CISAが2つの高リスク脆弱性を悪用カタログに追加：セキュリティチームが今すべきこと

サイバーセキュリティ・インフラストラクチャー・セキュリティ庁（CISA）は再びその 既知の悪用された脆弱性カタログ（KEV）を更新しました—連邦および民間部門の防御者にとって重要な情報源です。2025年5月2日、野生で悪用されていることが確認された2つの脆弱性が追加されました：

• CVE-2025-34028 – Commvault Command Center パストラバーサル脆弱性
• CVE-2024-58136 – YiiFramework 代替パス脆弱性：不適切な保護

これらの拡張は、すべてのセクターの組織が、連邦の積極的な要求がない場合でも、脆弱性管理において警戒を怠らず、積極的である必要があることを強調しています。.

なぜこれらのCVEが重要なのか

CVE-2025-34028 Commvault Command Centerにおけるパストラバーサル脆弱性は、攻撃者が許可されていないディレクトリを読み取ったり、意図されたファイル構造外でコードを実行したりすることを可能にします。この脆弱性は、バックアップおよびデータ保護システムの機密性の高い性質を考えると特に問題です。これらはランサムウェア攻撃者や国家攻撃者の好むターゲットです。.

CVE-2024-58136 は、一般的にWebアプリケーションで使用されるYii PHPフレームワークに影響を与えます。これは、代替パスの保護が不十分であることに起因し、設計されたアクセス制御を回避する可能性があります。その悪用は、機密機能やデータの不正使用につながる可能性があり、開発者やプラットフォーム管理者にとって重大なリスクをもたらします。.

BOD 22-01の役割

連邦民間行政機関（FCEB）は 拘束力のある運用指令22-01 に従い、KEVにリストされた脆弱性を所定の期間内に修正しなければなりません。この指令は、政府ネットワーク上でより強固なセキュリティポジションを支持して、積極的に悪用されているCVEに対する構造化された優先的な対応を義務付けています。.
この指令は連邦機関を対象としていますが、CISAはすべての組織—民間企業、重要インフラプロバイダー、SaaSベンダー—に対して、KEVカタログを緊急の修正リストとして使用することを強く推奨しています。.

セキュリティチームへの専門家のアドバイス

セキュリティブリーフィングでは、CommvaultまたはYiiのインストールを監督する管理者に対して即時の行動を促します：

• Commvault Command CenterおよびYiiに基づくWebアプリケーションのすべてのインストールを監査します。.
• できるだけ早くパッチを適用するか、緩和策を講じます。公に悪用されている脆弱性のパッチ適用を遅らせると、直接的な妥協につながる可能性があります。.
• ファイルアクセス制御およびWebアプリケーションファイアウォール（WAF）を適用して、パストラバーサルまたは代替パスアクセスの試みを識別し、防止します。.
• CISAのKEVカタログを毎週追跡し、自動化された脆弱性スキャンおよび修正プロセスに組み込みます。.
• アクセスログを監査し、特に外部に面したシステムでの以前の悪用の兆候を探すために脅威ハンティングを実施します。.

最後の考え： CISAのKEVカタログの継続的な更新は、重要な警告システムを表しています。これらの警告に対応しないことは、サイバー犯罪者が積極的に利用している既知の侵入ポイントを開いたままにするのと同じです。民間または公共部門のいずれに属していても、各KEVの追加を最優先で処理してください。積極的な脆弱性管理はもはや選択肢ではなく、現代の企業を保護するための必要条件です。.