« 米国 MITRE グローバル民主主義への脅威 | Main | 経済産業省 「経済安全保障」を切り口とした産業政策の検討体制を強化します »


Five Eyes 2022年 日常的に悪用される脆弱性トップ12


Fice Eyesのサイバーセキュリティ関連機関が

• United States: The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) 米国: サイバーセキュリティ・インフラセキュリティ庁(CISA),国家安全保障局(NSA),連邦捜査局(FBI)
• Australia: Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) オーストラリア:オーストラリア信号総局のオーストラリア・サイバーセキュリティ・センター(ACSC)
• Canada: Canadian Centre for Cyber Security (CCCS) カナダ:カナダ・サイバーセキュリティ・センター(CCCS)
• New Zealand: New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team New Zealand (CERT NZ) ニュージーランド:ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、コンピュータ緊急対応チームニュージーランド(CERT NZ)
• United Kingdom: National Cyber Security Centre (NCSC-UK) 英国:国家サイバーセキュリティセンター(NCSC-UK)






・2023.08.03 [PDF] 2022 Top Routinely Exploited Vulnerabilities 




CVE-2018-13379. This vulnerability, affecting Fortinet SSL VPNs, was also routinely exploited in 2020 and 2021. The continued exploitation indicates that many organizations failed to patch software in a timely manner and remain vulnerable to malicious cyber actors. - CVE-2018-13379. フォーティネットのSSL VPNに影響を及ぼすこの脆弱性は、2020年と2021年にも日常的に悪用されていた。悪用が続いていることは、多くの組織がタイムリーにソフトウェアにパッチを適用できず、悪意のあるサイバー行為者に対して脆弱性が残っていることを示している。
CVE-2021-34473, CVE-2021-31207, CVE-2021-34523. These vulnerabilities, known as ProxyShell, affect Microsoft Exchange email servers. In combination, successful exploitation enables a remote actor to execute arbitrary code. These vulnerabilities reside within the Microsoft Client Access Service (CAS), which typically runs on port 443 in Microsoft Internet Information Services (IIS) (e.g., Microsoft’s web server). CAS is commonly exposed to the internet to enable users to access their email via mobile devices and web browsers. - CVE-2021-34473、CVE-2021-31207、CVE-2021-34523。ProxyShellとして知られるこれらの脆弱性は、Microsoft Exchangeメールサーバーに影響する。これらの脆弱性は、Microsoft Exchangeメールサーバーに存在し、ProxyShellとして知られている。これらの脆弱性は、Microsoft Client Access Service (CAS)内に存在する。CASは通常、Microsoft Internet Information Services (IIS)(MicrosoftのWebサーバーなど)の443番ポートで実行される。CASは、ユーザーがモバイル機器やウェブ・ブラウザから電子メールにアクセスするために、一般的にインターネットに公開されている。
CVE-2021-40539. This vulnerability enables unauthenticated remote code execution (RCE) in Zoho ManageEngine ADSelfService Plus and was linked to the usage of an outdated third-party dependency. Initial exploitation of this vulnerability began in late 2021 and continued throughout 2022. - CVE-2021-40539 この脆弱性は、Zoho ManageEngine ADSelfService Plus において、認証されていないリモート・コード実行(RCE)を可能にするものであり、古いサードパーティ依存関係の使用に関連している。この脆弱性の最初の悪用は 2021 年後半に始まり、2022 年を通して継続した。
CVE-2021-26084. This vulnerability, affecting Atlassian Confluence Server and Data Center (a web-based collaboration tool used by governments and private companies) could enable an unauthenticated cyber actor to execute arbitrary code on vulnerable systems. This vulnerability quickly became one of the most routinely exploited vulnerabilities after a PoC was released within a week of its disclosure. Attempted mass exploitation of this vulnerability was observed in September 2021. - CVE-2021-26084. この脆弱性は、Atlassian Confluence Server and Data Center(政府や民間企業で使用されているウェブベースのコラボレーション・ツール)に影響し、認証されていないサイバー行為者が脆弱なシステム上で任意のコードを実行できる可能性がある。この脆弱性は、公開から1週間以内にPoCが公開された後、最も日常的に悪用される脆弱性の1つとなった。この脆弱性の大量悪用の試みは、2021年9月に観測されている。
CVE-2021- 44228. This vulnerability, known as Log4Shell, affects Apache’s Log4j library, an open-source logging framework incorporated into thousands of products worldwide. An actor can exploit this vulnerability by submitting a specially crafted request to a vulnerable system, causing the execution of arbitrary code. The request allows a cyber actor to take full control of a system. The actor can then steal information, launch ransomware, or conduct other malicious activity.[1] Malicious cyber actors began exploiting the vulnerability after it was publicly disclosed in December 2021, and continued to show high interest in CVE-2021- 44228 through the first half of 2022. - CVE-2021- 44228. Log4Shell として知られるこの脆弱性は、Apache の Log4j ライブラリに影響するもので、オープンソースのロギング・フレームワークであり、世界中の何千もの製品に組み込まれている。行為者は、特別に細工されたリクエストを脆弱なシステムに送信することで、この脆弱性を悪用し、任意のコードを実行させることができる。このリクエストにより、サイバー攻撃者はシステムを完全に制御できるようになる。悪意のあるサイバー・アクターは、2021年12月にこの脆弱性が公表された後に悪用を開始し、2022年前半までCVE-2021- 44228に高い関心を示し続けた。
CVE-2022-22954, CVE-2022-22960. These vulnerabilities allow RCE, privilege escalation, and authentication bypass in VMware Workspace ONE Access, Identity Manager, and other VMware products. A malicious cyber actor with network access could trigger a server-side template injection that may result in remote code execution. Exploitation of CVE-2022-22954 and CVE-2022-22960 began in early 2022 and attempts continued throughout the remainder of the year. - CVE-2022-22954、CVE-2022-22960。これらの脆弱性は、VMware Workspace ONE Access、Identity Manager、およびその他のVMware製品において、RCE、特権の昇格、本人認証のバイパスを可能にする。ネットワークにアクセスできる悪意のあるサイバーアクターは、リモートでコードが実行される可能性のあるサーバー側のテンプレートインジェクションを引き起こす可能性がある。CVE-2022-22954およびCVE-2022-22960の悪用は、2022年初頭に開始され、今年いっぱい試行が続いた。
CVE-2022-1388. This vulnerability allows unauthenticated malicious cyber actors to bypass iControl REST authentication on F5 BIG-IP application delivery and security software. - CVE-2022-1388. この脆弱性は、認証されていない悪意のあるサイバー行為者が、F5 BIG-IP アプリケーションデリバリおよびセキュリティソフトウェアの iControl REST 認証をバイパスすることを可能にする。
CVE-2022-30190. This vulnerability impacts the Microsoft Support Diagnostic Tool (MSDT) in Windows. A remote, unauthenticated cyber actor could exploit this vulnerability to take control of an affected system. - CVE-2022-30190. この脆弱性は、Windows の Microsoft Support Diagnostic Tool (MSDT) に影響します。リモートの認証されていないサイバー行為者が、この脆弱性を悪用することで、影響を受けるシステムを制御できる可能性があります。
CVE-2022-26134. This critical RCE vulnerability affects Atlassian Confluence and Data Center. The vulnerability, which was likely initially exploited as a zero-day before public disclosure in June 2022, is related to an older Confluence vulnerability (CVE-2021-26084), which cyber actors also exploited in 2022. - CVE-2022-26134. このクリティカルな RCE 脆弱性は、Atlassian Confluence と Data Center に影響します。この脆弱性は、2022年6月に公開される前にゼロデイとして悪用された可能性が高く、サイバー行為者が2022年にも悪用した古いConfluenceの脆弱性(CVE-2021-26084)に関連している。


