米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、活動的な悪用が確認されたとして、Microsoft OfficeおよびHPE OneViewの脆弱性2件を「既知の悪用済み脆弱性(KEV)」カタログに追加しました。特筆すべきは、CVE-2009-0556(CVSSスコア8.8)という、2009年から存在するMicrosoft Officeのコードインジェクションの欠陥が、現在も悪用されている点です。
Web3の世界では、スマートコントラクトやプロトコルのセキュリティに焦点が当てられがちですが、このニュースは、基盤となるインフラストラクチャや開発環境のセキュリティを見落とすことの危険性を示唆しています。15年も前のパッチ未適用なレガシーソフトウェアが、サプライチェーンにおける長期的な弱点となり得るのです。
Web3プロジェクトの開発者や運用担当者が使用するエンドポイントデバイスに、このような古い、しかし活発に悪用されているソフトウェアが残存している場合、ウォレットの秘密鍵や重要なコードベースへの不正アクセス経路を提供しかねません。私たちは、ゼロトラストアプローチの採用と、開発・運営に関わるすべてのデバイスに対する厳格なパッチ管理と資産棚卸しを強く推奨します。最新のWeb3技術の堅牢性を保つためにも、従来のセキュリティの防衛線を決して疎かにすべきではありません。
Source: CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited
コメント