CISA、「既知の悪用された脆弱性カタログ」に1週間で75件追加

今回は「CISA、「既知の悪用された脆弱性カタログ」に1週間で75件追加」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 セキュリティチームに休む暇はない。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、修正するべき脆弱性のリストに、複数のソフトウェアの脆弱性を追加した。Microsoftの「Silverlight」プラグインやAdobeの「Flash Player」など、古いソフトウェアの脆弱性も含まれる。

 CISAは先週、「既知の悪用された脆弱性カタログ」(KEV)に、修正するべき脆弱性群を3回に分けて追加した。1回目は21件、2回目は20件、3回目は34件だ。米国の連邦政府機関は、CISAが定めた期限までにこれらの脆弱性にパッチを適用する必要がある。

 これには、古いソフトウェアの脆弱性も含まれる。今回、2021年10月にサポートが終了したMicrosoftのSilverlightや、開発が終了しているAdobeのFlash Playerプラグインなどの古い脆弱性も対象となっている。すべてのブラウザーはFlashとFlashコンテンツのサポートを終了しており、Microsoftは2021年、「Windows」からFlashを削除した。

 Silverlightが組織内部のレガシーアプリケーションやウェブサイトとして政府のシステムのどこかに存在している可能性は残っている。Silverlightアプリケーションは、最新の「Edge」ブラウザーのIEモードで、現在でも機能する。

 CISAによる今回のKEVの更新では、2015年や2016年に開示されたFlashの脆弱性や、Silverlightの脆弱性が追加された。

 また、2015~2018年の間に開示されたWindowsの複数の脆弱性、2014年に発見された「Internet Explorer」の複数の問題、2014年に発見された「Linux」カーネルの特権昇格の脆弱性、2010年代前半にさかのぼるOracle「Java Runtime Environment(JRE)」のリモートコード実行の脆弱性も含まれる。

 今回追加された脆弱性には非常に古いものがある。マルウェアを利用する攻撃者は、パッチが適用されていないソフトウェアが存在することを認識しており、古い脆弱性のエクスプロイトを頻繁に利用している。

 脆弱性の新旧を問わず、CISAは「これらのタイプの脆弱性は、頻繁に悪質なサイバーアクターの攻撃ベクトルとなっており、連邦組織に重大なリスクをもたらす」として注意喚起している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
HashiCorp、「The Infrastructure Cloud」発表–「Terraform Cloud」は「HCP Terraform」に
IT関連
2024-04-25 16:29
山形銀行、炭素会計プラットフォーム導入で脱炭素化を加速–三井住友銀行と日本IBMが支援
IT関連
2024-10-12 21:45
米政府機関、産業用システムに対する攻撃の典型的手口や対策を公開
IT関連
2022-09-29 01:42
Instagramがロシア国営メディアをシェアしたユーザーに警告、ロシアとウクライナのユーザーのフォローリストを非表示に
IT関連
2022-03-10 14:18
TikTokがTwitter、Instagramに続き有料サブスク導入を限定テスト、クリエイターの収益化の道を探る
IT関連
2022-01-22 00:47
少額投資入門:1万円なら何に投資すべき?分散投資は不要
IT関連
2021-05-11 05:43
GMO、アタックサーフェス管理サービスを開始
IT関連
2023-10-05 06:51
「スプラトゥーン3」22年発売 バンカラな街でイカたちが立体的な戦いを繰り広げる
くらテク
2021-02-19 17:16
EUのAI規制案を批判する公開書簡、150以上の企業幹部らが署名
IT関連
2023-07-04 04:55
コロナワクチン接種デジタル証明書開発イニシアチブ「VCI」、MicrosoftやOracleなどが参加
企業・業界動向
2021-01-17 06:15
Colt、東南アジア6カ国で事業を拡大–包括的なネットワークサービスを提供
IT関連
2024-06-07 07:17
「Googleドライブ」クライアントを使ってオフラインでファイルを使用するには
IT関連
2022-07-12 15:38
KDDI、生成AIを活用した「KDDI AI-Chat」の業務利用を開始
IT関連
2023-05-28 07:59
日立、「プロ人財視える化・育成ソリューション」を提供–各職種に特化した人材育成を支援
IT関連
2024-03-17 13:29