CVE Vendor Product Type CWE
CVE-201813379 Fortinet FortiOS and FortiProxy SSL VPN credential exposure CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
CVE-2021-34473 (Proxy Shell) Microsoft Exchange Server RCE CWE-918 Server-Side Request Forgery (SSRF)
(Proxy Shell)
Microsoft Exchange Server Security Feature Bypass CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
(Proxy Shell)
Microsoft Exchange Server Elevation of Privilege CWE-287 Improper Authentication
CVE-202140539 Zoho ManageEngine ADSelfService Plus RCE/ Authentication Bypass CWE-287 Improper Authentication
CVE-202126084 Atlassian Confluence Server and Data Center Arbitrary code execution CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')
Apache Log4j2 RCE CWE-917 Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection')

CWE-20 Improper Input Validation

CWE-400 Uncontrolled Resource Consumption

CWE-502 Deserialization of Untrusted Data

CVE-202222954 VMware Workspace ONE Access and Identity Manager RCE CWE-94 Improper Control of Generation of Code ('Code Injection')
CVE-202222960 VMware Workspace ONE Access, Identity Manager, and vRealize Automation Improper Privilege Management CWE-269 Improper Privilege Management
CVE-20221388 F5 Networks BIG-IP Missing Authentication Vulnerability CWE-306 Missing Authentication for Critical Function
CVE-202230190 Microsoft Multiple Products RCE None Listed
CVE-202226134 Atlassian Confluence Server and Data Center RCE CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')




« 米国 MITRE グローバル民主主義への脅威 | Main | 経済産業省 「経済安全保障」を切り口とした産業政策の検討体制を強化します »


Post a comment

(Not displayed with comment.)

Comments are moderated, and will not appear on this weblog until the author has approved them.

« 米国 MITRE グローバル民主主義への脅威 | Main | 経済産業省 「経済安全保障」を切り口とした産業政策の検討体制を強化します »