CISAは、2023年に日常的に悪用された脆弱性トップ15をまとめた「2023 Top Routinely Exploited Vulnerabilities」を発表した。ソフトウェアベンダーやエンドユーザー向けの緩和策を紹介している。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
米国国土安全保障省サイバーセキュリティインフラセキュリティ庁(CISA)は2024年11月12日(米国時間)、連邦捜査局(FBI)、国家安全保障局(NSA)やカナダ、オーストラリアのサイバーセキュリティセンターと共同で、2023年に悪意のあるサイバー攻撃者により日常的かつ頻繁に悪用された脆弱(ぜいじゃく)性トップ15を発表した。
CISAは「2023年、悪意のあるサイバー攻撃者は、より多くのゼロデイ脆弱性を悪用して企業ネットワークに侵入しており、重要度の高いターゲットが狙われている。2022年と比較してゼロデイ脆弱性を悪用したサイバー攻撃は増加傾向にある。サイバー攻撃者は、脆弱性が公開されてから2年以内の期間に、その脆弱性を悪用して攻撃を成功させている」と述べている。
2023年に最も頻繁に悪用された脆弱性のトップ15は以下の表の通り。
CVE(共通脆弱性識別子) | ベンダー | 製品 | 脆弱性の種類 | CWE(共通脆弱性タイプ) |
---|---|---|---|---|
CVE-2023-3519 | Citrix | NetScaler ADC/NetScaler Gateway | コードインジェクション | CWE-94:コードインジェクション |
CVE-2023-4966 | Citrix | NetScaler ADC/NetScaler Gateway | バッファーオーバフロー | CWE-119:メモリバッファーの境界への操作制限の不足 |
CVE-2023-20198 | Cisco | IOS XE Web UI | 特権昇格 | CWE-420:保護されていない代替チャネル |
CVE-2023-20273 | Cisco | IOS XE | Web UIコマンドインジェクション | CWE-78:OSコマンドインジェクション |
CVE-2023-27997 | Fortinet | FortiOS/FortiProxy SSL VPN | ヒープベースのバッファーオーバーフロー | CWE-787:境界外書き込み/CWE-122: ヒープベースのバッファーオーバーフロー |
CVE-2023-34362 | Progress | MOVEit Transfer | SQLインジェクション | CWE-89: SQLインジェクション |
CVE-2023-22515 | Atlassian | Confluence Data Center and Server | 壊れたアクセス制御 | CWE-20:不適切な入力検証 |
CVE-2021- 44228(Log4Shell) | Apache | Log4j2 | リモートコード実行(RCE) | CWE-917:EL(Expression Language)インジェクション/CWE-502:信頼できないデータのデシリアライズ/CWE-20:不適切な入力検証/CWE-400:制御不能なリソース消費 |
CVE-2023-2868 | Barracuda Networks | ESG Appliance | 不適切な入力検証 | CWE-77:コマンドインジェクション/CWE-20:不適切な入力検証 |
CVE-2022-47966 | Zoho | ManageEngine Multiple Products | RCE | CWE-20:不適切な入力検証 |
CVE-2023-27350 | PaperCut | MF/NG | 不適切なアクセス制御 | CWE-284:不適切なアクセス制御 |
CVE-2020-1472 | Microsoft | Netlogon | 特権昇格 | CWE-330:不十分な乱数値の使用 |
CVE-2023-42793 | JetBrains | TeamCity | 認証バイパス | CWE-288:代替パスまたはチャネルを使用した認証バイパス |
CVE-2023-23397 | Microsoft | Office Outlook | 特権昇格 | CWE-294:キャプチャリプレイによる認証バイパス/CWE-20:不適切な入力検証 |
CVE-2023-49103 | ownCloud | graphapi | 情報漏えい | CWE-200:不正アクセスによる機密情報の漏えい |
2023年に日常的に悪用された脆弱性トップ15 |
CISAは、ソフトウェアベンダーや開発者とエンドユーザー組織に対して次のような緩和策の実施を呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.