米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
米政府は、中国が国家として支援するサイバー攻撃において、25件の脆弱性が悪用されているとして注意喚起を行った。
米国家安全保障局が公表したリスト
米国家安全保障局(NSA)が、連邦政府機関の情報システムや防衛産業基盤、国防総省などを標的とするサイバー攻撃に中国が関与したと名指しし、実際に悪用されたり、探索行為の対象となった脆弱性のリストを公表した。
リストには25件の脆弱性がピックアップされており、2019年以前のものが12件、2020年に明らかとなった脆弱性が13件含まれる。いずれも深刻度が高く、これまで注意喚起が行われてきた脆弱性が大半を占めており、あらためて早急なパッチの適用や緩和策の実施を求めた。
具体的に悪用されている脆弱性を見ると、テレワークなどでも利用されている製品が目立つ。
Pulse SecureのVPN製品で明らかとなった「CVE-2019-11510」をはじめ、F5の「BIG-IP」における「CVE-2020-5902」、「Citrix ADC」で判明した「CVE-2019-19781」「CVE-2020-8193」「CVE-2020-8195」「CVE-2020-8196」などがリストに上っている。7月に明らかとなり、注意喚起が行われたばかりのMobileIronの「CVE-2020-15505」なども含まれる。
(Security NEXT - 2020/10/21 )
ツイート
PR
関連記事
Atlassian、前月更新で脆弱性46件を修正 - クリティカル9件含むも影響は限定的
NVIDIAのAI基盤「NeMo Framework」に複数脆弱性 - 修正版が公開
「Trend Micro Apex One」のEDR機能に脆弱性 - パッチは2026年1月に公開
約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25
「LangChain」に深刻な脆弱性 - APIキー流出のおそれ
Fortraの特権アクセス管理製品「BoKS」に脆弱性 - アップデートで修正
NVIDIAのロボティクス基盤「Isaac Launchable」に深刻な脆弱性
「Frappe Framework」「ERPNext」にXSS脆弱性 - 管理者権限奪取のおそれ
DigiEver製NVRの脆弱性悪用に注意 - 米CISAが警告
「n8n」に深刻なRCE脆弱性 - 乗っ取りや情報漏洩など広く影響
