アメリカやイギリスなどの複数国のセキュリティ機関が合同で、古いソフトウェアの脆弱性を悪用した攻撃に関するレポートを発表した。
2022年悪用された脆弱性
2022年は古いソフトウェアの脆弱性が悪用され、パッチ適用されていないシステムが攻撃対象とされていたとのことで、同年内ハッカーに悪用された脆弱性が以下の通りまとめられている。
・CVE-2018-13379: フォーティネット SSL VPNの脆弱性
・CVE-2021-34473、CVE-2021-31207、CVE-2021-34523: Microsoft ExchangeのProxyShell脆弱性
・CVE-2021-40539: Zoho ManageEngine ADSelfService Plusの脆弱性
・CVE-2021-26084: Atlassian Confluence ServerおよびData Centerの脆弱性
・CVE-2021-44228(Log4Shell): ApacheのLog4jライブラリの脆弱性
・CVE-2022-22954、CVE-2022-22960: VMware Workspace ONE AccessなどのVMware製品の脆弱性
・CVE-2022-1388: F5 BIG-IPアプリケーション配信ソフトウェアの脆弱性
・CVE-2022-30190: WindowsのMicrosoftサポート診断ツール(MSDT)の脆弱性
・CVE-2022-26134: Atlassian ConfluenceおよびData Centerの重大なRCE脆弱性
開発者およびユーザーそれぞれの推奨対策
脆弱性が公開されてから2年以内が攻撃者にとって成功率が高いことが確認されており、これらの脆弱性に対処とセキュリティを向上には、セキュアなソフトウェア開発とタイムリーなパッチ適用が重要とされている。
ベンダーおよび開発者に求められる対応としては、「ビジネスリーダーにセキュリティの責任を求める」、「脆弱性を特定するプログラムを設ける」「アプリケーションのセキュリティテストを実施し安全性を構成する」などが記載されている。
一方のエンドユーザーには、「ソフトウェアのアップデートを適切に行う」、「多要素認証を導入と適切なアクセス制御を取り入れる」、「異常なアクティビティへの監視とパケットデータの調査」などが挙げられている。
【参考記事】
https://www.cisa.gov/sites/default/files/2023-08/aa23-215a_joint_csa_2022_top_routinely_exploited_vulnerabilities.pdf