CISA、最新のKEVアップデートで4つの積極的に悪用される脆弱性を警告

CISA、積極的に悪用される4つの脆弱性をKEVカタログに追加

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、積極的な悪用の証拠を理由に、4つの新たな脆弱性をKnown Exploited Vulnerabilities（KEV）カタログに追加しました。このアップデートは2026年1月22日に発行され、連邦民間執行部門（FCEB）の機関は、Binding Operational Directive（BOD）22-01に基づき、2026年2月12日までにこれらの脆弱性を修正することが義務付けられています。

脆弱性の技術的詳細

新たに追加された脆弱性は以下の通りです：

1. CVE-2023-46805（CVSS: 9.8） – Ivanti Connect SecureおよびPolicy Secureゲートウェイにおける認証バイパス。不正なアクセスにより制限されたリソースへのアクセスが可能。
2. CVE-2024-21887（CVSS: 9.1） – Ivanti Connect SecureおよびPolicy Secureにおけるコマンドインジェクションの脆弱性。認証された管理者が任意のコマンドを実行可能。
3. CVE-2024-23897（CVSS: 9.8） – Jenkinsにおける任意ファイル読み取りの脆弱性。組み込みのコマンドラインインターフェース（CLI）を介して攻撃者が機密ファイルにアクセス可能。
4. CVE-2024-27198（CVSS: 9.8） – JetBrains TeamCityにおける認証バイパス。認証されていない攻撃者が影響を受けるサーバーの管理者権限を取得可能。

これらの脆弱性は、広く使用されているエンタープライズおよび開発ツールに影響を与え、放置すると組織に重大なリスクをもたらします。

影響分析

• CVE-2023-46805およびCVE-2024-21887：これらのIvantiの脆弱性の悪用は、標的型攻撃（APTグループによるものを含む）に関連付けられています。悪用に成功すると、ラテラルムーブメント、データ流出、または追加のマルウェア展開につながる可能性があります。
• CVE-2024-23897：このJenkinsの脆弱性を悪用する攻撃者は、資格情報、APIキー、またはその他の機密データを抽出し、さらなる侵害を助長する可能性があります。
• CVE-2024-27198：TeamCityの脆弱性は、ランサムウェアや暗号通貨マイナーの展開に悪用されており、脆弱なインスタンスに対する大規模なスキャンが報告されています。

推奨される対策

CISAは、特に連邦機関を含むすべての組織に対し、これらの脆弱性への対策を優先するよう強く要請しています。主な対策は以下の通りです：

• 即時のパッチ適用：Ivanti、Jenkins、JetBrains製品に対して、ベンダー提供のアップデートを遅滞なく適用。
• ネットワークのセグメンテーション：脆弱なシステムを隔離し、ラテラルムーブメントのリスクを制限。
• 悪用の監視：侵入検知/防御システム（IDS/IPS）を導入し、侵害の兆候を検出。
• インシデント対応：悪用の兆候がないかログを確認し、インシデント対応の準備を行う。

連邦機関にとっては、BOD 22-01への準拠が義務付けられています。民間組織も、リスクを軽減するためにCISAのガイダンスに従うことが強く推奨されています。

詳細については、CISAの公式アドバイザリを参照してください。