米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
米政府は、中国が国家として支援するサイバー攻撃において、25件の脆弱性が悪用されているとして注意喚起を行った。
米国家安全保障局が公表したリスト
米国家安全保障局(NSA)が、連邦政府機関の情報システムや防衛産業基盤、国防総省などを標的とするサイバー攻撃に中国が関与したと名指しし、実際に悪用されたり、探索行為の対象となった脆弱性のリストを公表した。
リストには25件の脆弱性がピックアップされており、2019年以前のものが12件、2020年に明らかとなった脆弱性が13件含まれる。いずれも深刻度が高く、これまで注意喚起が行われてきた脆弱性が大半を占めており、あらためて早急なパッチの適用や緩和策の実施を求めた。
具体的に悪用されている脆弱性を見ると、テレワークなどでも利用されている製品が目立つ。
Pulse SecureのVPN製品で明らかとなった「CVE-2019-11510」をはじめ、F5の「BIG-IP」における「CVE-2020-5902」、「Citrix ADC」で判明した「CVE-2019-19781」「CVE-2020-8193」「CVE-2020-8195」「CVE-2020-8196」などがリストに上っている。7月に明らかとなり、注意喚起が行われたばかりのMobileIronの「CVE-2020-15505」なども含まれる。
(Security NEXT - 2020/10/21 )
ツイート
PR
関連記事
「OpenSSL」にアップデート - 複数の脆弱性を解消
アクセス制御ツール「Pomerium」に脆弱性 - アップデートを
「Barracuda ESG」脆弱性、修正の7カ月前に悪用の痕跡
エンカレッジ製のUNIX/Linux向け証跡記録ソフトに脆弱性
Google、「Chrome 114」をリリース - 複数の脆弱性を修正
「iTunes for Windows」に複数の脆弱性 - アップデートで修正
Barracuda製メールセキュリティ製品に脆弱性 - すでに悪用も
「MS Edge」にアップデート - 「クリティカル」とされる脆弱性を解消
Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起
オープンデータ公開基盤の「CKAN」に深刻な脆弱性
