セキュリティチームに休む暇はない。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、修正するべき脆弱性のリストに、複数のソフトウェアの脆弱性を追加した。Microsoftの「Silverlight」プラグインやAdobeの「Flash Player」など、古いソフトウェアの脆弱性も含まれる。
CISAは先週、「既知の悪用された脆弱性カタログ」(KEV)に、修正するべき脆弱性群を3回に分けて追加した。1回目は21件、2回目は20件、3回目は34件だ。米国の連邦政府機関は、CISAが定めた期限までにこれらの脆弱性にパッチを適用する必要がある。
これには、古いソフトウェアの脆弱性も含まれる。今回、2021年10月にサポートが終了したMicrosoftのSilverlightや、開発が終了しているAdobeのFlash Playerプラグインなどの古い脆弱性も対象となっている。すべてのブラウザーはFlashとFlashコンテンツのサポートを終了しており、Microsoftは2021年、「Windows」からFlashを削除した。
Silverlightが組織内部のレガシーアプリケーションやウェブサイトとして政府のシステムのどこかに存在している可能性は残っている。Silverlightアプリケーションは、最新の「Edge」ブラウザーのIEモードで、現在でも機能する。
CISAによる今回のKEVの更新では、2015年や2016年に開示されたFlashの脆弱性や、Silverlightの脆弱性が追加された。
また、2015~2018年の間に開示されたWindowsの複数の脆弱性、2014年に発見された「Internet Explorer」の複数の問題、2014年に発見された「Linux」カーネルの特権昇格の脆弱性、2010年代前半にさかのぼるOracle「Java Runtime Environment(JRE)」のリモートコード実行の脆弱性も含まれる。
今回追加された脆弱性には非常に古いものがある。マルウェアを利用する攻撃者は、パッチが適用されていないソフトウェアが存在することを認識しており、古い脆弱性のエクスプロイトを頻繁に利用している。
脆弱性の新旧を問わず、CISAは「これらのタイプの脆弱性は、頻繁に悪質なサイバーアクターの攻撃ベクトルとなっており、連邦組織に重大なリスクをもたらす」として注意喚起している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。