Cybersecurity and Infrastructure Security Agency

CISA 警告：悪用脆弱性リストに Sophos ファイアウォールを含む８件を追加

CISA orders agencies to patch actively exploited Sophos firewall bug

2022/03/31 BleepingComputer — 木曜日に Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対して、Sophos のファイアウォールの深刻なバグを含む、現時点で悪用されている８つの脆弱性に対して、３週間以内にパッチを適用するよう命じた。ほぼ１週間前に Sophos 明らかにしたように、脆弱性 CVE-2022-1040 を悪用する攻撃者は、User Portal または Webadmin インターフェイスを介して認証をバイパスし、リモートで任意のコードを実行できる。

CISA が編纂するリスト：サイバー・セキュリティのための無償ツール／サービス

CISA compiles list of free cybersecurity tools and services

2022/02/19 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃からの防御を強化し、組織のセキュリティ能力を高めるための、無料のサイバー・セキュリティ・サービス／ツールのリストを公開した。このリストは、包括的なものではなく、また、変化にも対応できるものだが、サイバー・セキュリティ・プログラムのための、基本的なセキュリティ対策と組み合わせることで、企業のサイバー・セキュリティ・リスク管理を成熟させることを目的としている。

CISA の脆弱性カタログに 17件が追加：October CMS と SolarWinds Serv-U に注意

CISA adds 17 vulnerabilities to list of bugs exploited in attacks

2022/01/22 BleepingComputer — 今週に CISA (Cybersecurity and Infrastructure Security Agency) は、積極的に悪用されている 17件の脆弱性を Known Exploited Vulnerabilities Catalog に追加しました。このカタログは、これまでに攻撃に悪用されたことが確認されている脆弱性のリストであり、FCEB (Federal Civilian Executive Branch) がパッチの適用を義務付けているものでもある。

バイデン大統領が NSA の権限拡大の覚書に署名：国家安全保障システムの可視化を推進

Biden Broadens NSA Oversight of National Security Systems

2022/01/21 DarkReading — 昨日にバイデン大統領は、国家安全保障局 (NSA : National Security Agency) の役割を、機密の情報やデータを取り扱う軍事機関／情報機関の監督、そして、米国政府ネットワークのサイバー・セキュリティの監督へと、実質的に拡大する覚書に署名した。

CISA から連邦政府機関へ警告：活発に悪用されている既知の脆弱性 15件

CISA alerts federal agencies of ancient bugs still being exploited

2022/01/11 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、悪用が検知されている脆弱性のリストを更新し、米国企業への攻撃手段として頻繁に利用されている、15件のセキュリティ問題を新たに追加した。今回のリストに追加された脆弱性は、それぞれの深刻度と公開日を持ち、中程度のリスクと評価されているものもあれば、2013年に公開されたものもある。

CISA の Log4j 警告：数億のデバイスに影響する最も深刻な問題の１つだ

CISA warns ‘most serious’ Log4j vulnerability likely to affect hundreds of millions of devices

2021/12/13 CyberScoop — 月曜日の電話ブリーフィングで、Cybersecurity and Infrastructure Security Agency (CISA) の Director である Jen Easterly は業界のリーダーたちに、広く使用されているロギング・ライブラリの脆弱性 CVE-2021-44228 について、「最も深刻ではないにしても、これまで見てきた中で最も深刻なものの１つである」と述べた。

米バイデン大統領が 2000 億円規模のサイバー・インフラ法案に署名

Biden signs infrastructure bill that provides nearly $2 billion for cybersecurity

2021/11/15 CyberScoop — 米国のバイデン大統領は、月曜日に $1 trillion 規模のインフラ法案に署名したが、その中には、サイバー・セキュリティと関連する規定のための $2 billion の予算が含まれている。デジタル・セキュリティ関連で最大のものは、Department of Homeland Security の Cybersecurity and Infrastructure Security Agency との協議により運営される、Federal Emergency Management Agency サイバー補助金プログラムであり、４年間で $1 billion を州政府および地方自治体に分配するものだ。

CISA の新たな役割：重要インフラのマッピングと攻撃に対する防御

CISA starts identifying targets most necessary to protect from hacking

2021/10/29 CyberScoop — 金曜日に、Cybersecurity and Infrastructure Security Agency (CISA) の Director である Jen Easterly は、ハッキングが生じた場合に、国家安全保障と経済的利益に深刻な影響を及ぼす可能性のある、米国の重要インフラをマッピングする作業を開始したと発表した。

CISA の Remote Access ガイダンス：連邦機関のネットワークを保護

CISA Releases Remote Access Guidance for Government Agencies

2021/10/11 SecurityWeek — 先週に、米国の States Cybersecurity and Infrastructure Security Agency (CISA) は、新しいガイダンス・である Trusted Internet Connections (TIC) 3.0 Remote User Use Case を発表した。

