Map

CISA、NSA、FBI と協力して、ファイブ・アイズのサイバーセキュリティ当局は本日、2022 年を通じて最も悪用された 12 件の脆弱性のリストを発表しました。

米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティ機関は、世界中の組織に対し、これらのセキュリティ上の欠陥に対処し、パッチ管理システムを導入して潜在的な攻撃への露出を最小限に抑えるよう呼び掛けた。

脅威アクターは、前年中に最近明らかにされた脆弱性ではなく、古いソフトウェアの脆弱性に対する攻撃の焦点をますます強めており、特にパッチが適用されずにインターネット上に公開されたままになっているシステムをターゲットにしています。

「2022年、悪意のあるサイバー攻撃者は、最近公開された脆弱性よりも古いソフトウェアの脆弱性を悪用し、パッチが適用されていないインターネットに接続されたシステムを標的にした」と共同勧告には記載されている

「多くのソフトウェアの脆弱性や脆弱性チェーンに対する概念実証(PoC)コードが公開されており、より広範な悪意のあるサイバー攻撃者による悪用が容易になっている可能性があります。」

Common Vulnerabilities and Exposures (CVE) プログラムは、2022 年末までに 25,000 件を超える新たなセキュリティ脆弱性を公開しましたが、同年に攻撃で悪用された上位 12 件の欠陥リストにランクインした脆弱性は 5 件のみでした。

以下は、昨年最も悪用された 12 件のセキュリティ欠陥のリストと、National Vulnerability Database エントリへの関連リンクです。

CVE ベンダー 製品 タイプ
CVE-2018-13379 フォーティネット FortiOS と FortiProxy SSL VPN 認証情報の漏洩
CVE-2021-34473 (プロキシ シェル) マイクロソフト 交換サーバー RCE
CVE-2021-31207 (プロキシ シェル) マイクロソフト 交換サーバー セキュリティ機能のバイパス
CVE-2021-34523 (プロキシ シェル) マイクロソフト 交換サーバー 特権の昇格
CVE-2021-40539 ゾーホー ADセルフサービスプラス RCE/認証バイパス
CVE-2021-26084 アトラシアン Confluence サーバー/データセンター 任意のコードの実行
CVE-2021- 44228 (Log4Shell) アパッチ ログ4j2 RCE
CVE-2022-22954 ヴイエムウェア ワークスペース ワン RCE
CVE-2022-22960 ヴイエムウェア ワークスペース ワン 不適切な権限管理
CVE-2022-1388 F5ネットワークス ビッグIP 認証がありません
CVE-2022-30190 マイクロソフト 複数の製品 RCE
CVE-2022-26134 アトラシアン Confluence サーバー/データセンター RCE

最初のスポットは、フォーティネット SSL VPN の脆弱性である CVE-2018-13379 で、同社は 4 年前の 2019 年 5 月に修正しました。このバグは国家ハッカーによって悪用され、 米国政府の選挙支援システムに侵入されました。

本日の勧告では、組織を侵害するために頻繁に使用される追加の 30 件の脆弱性にも焦点を当てており、セキュリティ チームが脆弱性を悪用した攻撃への危険をどのように減らすことができるかについての情報も含まれています。

システムを保護し、侵害のリスクを軽減するために、作成機関はベンダー、設計者、開発者、エンドユーザー組織に対し、勧告に概要が記載されている軽減策を実施するよう促しました。

6 月、MITRE は、過去 2 年間にわたって続いた、最も蔓延していた危険なソフトウェアの弱点 25 個のリストを発表しました。 2 年前には、 最も危険なプログラミング、設計、アーキテクチャのハードウェア セキュリティ上の欠陥も共有されました。

CISA と FBI は、2016 年から 2019 年の間に最も悪用されたセキュリティ上の欠陥トップ 10 のまとめも発表しました。

NSAサイバーセキュリティ総局のテクニカルディレクター、ニール・ザイリング氏は、「組織はパッチが適用されていないソフトウェアやシステムを使用し続けており、サイバー攻撃者が標的とする隙が容易に発見されてしまう」と警告した

「古い脆弱性は、これらの攻撃者が機密データにアクセスするための低コストで大きな影響を与える手段を提供する可能性があります。」