米政府、中国関与のサイバー攻撃者が悪用する脆弱性のリストを公開 - 国内製品も
米政府は、中国より支援を受けたサイバー攻撃者によって近年頻繁に悪用されている脆弱性のリストを公開した。リストには国内ベンダーの名前もピックアップされている。
米国家安全保障局(NSA)、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)が共同でアドバイザリを公開したもの。
中国より支援を受けたとされるサイバー攻撃者が、2020年以降にネットワークの侵害、知的財産の窃取などに用いた使用頻度の高い既知の脆弱性20件をリストとして公開したもので、米国内の行政機関や重要インフラ、企業などへ対策を講じるよう呼びかけた。
「Apache Log4j」に明らかとなった別名「Log4Shell」としても知られる「CVE-2021-44228」をはじめ、「Pulse Connect Secure」の「CVE-2019-11510」、「Citrix ADC」の「CVE-2019-19781」など20件を具体的に挙げている。
2022年に入って明らかとなった脆弱性も3件「CVE-2022-26134」「CVE-2022-1388」「CVE-2022-24112」含まれるが、他脆弱性はいずれも2021年以前に明らかとなった脆弱性となっている。
(Security NEXT - 2022/10/07 )
ツイート
関連リンク
PR
関連記事
脅威情報共有プラットフォーム「MISP」に脆弱性 - 最新版へ更新を
水道局の制御機器を狙うサイバー攻撃が発生 - 米当局が注意喚起
VMware、「VCD Appliance」の修正パッチを公開 - ゼロデイ脆弱性に対応
米当局、「ownCloud」など脆弱性2件の悪用に注意喚起
「Apache Tomcat」にリクエストスマグリングの脆弱性
NEC製クラスタリングソフト「CLUSTERPRO X」に複数の脆弱性
「MS Edge」もアップデート - 悪用済み脆弱性に対応
eラーニング向けCMSに複数の脆弱性 - 実証コードなど公開
「Chrome」にセキュリティアップデート - ゼロデイ脆弱性など修正
キャプティブポータルを提供する「OpenNDS」に複数の深刻な脆弱性