NSA、CISA、および FBI は本日、中華人民共和国 (PRC) が支援するハッカーが政府および重要なインフラストラクチャ ネットワークを標的にするために最も悪用した上位のセキュリティ脆弱性を明らかにしました。
3 つの連邦機関は共同勧告で、中国が支援するハッカーが、機密性の高いネットワークにアクセスして知的財産を盗むために、米国および同盟国のネットワークやテクノロジー企業を標的にしていると述べました。
「NSA、CISA、および FBI は、中国政府が支援するサイバー活動を、米国政府および民間ネットワークに対する最大かつ最も動的な脅威の 1 つとして評価し続けています」と、勧告は述べています。
「この共同 CSA は、以前の NSA、CISA、および FBI の報告に基づいて構築されており、連邦および州、地方、部族および領土 (SLTT) 政府、防衛産業基地部門を含む重要なインフラストラクチャ、および民間部門の組織に注目すべき傾向と永続的な戦術について通知します。 、技術、および手順(TTP)」。
このアドバイザリには、中国の脅威アクターによって最も悪用されているセキュリティ上の欠陥ごとに推奨される軽減策と、防御側が攻撃の試みを見つけてブロックするのに役立つ検出方法と脆弱なテクノロジも含まれています。
NSA、CISA、および FBI によると、次のセキュリティ脆弱性は、2020 年以降、中国が支援する国家ハッカーによって最も多く悪用されています。
ベンダー |
CVE |
脆弱性の種類 |
アパッチ Log4j |
CVE-2021-44228 |
リモートコード実行 |
パルスコネクトセキュア |
CVE-2019-11510 |
任意のファイル読み取り |
GitLab CE/EE |
CVE-2021-22205 |
リモートコード実行 |
アトラシアン |
CVE-2022-26134 |
リモートコード実行 |
マイクロソフト エクスチェンジ |
CVE-2021-26855 |
リモートコード実行 |
F5ビッグIP |
CVE-2020-5902 |
リモートコード実行 |
VMware vCenter サーバー |
CVE-2021-22005 |
任意のファイルのアップロード |
シトリックス ADC |
CVE-2019-19781 |
パス トラバーサル |
Cisco ハイパーフレックス |
CVE-2021-1497 |
コマンドライン実行 |
バッファローWSR |
CVE-2021-20090 |
相対パス トラバーサル |
Atlassian Confluence サーバーとデータ センター |
CVE-2021-26084 |
リモートコード実行 |
Hikvision ウェブサーバー |
CVE-2021-36260 |
コマンドインジェクション |
サイトコア XP |
CVE-2021-42237 |
リモートコード実行 |
F5ビッグIP |
CVE-2022-1388 |
リモートコード実行 |
アパッチ |
CVE-2022-24112 |
なりすましによる認証バイパス |
ゾーホー |
CVE-2021-40539 |
リモートコード実行 |
マイクロソフト |
CVE-2021-26857 |
リモートコード実行 |
マイクロソフト |
CVE-2021-26858 |
リモートコード実行 |
マイクロソフト |
CVE-2021-27065 |
リモートコード実行 |
アパッチ HTTP サーバー |
CVE-2021-41773 |
パス トラバーサル |
緩和策
NSA、CISA、および FBI はまた、米国および同盟国の政府、重要なインフラストラクチャ、および民間部門の組織に、中国が支援するサイバー攻撃から防御するために次の緩和策を適用するよう促しました。
3 つの連邦機関は、できるだけ早くセキュリティ パッチを適用し、可能な限りフィッシング耐性のある多要素認証 (MFA) を使用し、セキュリティ パッチを受け取らなくなった使用済みネットワーク インフラストラクチャを交換するよう組織にアドバイスしています。
また、ゼロ トラスト セキュリティ モデルに移行し、インターネットに公開されたサービスで堅牢なログを有効にして、攻撃の試みをできるだけ早く検出することも推奨しています。
本日の共同アドバイザリは、中国が支援する脅威グループが使用する戦術、技術、手順 (TTP) (2021 年) と、攻撃で悪用する既知の脆弱性(2020 年) に関する情報を共有した他の 2 つの報告に続きます。
6 月には、中国国家のハッカーが主要な通信会社やネットワーク サービス プロバイダーに侵入し、認証情報を盗み、データを収集したことも明らかにしました。
火曜日に、米国政府は、国が支援するハッカーが、カスタムの CovalentStealer マルウェアと Impacket フレームワークを使用して米国の防衛請負業者からデータを盗んでいることについても警告を発しました。
Comments