Yahoo!ニュース

CISA、既知の悪用された脆弱性カタログ:MOVEit Transferで未認証での攻撃が可能に

大元隆志CISOアドバイザー
画像は筆者作成

 米国のCISA(Cybersecurity & Infrastructure Security Agency)は、2023年6月2日に公開されたアラートで、新たに1つの脆弱性を「既知の悪用された脆弱性カタログ (Known Exploited Vulnerabilities Catalog) 」(以下、KEV カタログ)に追加したと発表しました。

追加された脆弱性は以下の通りです。

CVE-2023-34362: Progress MOVEit Transfer SQL Injection Vulnerability

 詳細:Progress MOVEit Transferの2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), 2023.0.1 (15.0.1)以前のバージョンには、SQLインジェクションの脆弱性が存在します。

 この脆弱性は、認証されていない攻撃者がMOVEit Transferのデータベースにアクセスすることを可能にします。使用されているデータベースエンジン(MySQL、Microsoft SQL Server、Azure SQL)によっては、攻撃者がデータベースの構造や内容についての情報を推測し、データベース要素を変更または削除するSQL文を実行することができる可能性があります。

 注:これは2023年5月と6月に野生で悪用されており、未パッチのシステムはHTTPまたはHTTPS経由で攻撃を受ける可能性があります。

 メーカーサイト:MOVEit Transfer の重大な脆弱性

■拘束力のある運用指令 (BOD 22-01)

 CISAが公表する「既知の悪用されている脆弱性カタログ(KEVカタログ)」は米国連邦政府のシステムに対して大きなリスクをもたらすと考えられる脆弱性が登録されるデータベースです。

 KEVカタログは単に脆弱性が告知されているだけではなく、CISAはKEVカタログに記載された脆弱性に対して指定の期日までに対応することを要請する「拘束力のある運用指令 22-01 (BOD 22-01)」を発令しています。

 BOD 22-01によって、米国の連邦文民機関は、KEV カタログに記載された脆弱性を指定の期日までに修正しなければならないという法的拘束力をもつものです。

 BOD 22-01は米国連邦政府のシステムを対象としており、米国連邦政府のシステムと関係のない民間企業には法的拘束力はありませんが、KEVカタログに掲載された脆弱性には優先度をあげて対応を行うことを推奨します。

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事