« CSA 重要インフラのためのゼロトラストガイダンス (2024.10.28) | Main | 米国 NIST CSWP 36c (初期公開ドラフト) 一時的な ID の再割り当て: 5Gサイバーセキュリティとプライバシー機能の適用 (2024.11.06) »

2024.11.13

Five Eyes 日常的に悪用される脆弱性のトップ15 2023、上位の脆弱性の大半はゼロデイ (2024.11.12)

こんにちは、丸山満彦です。

Five eyesが昨年(2023)悪用された脆弱性トップ15を公表しましたね...上位の脆弱性の大半はゼロデイだったそうです...

セキュリティ対応者はそれを意識した対策や運用の見直し等が必要となるかもですね...

 

英国

NSCS-UK

プレス...

・2024.11.12 UK and allies warn about shift in cyber attackers exploiting zero-day vulnerabilities

UK and allies warn about shift in cyber attackers exploiting zero-day vulnerabilities 英国と同盟国、ゼロデイ脆弱性を悪用するサイバー攻撃者の変化を警告する
NCSC and international partners share top 15 vulnerabilities that were routinely exploited by cyber attackers last year. NCSCと国際パートナーは、昨年サイバー攻撃者に日常的に悪用された脆弱性のトップ15を発表した。
・Majority of top vulnerabilities were first exploited as zero-days allowing malicious actors to compromise higher-priority targets ・上位脆弱性の大半はゼロデイとして初めて悪用され、悪意ある行為者はより優先順位の高い標的を侵害できるようになった。
・Network defenders and technology developers called upon to play their part in reducing the risk of compromise ・ネットワーク防御者と技術開発者は、侵害のリスクを低減するために自らの役割を果たすよう求められている。
The UK and international allies have issued an alert today (Tuesday) showing an increase in cyber attackers initially exploiting previously unknown vulnerabilities to compromise enterprise networks. 英国および国際的な同盟国は本日(火曜日)、エンタープライズ・ネットワークを侵害するために、これまで知られていなかった脆弱性を最初に悪用するサイバー攻撃者が増加していることを示す警告を発表した。
In a new advisory, the National Cyber Security Centre (NCSC) – a part of GCHQ – alongside partners in Australia, Canada, New Zealand and the United States, shared a list of the top 15 routinely exploited vulnerabilities of 2023. GCHQの一部であるナショナル・サイバー・セキュリティ・センター(NCSC)は、オーストラリア、カナダ、ニュージーランド、米国のパートナーとともに、新しい勧告の中で、2023年に日常的に悪用される脆弱性のトップ15のリストを共有した。
Of these vulnerabilities, the majority were first exploited as zero-days – weaknesses that were recently discovered and where a fix or patch was not immediately available from the vendor – allowing attackers to conduct cyber operations against higher-priority targets. これらの脆弱性のうち、大半はゼロデイ(最近発見された脆弱性で、ベンダーから修正プログラムやパッチがすぐに提供されないもの)として最初に悪用されたもので、攻撃者はより優先順位の高い標的に対してサイバー作戦を行うことができる。
This trend, which the NCSC has continued to observe into 2024, marks a shift from 2022 when less than half of the top list was initially exploited as zero-day vulnerabilities. NCSCが2024年まで継続して観測しているこの傾向は、ゼロデイ脆弱性として最初に悪用された脆弱性が上位リストの半分以下であった2022年からの変化を示している。
The advisory strongly encourages enterprise network defenders to maintain vigilance with their vulnerability management processes, including applying all security updates in a timely manner and ensuring they have identified all assets in their estates. この勧告は、エンタープライズ・ネットワークの防御者に対し、すべてのセキュリティ・アップデートをタイムリーに適用し、資産内のすべての資産を確実に特定するなど、脆弱性管理プロセスへの警戒を維持するよう強く奨励している。
