Cybersecurity agencies reveal top exploited vulnerabilities of 2021
2022/04/27 BleepingComputer — 世界中のサイバー・セキュリティ機関が NSA/FBI と共同で、2021年に脅威アクターが日常的に悪用した脆弱性の、Top-15 リストを発表した。共同アドバイザリーにおいて、これらのサイバー・セキュリティ機関は、一連のセキュリティ欠陥に対して速やかにパッチを適用し、攻撃対象領域を減らすためのパッチ管理システムを導入するよう促している。
世界的な傾向として、悪意の行為者たちは、新たに公開された脆弱性を狙ったエクスプロイトを用いて、電子メール/VPN サーバーなどの、インターネットに面したシステムに攻撃を集中させている。
CISA のアドバイザリーには、「米国/英国/カナダ/オーストラリア/ニュージーランドのサイバー・セキュリティ当局は、2021年の悪意のサイバー行為者たちは、世界の公共/民間の組織などの幅広いターゲットセットに対して、新たに開示された深刻なソフトウェア脆弱性を積極的に悪用した評価する」と記されている。
つまり、2021年を通じて、悪意の行為者とセキュリティ研究者の双方が、悪用された Top-15 脆弱性の大半に対して、最初の開示から2週間以内に PoC エクスプロイトをリリースしたことにも、原因があるのかもしれない。しかし、その一方で攻撃者たちは、何年も前にパッチが適用された古い脆弱性も悪用しており、パッチが適用可能であってもシステムを更新しない組織の存在が浮き彫りにされた。
この、最も悪用されたセキュリティ欠陥 Top-15 リストは、National Vulnerability Database のエントリおよび、関連するマルウェアへのリンクと伴に、以下から入手できる。
CVE | Vulnerability | Vendor and Product | Type |
CVE-2021-44228 | Log4Shell | Apache Log4j | Remote code execution (RCE) |
CVE-2021-40539 | Zoho ManageEngine AD SelfService Plus | RCE | |
CVE-2021-34523 | ProxyShell | Microsoft Exchange Server | Elevation of privilege |
CVE-2021-34473 | ProxyShell | Microsoft Exchange Server | RCE |
CVE-2021-31207 | ProxyShell | Microsoft Exchange Server | Security feature bypass |
CVE-2021-27065 | ProxyLogon | Microsoft Exchange Server | RCE |
CVE-2021-26858 | ProxyLogon | Microsoft Exchange Server | RCE |
CVE-2021-26857 | ProxyLogon | Microsoft Exchange Server | RCE |
CVE-2021-26855 | ProxyLogon | Microsoft Exchange Server | RCE |
CVE-2021-26084 | Atlassian Confluence Server and Data Center | Arbitrary code execution | |
CVE-2021-21972 | VMware vSphere Client | RCE | |
CVE-2020-1472 | ZeroLogon | Microsoft Netlogon Remote Protocol (MS-NRPC) | Elevation of privilege |
CVE-2020-0688 | Microsoft Exchange Server | RCE | |
CVE-2019-11510 | Pulse Secure Pulse Connect Secure | Arbitrary file reading | |
CVE-2018-13379 | Fortinet FortiOS and FortiProxy | Path traversal |
脆弱性対策と悪用に関する追加情報
米国/英国/カナダ/オーストラリア/ニュージーランドのサイバー・セキュリティ当局は、Accellion File Transfer Appliance (FTA)/Windows Print Spooler/Pulse Secure Pulse Connect Secure に影響を与えるものなど、2021年の脅威アクターたちが日常的に悪用した、追加のセキュリティ脆弱性 21件も特定している。これら共同アドバイザリーには、上記の最も悪用された脆弱性に関連するリスクを、低減するために有効な緩和策も含まれている。
CISA と FBI は、Australian Cyber Security Centre (ACSC)/United Kingdom’s National Cyber Security Centre (NCSC) と共同で、2016年〜2019年に最も悪用された脆弱性 Top-10 と、2020年に日常的に悪用された脆弱性も発表している。また、2021年11月に MITRE は、2021年にハードウェアを悩ませていた、プログラミング/デザイン/アーキテクチャの脆弱性と、過去2年を通じてソフトウェアを悩ませていた最も危険な脆弱性 Top-25 を共有した。
CISA の Director である Jen Easterly は、「悪用が可能な脆弱性へと、脅威アクターたちは戻ってくることを認識している。つまり、深刻な脆弱性は何度でもターゲットにされ、それらに対処しない組織があれば、いつまでも攻撃が続くことを意味する。CISA とパートナーたちは、最も悪用された脆弱性が公共/民間のネットワークにもたらすリスクを強調するために、このアドバイザリーを発表している。すべての組織が脆弱性の管理を実践し、悪用されている脆弱性に対するリスクを軽減するための行動を取ることを、強く推奨する」と述べている。
セキュリティを担送している方々にとっては、イヤというほど目にし、記憶に刷り込まれてしまったものばかりですね。とは言え、まだ未対応のものも残っているかもしれませんので、これを機に、再確認するのも良いでしょう。今回は、NSA と FBI が主体となる警告のようですが、CISA も Known Exploited Vulnerabilities という枠組みで、悪用が確認されている脆弱性を追いかけ、公表しています。よろしければ、CISA+KEV で検索も、ご利用ください。