (critical) |
CVE-2019-2725 | Oracle WebLogic Server, Injection Vulnerability | 7/10/2022 | 9.8 (critical) |
CVE-2019-9670 | Synacor Zimbra Collaboration Suite Improper Restriction of XML External Entity Reference Vulnerability | 7/10/2022 | 9.8 (critical) |
CVE-2019-10149 | Exim Mail Transfer Agent (MTA) Improper Input Validation Vulnerability | 7/10/2022 | 9.8 (critical) |
CVE-2019-1579 | Palo Alto Networks PAN-OS Remote Code Execution Vulnerability | 7/10/2022 | 8.1 (high) |
CVE-2018-13383 | Fortinet FortiOS and FortiProxy Improper Authorization Vulnerability | 7/10/2022 | 6.5 (medium) |
CVE-2018-13382 | Fortinet FortiOS and FortiProxy Improper Authorization Vulnerability | 7/10/2022 | 7.5 (high) |
CVE-2017-1000486 | Primetek Primefaces Application Remote Code Execution Vulnerability | 7/10/2022 | 9.8 (critical) |
CVE-2015-7450 | IBM WebSphere Application Server and Server Hy Server Hypervisor Edition Remote Code Execution Vulnerability | 7/10/2022 | 9.8 (critical) |
CVE-2013-3900 | Elastic Kibana Remote Code Execution Vulnerability | 7/10/2022 | N/A |
CISA が作成した、この既知の脆弱性カタログは、セキュリティ・リスクの低減と脆弱性管理の改善を目的とした、Binding Operational Directive (BOD) 22-01 の一部となる。
この指令に基づき、連邦政府の民間機関は、カタログに掲載されているセキュリティ上の問題点をシステム上で特定し、それらを修正しなければならない。このカタログは、主に連邦政府機関を対象としているが、あらゆる種類の組織にとって、サイバーリスクを低減するための最適な参考資料となる。
2021年11月に「CISA が 306件の脆弱性カタログを発行:政府およびインフラに対する悪用を阻止する」という記事をポストしています。そこから参照されている、CISA : Known Exploited Vulnerabilities Catalog と比較してみたら、この記事の 15件の脆弱性が追加されていました。これらのリストを活用して、運用中のシステムをチェックしてみてください。