CISA「OSコマンドインジェクションの脆弱性は出荷前に排除を」 FBIと共同勧告:Cybersecurity Dive
脅威グループは広く普及しているネットワークデバイスの脆弱性を標的にしている。CISAの最新勧告はソフトウェアメーカーに対し、これらの脆弱性をソースから排除するよう促した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(以下、CISA)と連邦捜査局(FBI)は2024年7月11日(現地時間、以下同)、セキュア・バイ・デザインに関する取り組みの一環として、ソフトウェアベンダーに対し製品の出荷前にOSコマンドインジェクションの脆弱(ぜいじゃく)性を排除するよう勧告した(注1)。
OSコマンドインジェクションに関連する脆弱性についてCISAが警告
脅威グループは、広く普及しているネットワークデバイスのOSコマンドインジェクションに関連する脆弱性を悪用している。具体的にはCiscoの製品に関連する「CVE-2024-20399」(注2)、IvantiのリモートアクセスVPNに関連する「CVE-2024-21887」(注3)(注4)、Palo Alto Networksのファイアウォールに関連する「CVE-2024-3400」などが含まれている(注5)(注6)。
CISAとFBIは、勧告の中で次のように述べている。
「OSコマンドインジェクションに関する脆弱性は、OSで実行されるコマンドを作成する際に、製造業者がユーザーによる入力を適切に検証しなかったり、サニタイズしなかったりすると発生する」
連邦当局は、OSコマンドインジェクションの脆弱性が未解決であることの影響に焦点を当て、ソフトウェアベンダーが適切な管理なしに製品を出荷している別の例を紹介した。CISAは、セキュア・バイ・デザインの取り組みを通じ、このような慣行に終止符を打とうとしている。
CISAとFBIは勧告の中で「適切な検証やサニタイズなしにユーザーによる入力を信頼するソフトウェアの設計および開発は、攻撃者による悪質なコマンドの実行を許し、顧客を危険にさらす」と述べている。
CISAとFBIは、技術メーカーのビジネスリーダーに対し、過去に発生したこの種の不具合を分析し、今後の不具合をなくすための計画を策定するよう求めている。また、CISAはソフトウェアメーカーに対し、セキュア・バイ・デザインの誓約書に署名するよう促した(注7)。CISAが2024年5月に任意の措置を発表して以来、この誓約書には162社が署名している(注8)。
CISAは2024年1月にサイバー攻撃を受けた。同庁ではIvantiのリモートアクセスVPNを使用しており、当時存在していたOSコマンドインジェクションの脆弱性が悪用されたことで直接的な影響を受けた(注9)。
侵入に関する調査の結果、CISAは「データの盗難や横移動の証拠は見つからなかった」と発表した。しかし2024年6月、同庁のシステムに対する攻撃が実行された際に、セキュリティ評価ツールからデータが盗まれた可能性は否定できないと警告した(注10)。
CISAは長年にわたりソフトウェア業界に対し、メモリ安全性の高いプログラミング言語を採用し(注11)、クロスサイトスクリプティングやSQLインジェクション、ディレクトリトラバーサルなどの脆弱性を排除するよう求めてきた。しかし安全でないソフトウェア開発の慣行は依然として残っている(注12)。
CISAは2023年4月に、セキュア・バイ・デザインの原則を発表し(注13)、製造業者がどのようにして製品や実務にセキュリティを組み込むべきかについて、一貫したビジョンを共有している(注14)。
長年にわたるソフトウェア開発の慣行における変革と、セキュリティ責任を顧客からベンダーに移すCISAの取り組みは、同庁が規制機関ではないために困難を伴っている。
(注1)Secure by Design Alert: Eliminating OS Command Injection Vulnerabilities(CISA)
(注2)CVE-2024-20399 Detail(NIST)
(注3)CVE-2024-21887 Detail
(注4)Ivanti pledges security overhaul after critical vulnerabilities targeted in lengthy exploit spree(Cybersecurity Dive)(nist)
(注5)CVE-2024-3400 Detail(nist)
(注6)Palo Alto Networks quibbles over impact of exploited, compromised firewalls(Cybersecurity Dive)
(注7)White House wants to hold the software sector accountable for security(Cybersecurity Dive)
(注8)Secure by Design Pledge Signers(CISA)
(注9)CISA attacked in Ivanti vulnerabilities exploit rush(Cybersecurity Dive)
(注10)CISA warns chemical facilities of potential data theft(Cybersecurity Dive)
(注11)CISA urges use of memory safe code in software development(Cybersecurity Dive)
(注12)Unsafe software development practices persist, despite CISA’s push(Cybersecurity Dive)
(注13)CISA, partner agencies unveil secure by design principles in historic shift of software security(Cybersecurity Dive)
(注14)CISA explains how to apply secure-by-design principles(Cybersecurity Dive)
関連記事
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。
© Industry Dive. All rights reserved.
人気記事ランキング
- Excel操作をプロンプトで実行できる「Copilot」の実力
- なぜIT部門は市民開発を嫌うのか? 「“野良化”回避」より重視すべきこと
- マルウェアを呼び込むあるツールとは? 医療業界のセキュリティ実態が判明
- NECが仕掛ける“自社ビルSOC”は何がスゴイのか? 新施設をのぞいてみた
- 米国政府がソフトウェア要件の変更を計画中 新興ベンダーに大きなチャンス
- Appleが広範囲にセキュリティ修正を実施 急ぎアップデート対応を
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- 経営幹部が心配している「サードパーティーリスク5選」
- Zoom Workplace Appsに複数の脆弱性 Windows版を含む全てのバージョンに影響
- 大荒れのサイバー空間 激増するフィッシングに対抗する3つの防御策
ITmediaはアイティメディア株式会社の登録商標です。