米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は5月24日(米国時間)、「CISA Adds 20 Known Exploited Vulnerabilities to Catalog|CISA」において、「Known Exploited Vulnerabilities Catalog」に20個の脆弱性を追加したと伝えた。これら脆弱性はサイバー犯罪者によって積極的に悪用されていることが確認されている。

CISA Adds 20 Known Exploited Vulnerabilities to Catalog|CISA

20個の脆弱性の影響を受ける主な製品やサービスは次のとおり。

CVE-2018-8611 Microsoft - Windows

CVE-2018-19953 QNAP - Network Attached Storage (NAS)

CVE-2018-19949 QNAP - Network Attached Storage (NAS)

CVE-2018-19943 QNAP - Network Attached Storage (NAS)

CVE-2017-0147 Microsoft - SMBv1 server

CVE-2017-0022 Microsoft - XML Core Services

CVE-2017-0005 Microsoft - Windows

CVE-2017-0149 Microsoft - Internet Explorer

CVE-2017-0210 Microsoft - Internet Explorer

CVE-2017-8291 Artifex - Ghostscript

CVE-2017-8543 Microsoft - Windows

CVE-2017-18362 Kaseya - Virtual System/Server Administrator (VSA)

CVE-2016-0162 Microsoft - Internet Explorer

CVE-2016-3351 Microsoft - Internet Explorer and Edge

CVE-2016-4655 Apple - iOS

CVE-2016-4656 Apple - iOS

CVE-2016-4657 Apple - iOS

CVE-2016-6366 Cisco - Adaptive Security Appliance (ASA)

CVE-2016-6367 Cisco - Adaptive Security Appliance (ASA)

CVE-2016-3298 Microsoft - Internet Explorer

脆弱性の概要は次のとおり。

今回カタログに追加された脆弱性は、最も古いもので2016年に、最も新しいもので2018年に発行されたものとなっている。すでにアップデート情報は提供されており、アップデートを適用することで問題を回避することができる。

カタログにはアクティブに悪用されている脆弱性が追加される仕組みになっており、こうした製品が古いバージョンのまま使われていることが示されている。カタログに追加された製品に関して、再度情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。