FBI, CISA, and NSA reveal top exploited vulnerabilities of 2022
2023/08/03 BleepingComputer — Five Eyes のサイバー・セキュリティ当局は、CISA/NSA/FBI と共同で、2022年に最も悪用された 12件の脆弱性リストを発表した。米国/英国/豪州/カナダ/ニュージーランドの5カ国からなるサイバー・セキュリティ当局は、世界中の組織に対し、これらのセキュリティ上の脆弱性に対処し、パッチ管理システムを導入して、潜在的な攻撃にさらされる機会を最小限に抑えるよう呼びかけた。2022年に脅威アクターたちは、新たに公表された脆弱性よりも、古いとされる脆弱性に対して、攻撃を集中させる傾向を強め、特にパッチが適用されずにインターネット上に露出したままのシステムを標的としてきた。
この共同アドバイザリには、「2022年にサイバー攻撃者たちは、新しく公表された脆弱性よりも古い脆弱性を頻繁に悪用しており、インターネットに面したパッチの適用されていないシステムを標的としていた。多くのソフトウェア脆弱性または脆弱性チェーンについて、概念実証 (PoC) コードが公開されており、より広範なサイバー攻撃者による悪用が促進された可能性が高い」と記されている。
CVE (Common Vulnerabilities and Exposures) プログラムは、2022年末までに 25,000件以上の新規のセキュリティ脆弱性を公表している。しかし、同年の攻撃で悪用された上位 12件の脆弱性のリストに入った脆弱性は、わずか5件であった。
以下は、2022年に最も悪用された 12のセキュリティ脆弱性のリストと、NVD (National Vulnerability Database) のエントリへの関連リンクだ。
| CVE | Vendor | Product | Type |
| CVE-2018-13379 | Fortinet | FortiOS and FortiProxy | SSL VPN credential exposure |
| CVE-2021-34473 (Proxy Shell) | Microsoft | Exchange Server | RCE |
| CVE-2021-31207 (Proxy Shell) | Microsoft | Exchange Server | Security Feature Bypass |
| CVE-2021-34523 (Proxy Shell) | Microsoft | Exchange Server | Elevation of Privilege |
| CVE-2021-40539 | Zoho | ADSelfService Plus | RCE/Auth Bypass |
| CVE-2021-26084 | Atlassian | Confluence Server/Data Center | Arbitrary code execution |
| CVE-2021- 44228 (Log4Shell) | Apache | Log4j2 | RCE |
| CVE-2022-22954 | VMware | Workspace ONE | RCE |
| CVE-2022-22960 | VMware | Workspace ONE | Improper Privilege Management |
| CVE-2022-1388 | F5 Networks | BIG-IP | Missing Authentication |
| CVE-2022-30190 | Microsoft | Multiple Products | RCE |
| CVE-2022-26134 | Atlassian | Confluence Server/Data Center | RCE |
1位は CVE-2018-13379 で、Fortinet が 2019年5月に修正した SSL VPN の脆弱性だ。この脆弱性を悪用した、国家に支援されるハッカーたちは、米国政府の選挙支援システムへと侵入していった。
8月3日に公開されたアドバイザリでは、組織への侵害で多用された脆弱性について、さらに 30件が紹介されている。また、これらの脆弱性を悪用した攻撃への露出を、セキュリティ・チームが減らすための方法についても情報が掲載されている。
アドバイザリの発行機関は、システムを保護し、侵害のリスクを低減するために、ベンダー/設計者/開発者/エンドユーザー組織などに対し、アドバイザリに詳述されている緩和策を実施するよう求めている。
6月に MITRE は、過去2年間に最も蔓延した、危険なソフトウェアの脆弱性 25件のリストを発表している。同機関は 2021年にも、最も危険なプログラミング/設計/アーキテクチャのハードウェア・セキュリティの脆弱性のリストを発表している。また、CISA/FBI は、2016〜2019年にかけて、最も悪用されたセキュリティ脆弱性の Top-10 を発表した。
NSA の Cybersecurity Directorate である Neal Ziring は、「ユーザー組織が、パッチ未適用のソフトウェアやシステムを使い続けているため、脅威アクターが狙う隙が生じる。古い脆弱性は、脅威アクターが機密データにアクセスするための、低コストかつインパクトの大きい手段を提供する可能性がある」と警告している。
2023年も半分が過ぎたところで、このようなレポートが Five Eyes から提供されたとのことです。複数の国にまたがる調査の結果だと思うので、時間が掛かるのもしかたないのでしょう。それにしても、Top-12 のうちの7件が、2021年以前のものだとは、ちょっと驚きです。さまざまな組織から、危険な脆弱性に関する警告が出ているはずですが、なかなか対処されないというケースが多いのでしょう。
IoT OT Security News 
You must be logged in to post a comment.