CISA、「既知の悪用された脆弱性カタログ」に1週間で75件追加

今回は「CISA、「既知の悪用された脆弱性カタログ」に1週間で75件追加」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　セキュリティチームに休む暇はない。米サイバーセキュリティ・インフラセキュリティ庁（CISA）は、修正するべき脆弱性のリストに、複数のソフトウェアの脆弱性を追加した。Microsoftの「Silverlight」プラグインやAdobeの「Flash Player」など、古いソフトウェアの脆弱性も含まれる。

　CISAは先週、「既知の悪用された脆弱性カタログ」（KEV）に、修正するべき脆弱性群を3回に分けて追加した。1回目は21件、2回目は20件、3回目は34件だ。米国の連邦政府機関は、CISAが定めた期限までにこれらの脆弱性にパッチを適用する必要がある。

　これには、古いソフトウェアの脆弱性も含まれる。今回、2021年10月にサポートが終了したMicrosoftのSilverlightや、開発が終了しているAdobeのFlash Playerプラグインなどの古い脆弱性も対象となっている。すべてのブラウザーはFlashとFlashコンテンツのサポートを終了しており、Microsoftは2021年、「Windows」からFlashを削除した。

　Silverlightが組織内部のレガシーアプリケーションやウェブサイトとして政府のシステムのどこかに存在している可能性は残っている。Silverlightアプリケーションは、最新の「Edge」ブラウザーのIEモードで、現在でも機能する。

　CISAによる今回のKEVの更新では、2015年や2016年に開示されたFlashの脆弱性や、Silverlightの脆弱性が追加された。

　また、2015～2018年の間に開示されたWindowsの複数の脆弱性、2014年に発見された「Internet Explorer」の複数の問題、2014年に発見された「Linux」カーネルの特権昇格の脆弱性、2010年代前半にさかのぼるOracle「Java Runtime Environment（JRE）」のリモートコード実行の脆弱性も含まれる。

　今回追加された脆弱性には非常に古いものがある。マルウェアを利用する攻撃者は、パッチが適用されていないソフトウェアが存在することを認識しており、古い脆弱性のエクスプロイトを頻繁に利用している。

　脆弱性の新旧を問わず、CISAは「これらのタイプの脆弱性は、頻繁に悪質なサイバーアクターの攻撃ベクトルとなっており、連邦組織に重大なリスクをもたらす」として注意喚起している。