557 CVEs Added to CISA’s Known Exploited Vulnerabilities Catalog in 2022
2023/03/06 SecurityWeek — 脆弱性インテリジェンス企業の VulnCheck によると、米国の Cybersecurity and Infrastructure Security Agency (CISA) が管理する Known Exploited Vulnerabilities (KEV) カタログには、約900件の脆弱性が存在するが、そのうちの 557件の CVE は、2022年に追加されたものだという。VulnCheck は CISA の KEV リストの分析を行い、このデータの重要性に関するレポートを発表した。
2022年初頭のカタログには、311件の脆弱性が存在していたが、2022年の末には 868件に達していた。2022年は、平均して毎週 10件以上の悪用脆弱性が、この KEV リストに追加されたことになる。
昨年にリストに追加された CVE のうち、93件は 2022年の CVE 識別子を持っている、それが示すのは、1週間あたり約2件のペースで、新しい脆弱性がアクティブに悪用されたという事実である。
VulnCheck の分析によると、昨年に KEV に追加された脆弱性のうち 22件には、EternalBlue/Shellshock/Heartbleed/EskimoRoll/Dogwalk/SpoolFool/Dirty Pipe/ProxyNotShell/Ripple20 などの名前がついていたという。
CISA がカタログに追加した 2022年の脆弱性は、幅広い製品に影響を与えているが、OS と IoT の占める割合が最も高くなっている。
また、2022年に、このパッチ必須リストに追加されたセキュリティホールの 3分の1以上には、イニシャル・アクセスに悪用される可能性があるという。
CISA の KEV カタログでは、脆弱性を悪用した攻撃の種類については、情報が提供されていない。ただし、VulnCheck のレポートでは、同社独自のデータに基づき、そのような情報が提供されている。
同社によると、2022年の追加分のうち、241件は APT により、122件はランサムウェア・グループにより、69件はボットネットにより悪用されたという。
VulnCheck は、脆弱性が CISA KEV カタログに追加されるまでの期間も分析している。その結果として、この情報を早期警告システムとして、組織が取り扱うのは間違いであると指摘している。
2022年 の CVE のケースでは、10件の脆弱性に関しては、公開された悪用の詳細が明るみに出る前に、あるいは、出た日に追加され、38件は1週間以内に追加されたという。 (古い脆弱性については、この KEV までの時間の測定は無意味である)
VulnCheck は、「KEV カタログは早期警告システムではないが、最初に公開された悪用の詳細が明らかになってから1週間以内に、その情報が提供されている。また、野放し状態で悪用されている脆弱性については、52% の割合で情報されており、きわめて立派だといえる。ただし、その全容を語っているわけではない。2022年に公開された脆弱性の中には、悪用が検知されているが、CISA KEV リストに載っていないものも数多くある」と述べている。
1年間で 20,000件以上も採番される CVE に対して、その全てに対応しようとしても無理があります。もちろん、使用していないソフトウェアは無視するわけですが、それであっても、困難なことに違いありません。そこで、この CISA KEV は、攻撃の実績に基づいて、重要なものから対処していく方法を推奨する、とても現実的な試みだと評価されているわけです。このブログは、そんな CISA KEV のファンなので、こういう記事が出ると、とても嬉しくなります。よろしければ、元データを提供する、VulnCheck レポート The VulnCheck 2022 Exploited Vulnerability Report – A Year Long Review of the CISA KEV Catalog も、ご参照ください。ついでに、CISA KEV に入っていないけど重要だと、VulnCheck の主張を述べるレポート The VulnCheck 2022 Exploited Vulnerability Report – Missing CISA KEV Catalog Entries も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.