Honeywell Experion PKS／ACE コントローラにおける深刻な脆弱性が FIX

Multiple Critical Flaws Discovered in Honeywell Experion PKS and ACE Controllers

2021/10/06 TheHackerNews — 火曜日に Cybersecurity and Infrastructure Security Agency (CISA) は、Honeywell Experion Process Knowledge System C200／C200E／C300／ACE の全バージョンに存在する、複数のセキュリティ脆弱性について勧告を発表した。この脆弱性を悪用されると、リモートコード実行やサービス拒否 (DoS) 状態に陥る可能性がある。

CISA がリリースしたインサイダー脅威に対処するための Tool とは？

CISA releases tool to help orgs fend off insider threat risks

2021/09/29 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、官民の組織におけるインサイダー脅威に対する脆弱性の評価と、それらのリスクに対する独自の防御計画の考案を促す、新しいツールを公開した。この Insider Risk Mitigation Self-Assessment Tool は、インサイダー・リスク・プログラム管理の設定に必要な要件、および、従業員のインサイダー・リスクに対する意識やトレーニングのレベル、組織のインサイダーリスク環境などに関する一連の質問と回答など、組織のリスク態勢を判断するのに役立つ。

NSA / CISA 警告：ハッカーたちに対抗するための VPN チップスとは？

NSA, CISA share VPN security tips to defend against hackers (edited)

2021/09/28 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) は、VPN ソリューションのセキュリティを強化するためのガイダンスを発表した。米国の National Security Agency は、「複数の国家 APT (Advanced Persistent Threat) アクターたちが、共通の脆弱性 (CVE) を武器にして、脆弱な VPN デバイスにアクセスしている」と述べている。

Cisco IOS XR の深刻な脆弱性 CVE-2021-34720 が FIX

Cisco Patches High-Severity Security Flaws in IOS XR

2021/09/10 SecurityWeek — 今週に Cisco は、IOS XR Software に存在する、深刻度の高い脆弱性に対するパッチをリリースし、これらのバグを悪用する攻撃者により、デバイスの想定外の再起動や、特権への昇格、任意のファイル上での Read/Write などが生じる可能性があると警告した。これらの脆弱性のうち、最も深刻なのは CVE-2021-34720 (CVSS 8.6) であり、認証なしにリモートから実行され、デバイスのパケット・メモリを使い果たし、サービス拒否 (DoS) 状態に陥る可能性がある。

Zoho 警告：ManageEngine ADSelfService Plus ゼロデイ脆弱性の悪用

Zoho warns of zero-day authentication bypass flaw actively exploited

2021/09/09 SecurityAffairs — Zoho は、ManageEngine ADSelfService Plus に存在する認証バイパスの脆弱性 CVE-2021-40539 に対処するための、セキュリティ・パッチをリリースした。この脆弱性は、リモートコード実行 (RCE) につながる可能性があり、すでにワイルドな攻撃で悪用されていると警告している。

CISA スバラシイ：一要素認証をバッド・プラクティスと認定する

CISA: Don’t use single-factor auth on Internet-exposed systems

2021/08/30 BleepingComputer — 今日のこと、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、一要素認証 (SFA : Single Factor Authentication) を、同機関が推奨するサイバー・セキュリティのバッド・プラクティスに追加した。CISA のバッド・プラクティス・カタログには、連邦政府機関が非常に危険と判断したプラクティスが含まれており、政府機関や民間企業のシステムが脅威にさらされる、不必要なリスクを負うことになるため、使用すべきではないとしている。

CISA マルウェア解析レポート：Pulse Secure VPN 攻撃の詳細とは？

CISA publishes malware analysis reports on samples targeting Pulse Secure devices

2021/08/26 SecurityAffairs — 米 CISA は、侵害された Pulse Secure デバイスで発見されたサンプルに関連する、５つのマルウェア解析レポート (MAR : Malware Analysis Reports) を公開した。それは、Pulse Secure 侵害に対する継続的な対応の一環として、悪用された Pulse Secure デバイスに関連する、５つのマルウェア・サンプルを分析するものだ。CISA のアドバイザリには、「ユーザーおよび管理者は、以下の５つのマルウェア解析レポート (MAR) を参照し、脅威主体の戦術／技術／手順 (TTP) と侵害の指標 (IOC) を確認し、詳細については CISA アラート Exploitation of Pulse Connect Secure Vulnerabilities での確認を推奨する」と記載されている。

CISA 警告：Microsoft Exchange の ProxyShell 脆弱性へのパッチを急げ

CISA warns admins to urgently patch Exchange ProxyShell bugs

2021/08/23 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、初めての緊急と銘打った警告を発し、オンプレミスの Microsoft Exchange サーバーにパッチを適用し、ProxyShell の脆弱性が積極的に悪用されないようにと促している。同組織は、「悪意の脅威アクターが、ProxyShell の脆弱性である CVE-2021-34473 CVE-2021-34523 CVE-2021-31207 を積極的に利用している。

ISC BIND 9 に深刻な脆弱性 CVE-2021-25218 が発見された

Internet Systems Consortium (ISC) fixes High-Severity DoS flaw in BIND DNS Software

