CISA KEV


2021年11月に Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用される脆弱性のリスクを軽減することを目的とした、義務的運用指令 (Binding Operations Directive 22-01) を発表しました。この指令には、CISA が管理する、すでに悪用されている KEV (Known Exploited Vulnerability Catalog) が添付されており、連行政府政府機関に対する、強制的な是正期限が記載されています。

この KEV に記載される脆弱性は、現実のサイバー攻撃で使われたものであり、かつ、CVE が割り振られているものとなります。そして、以下のチャートにある Vuldb のデータを見ると、毎年のように相当数の CVE が発行されている状況が分かります。つまり、パッチを当てるべき脆弱性の優先順位が問題となりますが、CISA KEV を参考にすると、効率よく判断できるようになるわけです。もちろん、それぞれのユーザー組織ごとに、使用しているシステムやアプリが異なるため、それを反映したソフトウェア資産リスト必要になりますが、CISA KEV との組み合わせは妥当なものと言えるはずです。

Vuldb

以下は、このブログで取り上げた、CISA KEV に関連するトピックの一覧です。この説明文を書いている 2023年1月の時点で、KEV に掲載される脆弱性は 800件強という状況です。今後も、記事が見つかれば、ここに追加していく予定です。また、行頭に [●] が付いているものは、関連トピックとなります。

なお、KEV に掲載されている個々の脆弱性を探す際には、CISA サイトで [ベンダー名] や [日付 yyyy-mm-dd] で検索してください。また、[日付] で検索する際には、[Date Added] と [Due Date] がヒットするので、ご注意ください。

CISA KEV 警告 23/01/17:CentOS CWP の深刻な脆弱性 CVE-2022-44877 を追加

CISA KEB 警告 23/01/10:Exchange の脆弱性 CVE-2022-41080 などを追加

● CISA KEV の1年:22/12/30 悪用脆弱性の半分は Adobe/Apple/Cisco/MS

CISA KEV 警告 22/12/29:JasperReports の古い脆弱性2件を追加

CISA KEV 警告 22/12/14:Veeam Backup and Replication などの脆弱性を追加

CISA KEV 警告 22/12/02:Google Chrome の深刻な脆弱性 CVE-2022-4262

● CISA Strategic Plan 2023-25:22/11/30 防御から回復力へ舵を切る

CISA KEV 警告 22/11/28:Oracle Fusion Middleware の深刻な脆弱性を追加

● CISA が SSVC を公開:22/11/11 パッチの優先順位とディシジョン・ツリー

● CISA の新指令 BOD 23-01:22/10/04 IT 資産の可視化/脆弱性検出を強化

CISA KEV 警告 22/10/20:Linux Kernel の脆弱性 CVE-2021-3493 を追加

CISA KEV 警告 22/09/30:Microsoft Exchange と Atlassian Bitbucket を追加

CISA KEV 警告 22/09/22:Zoho ManageEngine 脆弱性 CVE-2022-35405 を追加

CISA KEV 警告 22/09/15:Trend Micro Apex One 脆弱性や Stuxnet 攻撃に対応

CISA KEV 警告 22/09/14:​​Windows/iOS の脆弱性が悪用リストに追加

CISA KEV 警告 22/09/08:Chrome/ D-Link/QNAP などの 12件の脆弱性が追加

CISA KEV 警告 22/08/25:​​Delta/Apache/Grafana/Apple など 10件を追加

CISA KEV 警告 22/08/22:PAN-OS の深刻な脆弱性 CVE-2022-0028 を追加

CISA KEV 警告 22/08/18:SAP などの7つの深刻な脆弱性を追加

CISA KEV 警告:22/08/09 UnRAR の欠陥と DogWalk を追加

CISA KEV 警告:22/08/04 Zimbra Email の CVE-2022-27924 を追加

CISA KEV 警告:22/06/27 Linux の深刻な脆弱性 PwnKit CVE-2021-4034 を追加

CISA KEV 警告:22/06/07 Meeting Owl Pro の脆弱性を追加

CISA KEV 警告:22/05/24 Cisco/Android などの 41 件を追加

CISA KEV 警告:22/05/16 Spring/Zyxel の深刻な欠陥を追加

CISA KEV 警告:22/05/10 F5 BIG-IP の深刻な脆弱性を追加

CISA KEV 警告:22/04/25 WSO2/Microsoft/Linux/Jenkins などを追加

CISA KEV 警告:22/04/19 Windows Print Spooler バグなどを追加

CISA KEV 警告:22/04/15:VMware や Chrome の脆弱性を追加

CISA KEV 警告:22/04/11 WatchGuard アプライアンスの脆弱性を追加

CISA KEV 警告:22/04/04 Spring4Shell などを脆弱性リストに追加

CISA KEV 警告:22/03/31 Sophos ファイアウォールを含む8件を追加

CISA KEV 警告:22/03/28 Chrome/Redis などの 32 件を追加

CISA KEV 警告:22/03/25 Windows/Mitel などの 66 件を追加

CISA KEV 警告:22/03/15 Microsoft を含む 15件を追加

● CISA の脆弱性カタログ:22/03/11 悪用という現実に基づく素晴らしい出発点

CISA KEV 警告:22/03/07 Firefox などの 11件の脆弱性を追加

CISA KEV 警告:22/03/03 新旧の脆弱性 95 件を追加

CISA KEV 警告:22/02/25 Zimbra の XSS など4件が追加

CISA KEV 警告:22/02/22 Zabbix サーバーの脆弱性を悪用リストに追加

CISA KEV 警告:22/02/15 Google Chrome と Adobe Magento を追加

CISA KEV 警告:22/02/10 Windows SAM/SMBv3/D-Link など 15件を追加

CISA KEV 警告:22/08/18 SAP テクノロジー・スタックの深刻な脆弱性を追加

CISA KEV 警告:22/02/04 Windows の脆弱性 CVE-2022-21882 を追加

CISA KEV 警告:22/01/28 Apple/SonicWall などの脆弱性8件を追加

CISA KEV 警告:22/01/18 October CMS と SolarWinds など 17件を追加

CISA KEV 警告:22/01/10 活発に悪用されている既知の脆弱性 15件を追加

CISA KEV 警告:21/12/10 Log4Shell への対応は 12月24日までに完了せよ

CISA KEV 警告:21/11/03 脆弱性カタログ 306件の発行でスタート

● CISA の新たな役割:21/10/29 重要インフラのマッピングと攻撃に対する防御

● 米国議会での議論:21/10/01 サーバー攻撃被害の報告を法律で強制すべきだ

● 米大統領令 2021:06/14 クラウドとゼロトラストとサプライチェーン

● バイデン政権は大統領令によりサーバー・セキュリティ防御を強化する

ー ココまで ー

%d bloggers like this: