FBI、NSA、およびファイブ・アイズ情報同盟のサイバーセキュリティ当局は、昨年を通じて日常的に悪用された脆弱性の上位15件のリストを本日発表した。
火曜日に発表された共同勧告では、世界中の組織に対し、これらのセキュリティ上の欠陥に直ちにパッチを適用し、パッチ管理システムを導入して、ネットワークが潜在的な攻撃にさらされるのを最小限に抑えるよう呼びかけている。
「2023年、悪意のあるサイバー攻撃者は、2022年と比較して、より多くのゼロデイ脆弱性を悪用して企業ネットワークを侵害し、より優先順位の高い標的に対してサイバー活動を行うことを可能にした」とサイバーセキュリティ機関は警告している。
「2023年、最も頻繁に悪用された脆弱性の大半は、ゼロデイとして最初に悪用されたものであり、ゼロデイとして悪用された脆弱性が上位の半分以下であった2022年よりも増加している。
また、昨年は、日常的に悪用されている上位15件の脆弱性のうち12件が、ゼロデイ(公開されているが、まだパッチが適用されていないセキュリティ上の欠陥)に攻撃を集中させたという機関の警告に沿う形で、対処されたことも明らかになった。
以下は、昨年最も悪用された脆弱性の全リストと、National Vulnerability Databaseのエントリへの関連リンクである。
| CVE | ベンダー | 製品名 | タイプ |
| CVE-2023-3519 | シトリックス | NetScaler ADC/Gateway | コードインジェクション |
| CVE-2023-4966 | シトリックス | NetScaler ADC/Gateway | バッファオーバーフロー |
| CVE-2023-20198 | シスコ | IOS XE ウェブ UI | 特権のエスカレーション |
| CVE-2023-20273 | シスコ | IOS XE | Web UI コマンドインジェクション |
| CVE-2023-27997 | フォーティネット | FortiOS/FortiProxy SSL-VPN | ヒープベースのバッファオーバフロー |
| CVE-2023-34362 | プログレス | MOVEit 転送 | SQL インジェクション |
| CVE-2023-22515 | アトラシアン | Confluence データセンター/サーバー | 壊れたアクセスコントロール |
| CVE-2021- 44228(Log4Shell) | Apache | Log4j2 | リモートコード実行 |
| CVE-2023-2868 | バラクーダネットワークス | ESGアプライアンス | 不適切な入力検証 |
| CVE-2022-47966 | ゾーホー | ManageEngine 複数の製品 | リモートコード実行 |
| CVE-2023-27350 | ペーパーカット | MF/NG | 不適切なアクセス制御 |
| CVE-2020-1472 | マイクロソフト | ネットログオン | 特権の昇格 |
| CVE-2023-42793 | JetBrains | チームシティ | 認証バイパス |
| CVE-2023-23397 | マイクロソフト | オフィスアウトルック | 特権のエスカレーション |
| CVE-2023-49103 | ownCloud | グラフアピ | 情報漏洩 |
CVE-2023-3519 は、NetScaler ADC / Gateway のコード・インジェクションの脆弱性で、パッチを適用していないサーバー上で攻撃者がリモートでコードを実行できるものです。
このセキュリティ上の欠陥は、2023年8月初旬までに、世界中で少なくとも640台、8月中旬までに2,000台以上の シトリックス製サーバーのバックドアに利用されています。
本日の勧告では、昨年しばしば悪用され、組織への侵害を引き起こした32の他の脆弱性に焦点を当て、防御者がこれらの脆弱性を悪用した攻撃への暴露を減少させる方法に関する情報を提供しています。
MITREは今年6月にも、過去2暦年で最も危険なソフトウェアの脆弱性25件を発表し、2021年11月には最も重要なハードウェアの脆弱性リストを発表しています。
「NSAのサイバーセキュリティ・テクニカル・ディレクターであるジェフリー・ディッカーソン(Jeffrey Dickerson)氏は火曜日、「これらの脆弱性はすべて公知のものだが、多くは初めてトップ15に入ったものだ。
「ネットワーク防御者は、トレンドに注意を払い、脆弱性にパッチを当てて緩和するよう早急に対応する必要がある。2024年、2025年も悪用は続くだろう。
Comments