CISA、「最も危険な」リストに新たに3つの脆弱性を追加：知っておくべきこと

Cybersecurity and Infrastructure Security Agency (CISA)は、最新のKnown Exploited Vulnerabilities (KEV)カタログを発表した。この通知の意義は、CISAの警告がある種の理論的な状況を示しているのではなく、これらの脆弱性が実際の攻撃に悪用されているという意味で、明確なものであるという事実に基づいている。

何が追加されたのか？

この3つの脆弱性を日常の言葉に置き換えてみよう：

1.Edimax IP カメラの脆弱性 (CVE-2025-1316)

で言及されたセキュリティの問題。 セキュリティカメラ Edimax IC-7100 とは、いわゆる "コマンド・インジェクション "のことである。攻撃者はカメラに有害なコードを実行させることができるというものです。このようなカメラが家庭やオフィスに設置されている場合、非認証ユーザーがカメラのフィードにアクセスしたり、設定を変更したり、ネットワーク上の他のデバイスを攻撃するためにこれらのカメラを使用したりする可能性があります。

2.NAKIVO バックアップソフトウェアの脆弱性 (CVE-2024-48248)

ナキボ はバックアップとリカバリーのソリューションを開発しており、多くの企業がデータ保護のために利用している。問題の欠陥は"絶対パス走査これは、攻撃者が見るはずのないファイルにアクセスすることを可能にする。これは、バックアップに機密データが含まれていることが多いバックアップ・ソフトウェアの場合、特に危険である。この脆弱性を侵害した侵入者は、バックアップされたデータにアクセスしたり、盗んだり、削除したりする可能性がある。

3.SAP NetWeaver の脆弱性 (CVE-2017-12637)

これは2017年のことであり、かなり昔のことであるため、特に重要である。SAP NetWeaverは、さまざまな重要なビジネス・アプリケーションを実行するテクノロジー・プラットフォームのひとつである。そのギャップは、まさに"ディレクトリトラバーサル「そのため、侵入者は立ち入り禁止のファイルやディレクトリを手に入れることができた。これほど長い年月を経ても、多くのシステムがこのパッチの影響を受けていないという事実が、攻撃者が現在このパッチを悪用している理由である。

なぜこれが誰にとっても重要なのか

CISAのガイドラインは連邦政府当局にのみ義務付けられているが、彼らのKEVカタログは、修正すべき最も重要なバグを選択するための最新の情報源として設定されている。いったんバグがこのリストに含まれると、それは次のことを意味する：

• ハッカーはこれらの脆弱性を利用する。
• この攻撃は非常に成功しており、すでに国家レベルまで来ている
• これらの脆弱性による潜在的な損害は相当なものである。

何をすべきか？

ホームユーザー向け：

• もしEdimaxのカメラをお持ちなら、メーカーのウェブサイトでファームウェアのアップデートを確認してください。
• デバイスに必要なセキュリティパッチがすべて適用されていることを確認する。
• セキュリティパッチが適用される可能性の低い、新しくて古いデバイスについて考えてみましょう。

ビジネスユーザー向け：

• 対象製品（Edimaxカメラ、NAKIVOバックアップソフトウェア、SAP NetWeaver）をインベントリに含めてください。
• これらのシステムにパッチを当てることを、ToDoリストのトップに入れること。
• パッチをすぐにインストールできない場合は、ネットワーク・セグメンテーションによって残りのネットワークを隔離することで、潜在的な被害を最小限に抑えるよう努めるべきである。
• 万が一感染した場合に備えて、感染していないコピーを復元できるよう、バックアップの手順を確認してください。

ITプロフェッショナル向け：

• を活用しよう。 CISAによるKEVカタログこれは事実上、脆弱性管理プログラムのスコアカードである。
• アップデートの間、古いバージョンの SAP NetWeaver プラットフォームが稼動している可能性があります。
• もしかしたら、非常に重要なシステムについては、より頻繁に脆弱性スキャンを実施したほうがいいかもしれない
• この場合、最も危機的な状況にどう対処するかについて、今この瞬間に電光石火の速さで計画を練る。

8年前の脆弱性の例は、そのプロセスを理解するための素晴らしい教訓だ。 サイバーセキュリティ は後を絶たない。いまだに古いソフトウェアを使用している企業も多く、そのソフトウェアにはよく知られた脆弱性があるかもしれない。そのため、ソフトウェアやシステムの定期的なアップデート、機能するマシンに対するパッチやセキュリティ評価が必要となる。

CISAがKEVカタログを更新するとき、それは単なる弱点ではなく、攻撃者がデータを感染させ盗むために現在広く利用しているセキュリティの抜け穴であることを心に留めておいてほしい。マルウェアの侵入によってもたらされる困難に直面することのない新政権の一員となるために、早急に対処すること。