米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月22日、「CISA Adds Two Known Exploited Vulnerabilities to Catalog|CISA」において、ネットワーク管理ソフトウェア「Zabbix」の脆弱性を「Known Exploited Vulnerabilities Catalog | CISA」に追加したと発表した。
追加された脆弱性情報は次のとおり。
CVE番号 | 脆弱性内容 |
---|---|
CVE-2022-23131 | Zabbix Frontend Authentication Bypass Vulnerability |
CVE-2022-23134 | Zabbix Frontend Improper Access Control Vulnerability |
アクティブにサイバー攻撃に悪用されていることが確認されていることから、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は脆弱性カタログにこれら2つの脆弱性情報を追加したと説明している。
CISAは深刻度の高い脆弱性情報を取り上げるとともに、古くなった脆弱性に関しても、アクティブにサイバー攻撃に使われ続けているものはこのように再度取り上げてカタログへ追加する取り組みを行っている。
発見された脆弱性はすぐにすべてのソフトウェアで修正されることはない。このため、サイバー攻撃者はこうした既知の脆弱性の悪用を続けている。使用しているソフトウェアは常に最新版へアップデートするとともに、最新の脆弱性情報を取得して対策を続けることが望まれる。