It also calls on technology vendors and developers to follow advice on implementing secure-by-design principles into their products to help reduce the risk of vulnerabilities being introduced at source and being exploited later. また、技術ベンダーや開発者に対し、セキュア・バイ・デザインの原則を製品に導入することで、脆弱性がソースから侵入し、後に悪用されるリスクを低減するためのアドバイスに従うよう求めている。
Ollie Whitehouse, NCSC Chief Technology Officer, said: NCSCの最高技術責任者(CTO)であるオリー・ホワイトハウス氏は、次のように述べている:
“More routine initial exploitation of zero-day vulnerabilities represents the new normal which should concern end-user organisations and vendors alike as malicious actors seek to infiltrate networks.   「ゼロデイ脆弱性がより日常的に悪用されるようになることは、悪意ある行為者がネットワークへの侵入を試みる中で、エンドユーザー組織とベンダーが同様に懸念すべき新たな常態を代表するものである。 
“To reduce the risk of compromise, it is vital all organisations stay on the front foot by applying patches promptly and insisting upon secure-by-design products in the technology marketplace.  「侵害のリスクを低減するためには、すべての組織がパッチを迅速に適用し、技術市場でセキュア・バイ・デザインの製品にこだわることで、最前線に立ち続けることが不可欠である。
“We urge network defenders to be vigilant with vulnerability management, have situational awareness in operations and call on product developers to make security a core component of product design and life-cycle to help stamp out this insidious game of whack-a-mole at source”.  「我々は、ネットワーク防御者が脆弱性管理に警戒し、運用において状況認識を持ち、製品開発者が製品設計とライフサイクルの中核にセキュリティを据えるよう呼びかけ、この陰湿なモグラ叩きゲームを根絶することを支援する。
All vulnerabilities listed have had patches and fixes made available from the vendors to help mitigate the risk of compromise.  リストアップされた脆弱性はすべて、侵害のリスクを軽減するためのパッチや修正プログラムがベンダーから提供されている。
In the case of zero-day vulnerabilities, where exploitation is rife it is vital organisations have a process in place to install vendor updates at pace after they become available to minimise the opportunity for attackers. 悪用が横行するゼロデイ脆弱性の場合、攻撃者の機会を最小化するために、ベンダーのアップデートが利用可能になった後、迅速にインストールするプロセスを組織が持つことが重要である。
In addition to the top list, the advisory also details a further 32 vulnerabilities that were routinely exploited in 2023. この勧告では、トップリストに加え、2023年に日常的に悪用された32の脆弱性についても詳述している。
If mitigation steps have not already been taken, network defenders should follow vendor advice in each case and check for indicators of compromise before applying updates. 低減策がまだ講じられていない場合、ネットワーク防御者は、それぞれのケースでベンダーのアドバイスに従い、アップデートを適用する前に侵害の兆候をチェックすべきである。
This advisory has been jointly published by: 本アドバイザリは以下の団体により共同発表された:
NCSC NCSC
US Cybersecurity and Infrastructure Security Agency (CISA) 米国サイバーセキュリティ・インフラセキュリティ庁(CISA)
US Federal Bureau of Investigation (FBI) 米国連邦捜査局(FBI)
US National Security Agency (NSA) 米国国家安全保障局(NSA)
Australian Signals Directorate’s Australian Cyber Security Centre (ACSC), オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ACSC)
Canadian Centre for Cyber Security (CCCS) カナダ・サイバー・セキュリティ・センター(CCCS)
New Zealand National Cyber Security Centre (NCSC-NZ) ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
Computer Emergency Response Team New Zealand (CERT NZ) ニュージーランド・コンピュータ緊急対応チーム(CERT NZ)

 

 

米国

 ● CISA

プレス...