2021/08/20 SecurityAffairs — Internet Systems Consortium (ISC) は、同社の DNS ソフトウェア BIND に、深刻なサービス拒否 (DoS) の脆弱性 CVE-2021-25218 が存在するとして、セキュリティ・アップデートを公開した。この脆弱性は、BIND 9 のリリース 9.16.19 / 9.17.16、および BIND Supported Preview Edition のリリース 9.16.19-S1 にのみ影響する。ISC は、この脆弱性に対する回避策も提供している。この脆弱性を、攻撃者が特定の状況下で悪用すると、BIND ネームサーバー (named) プロセスがクラッシュし、 DoS 状態が引き起こされる。

金融サービス 2021 前半レポート：Web アプリ攻撃は 38% 増大

Financial Services: Web Application Attacks Grow by 38% In First Half of 2021

2021/08/19 SecurityBoulevard — 前世紀の中頃、プロの銀行強盗である Willie Sutton は、推定で $2 million の盗みを働いたとされる。ある新聞記者が、Sutton に銀行を狙う理由を尋ねたところ、「そこに金があるから」と答えたらしい。その後のインタビューで、この言葉は否定されているが、いまの金融業界にも当てはまるものだ。昔ながらの銀行強盗も起こるだろうが、現実の銀行から金を盗むことは、前世紀的なアプローチだといえる。今日、サイバー犯罪者が狙っているのは個人情報であり、攻撃対象となるのは顧客や従業員やパートナーが使用する、多岐にわたるオンライン取引 Web アプリケーションである。

CISA と Microsoft / Google / Amazon が連携してランサムウェアと戦う

CISA teams up with Microsoft, Google, Amazon to fight ransomware

2021/08/05 BleepingComputer — CISA が発表した官民連携の JCDC (Joint Cyber Defense Collaborative) は、ランサムウェアなどのサイバー脅威から、米国の重要インフラを守ることを目的とするものだ。この新しい取り組みは、重要インフラを標的とする悪意のサイバー活動に対する、国家としての耐性を高めるために、CISA が連邦機関および、SRTT (state / local / tribal / territorial) パートナー、民間企業と協力し、サイバー防衛計画を策定することを目的とする。CISA の Director である Jen Easterly は、「CISA と省庁間で協力して活動することに同意してくれた産業界のパートナーは、サイバー侵入から国の重要な機能を守るという共通のコミットメントと、新しいソリューションを生み出す想像力を持っている。

CISA が立ち上げた民間機関向けの脆弱性開示プラットフォームとは？

CISA launches vulnerability disclosure platform for federal agencies

2021/07/30 BleepingComputer — 今日のこと、Cybersecurity and Infrastructure Security Agency (CISA) は、米国連邦民間機関向けに新たな脆弱性開示ポリシー (VDP : vulnerability disclosure policy) プラットフォームの提供を開始した。

CISA 警告：Pulse Secure に潜むスティルス・マルウェアに注意せよ

CISA warns of stealthy malware found on hacked Pulse Secure devices

2021/07/21 BleepingComputer — 今日のことだが、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、感染した Pulse Secure デバイスで見つかった十数個のマルウェア・サンプルを公表したが、それらはアンチ・ウイルス製品では、ほとんど検出されないものだと警告している。遅くとも 2020年6月以降には、米国の政府機関および、重要インフラ事業体、各種の民間組織の Pulse Secure デバイスが、脅威アクターによる攻撃の対象となっている。

米政府機関の Windows PrintSpooler バグを FIX するために CISA が緊急指令を発動

CISA orders federal agencies to patch Windows PrintNightmare bug

2021/07/13 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、ネットワーク上で積極的に悪用されている Window Print Spooler の脆弱性を緩和するよう、連邦政府機関に対して新たな緊急指令を発令した。7月9日 (金) に Microsoft が、サポートされる全 Windows バージョンで PrintNightmare と呼ばれる脆弱性に対処するために、セキュリティ・アップデートを公開した後に、CISA は緊急指令 21-04 を発動した。

CISA 勧告：Philips Vue ヘルスケア製品に 15 の脆弱性

CISA Says Philips Vue Healthcare Products Affected by 15 Vulnerabilities

2021/07/07 SecurityWeek — 昨日、米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Philips のヘルスケア製品 Vue に影響を及ぼす 15件の脆弱性について、各組織に周知するための勧告を発表した。CISA によると、欠陥の多くはサードパーティのコンポーネントに存在し、MyVue / Vue Speech / Vue Motion を含む、複数の Philips Clinical Collaboration Platform Portal (Vue PACS) に影響を及ぼす。これらのセキュリティホールは、不適切な入力検証／メモリ操作／認証処理／リソース処理／保護メカニズム／暗号処理／データ整合性や、クロスサイト・スクリプティングなどに関連するものである。

NSA と ODNI が分析する 5G ネットワークの潜在リスクとは？

NSA and ODNI analyze potential risks to 5G networks

2021/05/12 SecurityAffairs — U.S. National Security Agency (NSA) と DHS Cybersecurity and Infrastructure Security Agency (CISA) と Office of the Director of National Intelligence (ODNI) は共同で、5Gネットワークの導入に伴う潜在的なリスクと脆弱性を分析している。Potential Threat Vectors to 5G Infrastructure と題した報告書には、IT や通信だけではなく、国防産業などの分野における代表者も協力している。