米国当局、サイバー攻撃に悪用されている脆弱性トップ15公開、ただちに確認を

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)、アメリカ連邦調査局(FBI: Federal Bureau of Investigation)、米国家安全保障局(NSA: National Security Agency)、オーストラリアサイバーセキュリティセンター(ACSC: Australian Cyber Security Centre)、カナダサイバーセキュリティセンター(CCCS: Canadian Centre for Cyber Security)、ニュージーランド国立サイバーセキュリティセンター(NZ NCSC :New Zealand National Cyber Security Centre)、英国立サイバーセキュリティーセンター(NCSC: National Cyber Security Centre)は4月27日(米国時間)、「2021 Top Routinely Exploited Vulnerabilities｜CISA」において、日常的に繰り返し悪用されている脆弱性トップ15を伝えた。

• 2021 Top Routinely Exploited Vulnerabilities｜CISA

これら脆弱性は公共から民間企業まで幅広い業界を狙って繰り返し悪用されているとして、注意が呼びかけられている。

本アラートで指摘されている脆弱性トップ15は次のとおり。

• CVE-2021-44228 Apache Log4j (Log4Shell - RCE)
• CVE-2021-40539 Zoho ManageEngine AD SelfService Plus (RCE)
• CVE-2021-34523 Microsoft Exchange Server (ProxyShell - Elevation of privilege)
• CVE-2021-34473 Microsoft Exchange Server (ProxyShell - RCE)
• CVE-2021-31207 Microsoft Exchange Server (ProxyShell - Security feature bypass)
• CVE-2021-27065 Microsoft Exchange Server (ProxyLogon - RCE)
• CVE-2021-26858 Microsoft Exchange Server (ProxyLogon - RCE)
• CVE-2021-26857 Microsoft Exchange Server (ProxyLogon - RCE)
• CVE-2021-26855 Microsoft Exchange Server (ProxyLogon - RCE)
• CVE-2021-26084 Atlassian Confluence Server and Data Center (Arbitrary code execution)
• CVE-2021-21972 VMware vSphere Client (RCE)
• CVE-2020-1472 Microsoft Netlogon Remote Protocol (MS-NRPC) (ZeroLogon - Elevation of privilege)
• CVE-2020-0688 Microsoft Exchange Server (RCE)
• CVE-2019-11510 Pulse Secure Pulse Connect Secure (Arbitrary file reading)
• CVE-2018-13379 Fortinet FortiOS and FortiProxy (Path traversal)

当局らはこれら脆弱性に加えて、2021年には次の脆弱性も日常的に繰り返し悪用されていたとして警戒を呼びかけている。

• CVE-2021-42237 Sitecore XP (RCE)
• CVE-2021-40444 Microsoft MSHTML (RCE)
• CVE-2021-35464 ForgeRock OpenAM server (RCE)
• CVE-2021-34527 Microsoft Windows Print Spooler (RCE)
• CVE-2021-3156 Sudo (Privilege escalation)
• CVE-2021-27852 Checkbox Survey (Remote arbitrary code execution)
• CVE-2021-27104 Accellion FTA (OS command execution)
• CVE-2021-27103 Accellion FTA (Server-side request forgery)
• CVE-2021-27102 Accellion FTA (OS command execution)
• CVE-2021-27101 Accellion FTA (SQL injection)
• CVE-2021-22893 Pulse Secure Pulse Connect Secure (Remote arbitrary code execution)
• CVE-2021-21985 VMware vCenter Server (RCE)
• CVE-2021-20038 SonicWall Secure Mobile Access (SMA) (RCE)
• CVE-2021-20016 SonicWall SSLVPN SMA100 (Improper SQL command neutralization, allowing for credential access)
• CVE-2021-1675 Windows Print Spooler (RCE)
• CVE-2020-2509 QNAP QTS and QuTS hero (Remote arbitrary code execution)
• CVE-2019-19781 Citrix Application Delivery Controller (ADC) and Gateway (Arbitrary code execution)
• CVE-2019-18935 Progress Telerik UI for ASP.NET AJAX (Code execution)
• CVE-2018-0171 Cisco IOS Software and IOS XE Software (Remote arbitrary code execution)
• CVE-2017-11882 Microsoft Office (RCE)
• CVE-2017-0199 Microsoft Office (RCE)

当局はこうした脆弱性を悪用したサイバー攻撃の被害者とならないよう、使用しているソフトウェアを常に最新版へアップデートすること、サポートが終了したソフトウェアはサポートが提供されているソフトウェアへ入れ替えることを推奨している。また、アップデートの適用などができない場合は、こうしたサービスを自動で提供しているクラウドサービスプロバイダーやマネージドサービスプロバイダーが提供しているサービスへの移行を検討するように求めている。