・2024.11.12 2023 Top Routinely Exploited Vulnerabilities

2023 Top Routinely Exploited Vulnerabilities 2023 日常的に悪用される脆弱性のトップ
Alert Code: AA24-317A アラートコード AA24-317A
Summary 概要
The following cybersecurity agencies coauthored this joint Cybersecurity Advisory (hereafter collectively referred to as the authoring agencies): 以下のサイバーセキュリティ機関は、この共同サイバーセキュリティ勧告を共同作成した(以下、これらをまとめて認可機関と呼ぶ):
United States: The Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and National Security Agency (NSA) 米国: サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、国家安全保障局(NSA)。
Australia: Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) オーストラリア:オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ACSC)
Canada: Canadian Centre for Cyber Security (CCCS) カナダ:カナダ・サイバー・セキュリティ・センター(CCCS)
New Zealand: New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team New Zealand (CERT NZ) ニュージーランド:ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)およびコンピュータ緊急対応チームニュージーランド(CERT NZ)
United Kingdom: National Cyber Security Centre (NCSC-UK) 英国:ナショナル・サイバー・セキュリティ・センター(NCSC-UK)
This advisory provides details, collected and compiled by the authoring agencies, on the Common Vulnerabilities and Exposures (CVEs) routinely and frequently exploited by malicious cyber actors in 2023 and their associated Common Weakness Enumerations (CWEs). Malicious cyber actors exploited more zero-day vulnerabilities to compromise enterprise networks in 2023 compared to 2022, allowing them to conduct operations against high priority targets. 本アドバイザリは、2023年に悪意のあるサイバー行為者によって日常的かつ頻繁に悪用される共通脆弱性エクスポージャー(CVEs)と、それらに関連する共通脆弱性列挙(CWEs)について、認可機関によって収集・編集された詳細を提供する。悪意のあるサイバー攻撃者は、2022年と比較して2023年にはより多くのゼロデイ脆弱性を悪用してエンタープライズ・ネットワークを侵害し、優先順位の高い標的に対して作戦を実施することを可能にした。
The authoring agencies strongly encourage vendors, designers, developers, and end-user organizations to implement the following recommendations, and those found within the Mitigations section of this advisory, to reduce the risk of compromise by malicious cyber actors. 認可機関は、ベンダー、設計者、開発者、およびエンドユーザ組織が、悪意のあるサイバー行為者による侵害のリスクを低減するために、以下の推奨事項および本アドバイザリの低減セクションに記載されている事項を実施することを強く推奨する。
Vendors, designers, and developers. Implement secure by design and default principles and tactics to reduce the prevalence of vulnerabilities in your software. ベンダー、設計者、開発者:セキュア・バイ・デザインおよびデフォルトの原則と戦術を導入し、ソフトウェアの脆弱性の蔓延を減らす。
・Follow the SP 800-218 Secure Software Development Framework (SSDF) and implement secure by design practices into each stage of the software development life cycle (SDLC). Establish a coordinated vulnerability disclosure program that includes processes to determine root causes of discovered vulnerabilities
.
SP 800-218 セキュアソフトウェア開発フレームワーク(SSDF)に従い、ソフトウェア開発ライフサイクル(SDLC)の各段階にセキュアバイデザインの手法を導入する。発見された脆弱性の根本原因を特定するプロセスを含む、協調的な脆弱性開示プログラムを確立する。
Prioritize secure by default configurations, such as eliminating default passwords and not requiring additional configuration changes to enhance product security. ・デフォルトのパスワードをなくし、製品のセキュリティを強化するための追加的な設定変更を要求しないなど、デフォルト設定による安全性を優先する
・Ensure that published CVEs include the proper CWE field, ide・ntifying the root cause of the vulnerability. 公開されたCVEに、脆弱性の根本原因を特定する適切なCWEフィールドが含まれるようにする。
End-user organizations: エンドユーザ組織
・Apply timely patches to systems. ・システムに適時パッチを適用する。
Note: If CVEs identified in this advisory have not been patched, check for signs of compromise before patching. 注:本アドバイザリで識別されたCVEにパッチが適用されていない場合、パッチを適用する前に侵害の兆候がないか確認する。
・Implement a centralized patch management system. ・一元的なパッチ管理システムを導入する。
・Use security tools such as endpoint detection and response (EDR), web application firewalls, and network protocol analyzers. ・エンドポイント検知・応答(EDR)、Webアプリケーションファイアウォール、ネットワークプロトコルアナライザなどのセキュリティツールを使用する。
・Ask your software providers to discuss their secure by design program, provide links to information about how they are working to remove classes of vulnerabilities, and to set secure default settings. ・ソフトウェアプロバイダに、セキュア・バイ・デザイン・プログラムについ て説明し、脆弱性クラスの除去にどのように取り組んでいるかについての情報 へのリンクを提供し、安全なデフォルト設定を行うよう求める。
Purpose 目的
The authoring agencies developed this document in furtherance of their respective cybersecurity missions, including their responsibilities to develop and issue cybersecurity specifications and mitigations. 認可機関は、サイバーセキュリティ仕様および低減を策定し発行する責任を含む、それぞれのサイバーセ キュリティの使命を推進するために本文書を策定した。

