米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
米政府は、中国が国家として支援するサイバー攻撃において、25件の脆弱性が悪用されているとして注意喚起を行った。
米国家安全保障局が公表したリスト
米国家安全保障局(NSA)が、連邦政府機関の情報システムや防衛産業基盤、国防総省などを標的とするサイバー攻撃に中国が関与したと名指しし、実際に悪用されたり、探索行為の対象となった脆弱性のリストを公表した。
リストには25件の脆弱性がピックアップされており、2019年以前のものが12件、2020年に明らかとなった脆弱性が13件含まれる。いずれも深刻度が高く、これまで注意喚起が行われてきた脆弱性が大半を占めており、あらためて早急なパッチの適用や緩和策の実施を求めた。
具体的に悪用されている脆弱性を見ると、テレワークなどでも利用されている製品が目立つ。
Pulse SecureのVPN製品で明らかとなった「CVE-2019-11510」をはじめ、F5の「BIG-IP」における「CVE-2020-5902」、「Citrix ADC」で判明した「CVE-2019-19781」「CVE-2020-8193」「CVE-2020-8195」「CVE-2020-8196」などがリストに上っている。7月に明らかとなり、注意喚起が行われたばかりのMobileIronの「CVE-2020-15505」なども含まれる。
(Security NEXT - 2020/10/21 )
ツイート
PR
関連記事
I-O DATAのNAS製品「HDL-T」シリーズに深刻な脆弱性
SAMLライブラリ「samlify」に「クリティカル」脆弱性
米政府、脆弱性6件の悪用に注意喚起 - メールや社内チャットなども標的に
トルコ関与疑われる攻撃グループ、チャット製品にゼロデイ攻撃
「Kibana」にプロトタイプ汚染の脆弱性 - アップデートや緩和策
「Firefox」のJavaScript処理に脆弱性 - 重要度「クリティカル」
「Auth0」のSDKに脆弱性 - 各プラットフォーム向けにアップデート
「glibc」に深刻な脆弱性 - 2024年のアップデートで修正済み
多要素認証製品「Advanced Authentication」に脆弱性 - 4月更新で修正済み
「macOS」にアップデート - 多数脆弱性を解消
