2023年に日常的に悪用された脆弱性トップ15が公開 懐かしのあの脆弱性も：セキュリティニュースアラート

CISAは2023年に日常的に悪用されている脆弱性トップ15をまとめたアドバイザリーを公開した。企業はソフトウェアの迅速な更新と脆弱性の排除を促進する対策が求められている。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年11月12日（現地時間）、共同サイバーセキュリティアドバイザリ「2023 Top Routinely Exploited Vulnerabilities」（2023年 日常的に悪用された脆弱《ぜいじゃく》性の上位）を発表した。

　同アドバイザリは、CISAがオーストラリア通信電子局（ASD）のオーストラリアサイバーセキュリティセンター（ACSC）や連邦捜査局（FBI）、米国国家安全保障局（NSA）などの国際的なパートナーと協力して作成した。

　アドバイザリーでは日常的かつ頻繁に悪用された共通脆弱性識別子（CVE）の上位と関連する共通脆弱性タイプ一覧（CWE）を示し、ベンダーと開発者向けに緩和策を提示している。

上位には懐かしの脆弱性も　2023年の日常的に悪用された脆弱性トップ15とは？

　アドバイザリー作成機関が観察した2023年の日常的に悪用された上位15の脆弱性は以下の通りだ。

1. CVE-2023-3519：　「Citrix NetScaler ADC」および「NetScaler Gateway」におけるスタックバッファーオーバーフローの脆弱性（CWE-94）
2. CVE-2023-4966：　「Citrix NetScaler ADC」および「NetScaler Gateway」におけるセッショントークン漏えいの脆弱性（CWE-119）。2023年10月にPoC（概念実証）コードが公開されている
3. CVE-2023-20198：　「Cisco IOS XE Web UI」における認証回避の脆弱性（CWE-420）
4. CVE-2023-20273：　「Cisco IOS XE」における権限昇格の脆弱性（CWE-78）。この脆弱性はCVE-2023-20198とセットで悪用された
5. CVE-2023-27997：　「Fortinet FortiOS」および「FortiProxy SSL-VPN」におけるリモートコード実行（RCE）の脆弱性（CWE-787、CWE-122）
6. CVE-2023-34362：　「Progress MOVEit Transfer」におけるSQLインジェクションの脆弱性（CWE-89）。攻撃者は最終的にRCEが可能となる
7. CVE-2023-22515：　「Atlassian Confluence Data Center」および「Confluence Server」における不適切な入力検証の脆弱性（CWE-20）。攻撃者は新しい管理者としてRCEが可能となる
8. CVE-2021-44228：　「Apache Log4j」ライブラリーにおけるRCEの脆弱性（CWE-917、CWE-502、CWE-20、CWE-400）。この脆弱性は「Log4Shell」と名付けられている
9. CVE-2023-2868：　「Barracuda Networks Email Security Gateway」（ESG）アプライアンスにおけるOSコマンドインジェクションの脆弱性（CWE-77、CWE-20）
10. CVE-2022-47966：　「Zoho ManageEngine」を使用する複数の製品におけるRCEの脆弱性（CWE-20）
11. CVE-2023-27350：　「PaperCut MF／NG」における認証回避の脆弱性（CWE-284）。攻撃者は最終的にRCEが可能となる
12. CVE-2020-1472：　「Microsoft Netlogon」に権限昇格の脆弱性（CWE-330）。この脆弱性は2021年以降、日常的に悪用された脆弱性の上位に含まれている
13. CVE-2023-42793：　「JetBrains TeamCity」サーバにおける認証回避の脆弱性（CWE-288）。攻撃者は最終的にRCEが可能となる
14. CVE-2023-23397：　「Microsoft Office Outlook」における権限昇格の脆弱性（CWE-294、CWE-20）。この脆弱性はゼロクリック（ユーザー操作不要）だとされている
15. CVE-2023-49103：　「ownCloud」の「Graph API」における機密情報漏えいの脆弱性（CWE-200）。認証されていない攻撃者は管理者パスワードなどの機密情報にアクセスできる

　2023年のサイバー攻撃者は2022年と比較してより多くのゼロデイ脆弱性を使用して企業ネットワークを侵害し、優先度の高いターゲットに対して作戦を実行したとされる。CISAは同様の脆弱性が製品に混入することを防止するために、ベンダーと開発者に対して上記の脆弱性について深く理解し、製品から脆弱性を排除する適切な対応をとるように求めている。

　また、インターネットからアクセス可能なIT資産を管理する企業には、ソフトウェア、オペレーティングシステム、アプリケーション、ファームウェアを継続的かつ迅速に更新することを推奨している。これら資産の具体的な管理方法および更新手順についても概要を解説しており、アドバイザリーの積極的な活用が求められる。