CISA、最新KEVアップデートで5件の積極的に悪用される脆弱性を警告

CISA、積極的に悪用される5件の脆弱性をKEVカタログに追加

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Known Exploited Vulnerabilities（KEV）カタログに5件の新たな脆弱性を追加した。これらの脆弱性は、実際の攻撃で悪用されている証拠があるとして、2026年1月26日付のアップデートで公表された。連邦文民機関は、Binding Operational Directive（BOD）22-01に基づき、2026年2月16日までにこれらの脆弱性を修正することが義務付けられている。

追加されたCVEの技術的詳細

今回追加された脆弱性は以下の通り：

1. CVE-2024-21887（Ivanti Connect SecureおよびPolicy Secure）

   • 種類：コマンドインジェクション脆弱性
   • 深刻度：クリティカル（CVSS 9.1）
   • 影響：認証されていない攻撃者が、巧妙に細工されたリクエストを通じて、脆弱なシステム上で任意のコマンドを実行可能。

2. CVE-2023-46805（Ivanti Connect SecureおよびPolicy Secure）

   • 種類：認証バイパス
   • 深刻度：高（CVSS 8.2）
   • 影響：攻撃者が認証制御を回避し、制限されたリソースへの不正アクセスが可能。

3. CVE-2023-22527（Atlassian Confluence Data CenterおよびServer）

   • 種類：リモートコード実行（RCE）
   • 深刻度：クリティカル（CVSS 10.0）
   • 影響：テンプレートインジェクションの欠陥を悪用し、認証されていない攻撃者が脆弱なConfluenceインスタンス上で任意のコードを実行可能。

4. CVE-2024-0204（Fortra GoAnywhere MFT）

   • 種類：認証バイパス
   • 深刻度：クリティカル（CVSS 9.8）
   • 影響：攻撃者が管理者ユーザーを作成し、影響を受けるシステムの完全な制御を奪取可能。

5. CVE-2023-27532（Apache Superset）

   • 種類：不安全なデフォルト設定
   • 深刻度：高（CVSS 8.9）
   • 影響：Supersetのインストール時にデフォルトのSECRET_KEYが設定されているため、認証されていない攻撃者が認証を突破し、機密データにアクセス可能。

影響分析

これらの脆弱性は、特にIvanti、Atlassian Confluence、Fortra GoAnywhere、Apache Supersetを使用している組織に重大なリスクをもたらす。現在、これらの脆弱性は積極的に悪用されており、脅威アクターは以下のような攻撃に悪用している：

• 企業ネットワークへの不正アクセス
• ランサムウェアやその他のマルウェアの展開
• 機密データの窃取
• さらなる攻撃のための持続的なアクセスの確立

連邦機関は2月16日までにこれらの脆弱性を修正することが義務付けられているが、CISAはすべての組織（公共・民間を問わず）に対し、潜在的な侵害を防ぐために対策を優先するよう強く推奨している。

セキュリティチーム向けの推奨事項

1. 即時のパッチ適用：ベンダー提供のパッチや緩和策を遅滞なく適用する。
2. ネットワークのセグメンテーション：脆弱なシステムを隔離し、悪用された場合の横展開を制限する。
3. 監視と検知：侵入検知/防止システム（IDS/IPS）を導入し、悪用の試みを検出する。
4. ユーザー啓発：フィッシングやソーシャルエンジニアリングの手口を認識させるための従業員教育を実施する。
5. KEVカタログの定期確認：CISAのKEVカタログを定期的に確認し、リストされた脆弱性の修正を優先する。

詳細については、CISAの公式アドバイザリを参照。