Web3セキュリティ専門誌の読者の皆様へ。分散化された技術の上に成り立つWeb3エコシステムであっても、日常業務やエンドポイント保護においては従来のITインフラストラクチャに依存しています。この度、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、活動的な悪用が確認された2つのセキュリティ欠陥を「既知の悪用された脆弱性(KEV)」カタログに追加しました。特筆すべきは、Microsoft Officeのコードインジェクションの脆弱性である「CVE-2009-0556」(CVSSスコア8.8)です。
この脆弱性は驚くべきことに2009年に特定されたものであり、15年前のバグが現在進行形で攻撃者に利用されているという事実は、Web3企業が基礎的なパッチ管理を怠っている場合の深刻なリスクを示しています。高度なブロックチェーン技術を守るためには、まず開発者や幹部が使用するエンドポイントデバイスのOSやアプリケーション(特にOffice製品)が完全にパッチ適用されているかを確認する必要があります。レガシーシステムの放置は、標的型攻撃やサプライチェーン攻撃の安価な入口となり得ることを強く警告します。
Source: CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited
コメント