米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は最近、積極的に悪用されている証拠に基づき、2件のセキュリティ脆弱性を「既知の悪用済み脆弱性(KEV)カタログ」に追加しました。対象となったのは、Microsoft OfficeおよびHewlett Packard Enterprise (HPE) OneViewのバグです。
Web3分野は分散型技術に焦点を当てていますが、その開発・運用を支える企業のインフラストラクチャは従来のITシステムに依存しています。そのため、これらの既存の脆弱性は、サプライチェーン攻撃や企業ネットワークへの侵入経路として深刻な脅威をもたらします。
特に注目すべきは、Microsoft Officeのコードインジェクションの脆弱性である「CVE-2009-0556」(CVSSスコア: 8.8)です。この脆弱性は2009年に特定された非常に古いものですが、現在に至るまで積極的に悪用されていることが判明しました。これは、パッチ管理の不徹底が長期間にわたりクリティカルなリスクを残し続けるという、セキュリティ管理における根深い問題を浮き彫りにしています。
Web3プロジェクトを運営する組織は、最新のスマートコントラクト監査だけでなく、組織内のレガシーシステムや一般的に使用されるソフトウェアのパッチ適用状況を厳格に監視する必要があります。CISAのKEVリストに追加された脆弱性は、即座に対策を講じるべき喫緊のリスクとして認識されるべきです。
Source: CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited
コメント