 

・[PDF] AA24-317A 2023 Top Routinely Exploited Vulnerabilities

20241113-12007

 

Top15

CVE-2023-3519 Citrix NetScaler ADC 
NetScaler Gateway
Code Injection CWE-94: Improper Control of Generation of Code ('Code Injection')
CVE-2023-4966 Citrix NetScaler ADC 
NetScaler Gateway
Buffer Overflow CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
CVE-2023-20198 Cisco IOS XE Web UI Privilege Escalation CWE-420: Unprotected Alternate Channel
CVE-2023-20273 Cisco IOS XE Web UI Command Injection CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
CVE-2023-27997 Fortinet FortiOS 
FortiProxy SSL-VPN
Heap-Based Buffer Overflow CWE-787: Out-of-bounds Write
CWE-122: Heap-based Buffer Overflow
CVE-2023-34362 Progress MOVEit Transfer SQL Injection CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
CVE-2023-22515 Atlassian Confluence Data Center and Server Broken Access Control CWE-20 Improper Input Validation
CVE-2021- 44228
(Log4Shell)
Apache Log4j2 Remote Code Execution (RCE) CWE-917 Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection')
CWE-502: Deserialization of Untrusted Data
CWE-20 Improper Input Validation
CWE-400 Uncontrolled Resource Consumption
CVE-2023-2868 Barracuda Networks ESG Appliance Improper Input Validation CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection')
CWE-20: Improper Input Validation
CVE-2022-47966 Zoho ManageEngine Multiple Products Remote Code Execution CWE-20 Improper Input Validation
CVE-2023-27350 PaperCut MF/NG Improper Access Control CWE-284: Improper Access Control
CVE-2020-1472 Microsoft Netlogon Privilege Escalation CWE-330: Use of Insufficiently Random Values
CVE-2023-42793 JetBrains TeamCity Authentication Bypass CWE-288: Authentication Bypass Using an Alternate Path or Channel
CVE-2023-23397 Microsoft Office Outlook Privilege Escalation CWE-294: Authentication Bypass by Capture-replay
CWE-20: Improper Input Validation
CVE-2023-49103 ownCloud graphapi Information Disclosure CWE-200 Exposure of Sensitive Information to an Unauthorized Actor

 

 

|

« CSA 重要インフラのためのゼロトラストガイダンス (2024.10.28) | Main | 米国 NIST CSWP 36c (初期公開ドラフト) 一時的な ID の再割り当て: 5Gサイバーセキュリティとプライバシー機能の適用 (2024.11.06) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« CSA 重要インフラのためのゼロトラストガイダンス (2024.10.28) | Main | 米国 NIST CSWP 36c (初期公開ドラフト) 一時的な ID の再割り当て: 5Gサイバーセキュリティとプライバシー機能の適用 (2024.11.06) »