CISA、積極的に悪用される4件の脆弱性をKEVカタログに追加

CISA、積極的に悪用される4件の脆弱性をKEVカタログに追加

米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、Known Exploited Vulnerabilities（KEV）カタログを更新し、4件の新たなセキュリティ脆弱性を追加した。これらの脆弱性は、実際の攻撃で悪用されている証拠が確認されたもので、木曜日（現地時間）に発表された。この更新は、企業や政府システムに対する継続的な脅威を浮き彫りにしている。

脆弱性の技術的詳細

新たに追加された脆弱性は以下の通り：

1. CVE-2025-68645（CVSS: 8.8） – Synacor Zimbra Collaboration Suite（ZCS）におけるリモートファイルインクルージョン（RFI）脆弱性。認証されていない攻撃者が、脆弱なサーバー上で任意のコードを実行できる。Zimbraは広く利用されている電子メールおよびコラボレーションプラットフォームであり、その企業での採用状況から、脅威アクターの標的となることが多い。

2. その他3件の脆弱性（詳細はCISAの公開情報を待つ）もリストに追加されており、さまざまなソフトウェア環境で悪用が確認されている。CISAのKEVカタログは、連邦機関や民間組織がパッチ適用を優先するための重要なリソースとなっている。

影響と悪用の状況

これらの脆弱性がKEVカタログに追加されたことは、未修正のシステムに対する差し迫ったリスクを示している。CISAのBinding Operational Directive（BOD）22-01では、連邦政府機関に対し、KEVにリストされた脆弱性を指定された期限内に修正することを義務付けている。特にCVE-2025-68645のような重大な脆弱性については、通常2週間以内の対応が求められる。

• Zimbraの脆弱性は、歴史的にAPTグループやランサムウェアオペレーターによって悪用され、企業ネットワークへの初期アクセス手段として利用されてきた。CVE-2025-68645の**リモートコード実行（RCE）**機能は、データ流出、ラテラルムーブメント、マルウェア配布のリスクを高める。
• 古いバージョンのZCSを運用している組織は特に脆弱であり、脅威アクターが公開されているインスタンスを積極的にスキャンしている。

セキュリティチームへの推奨事項

CISAは、すべての組織に以下の対策を推奨している：

• CVE-2025-68645およびその他のKEVリスト脆弱性を直ちにパッチ適用し、ベンダー提供のアップデートを適用する。
• CISAのKEVカタログを確認し、追加のガイダンスや修正期限を確認する：https://www.cisa.gov/kev。
• ネットワークトラフィックを監視し、不審なアウトバウンド接続や不正アクセスの兆候を検出する。
• 重要システムを分離し、侵害が発生した場合のラテラルムーブメントを制限する。

連邦政府機関はBOD 22-01の要件を遵守する必要があるが、民間組織もリスク軽減のためにCISAの優先順位付けフレームワークに従うことが強く推奨される。

最新情報については、CISAの公式アドバイザリーおよびベンダーのパッチを参照のこと。