CISAの運用指令22-01で優先される脆弱性の検出

組織がBOD 22-01に記載された重要な脆弱性によるリスクに対処できるようにするために、SOC Primeは、インフラストラクチャ内での可能なエクスプロイトの試みを特定し、パッチ適用手順が進行中の間に潜在的に影響を受ける資産を隔離するための選定された検出の広範なリストを提供しています。

世界的に民間および公共の部門を脅かす悪意のある活動の高度化に伴い、組織は攻撃者より一歩先んじるためにサイバー防御能力を強化する必要があります。既知の脆弱性に対処することは、発生しつつある脅威に対して先手を打つための最優先事項の1つです。
2021年11月3日、サイバーセキュリティおよびインフラストラクチャセキュリティ庁 (CISA) は、 Binding Operational Directive (BOD) 22-01 をリリースしました。これは、既知の脆弱性が積極的に悪用されるリスクを軽減するために組織を支援することを目的としています。BOD 22-01は 義務的 です。すべての米国の連邦機関には適用されますが、他の組織、民間企業、様々な業界のビジネス、および国有企業を含むすべての組織は、注目の脆弱性のパッチ適用を優先することが強く推奨されています。

すべての重要なセキュリティ問題は、 CISAによって発行された公開カタログ においてDirective 22-01と共に提供されます。このカタログの主な目的は、特定のセキュリティギャップを追跡し要約することで、世界中の組織が潜在的なリスクに対応し、より効率的に攻撃に耐えうるようにすることです。

CISAによる既知の悪用脆弱性カタログ

CISAは、連邦機関によって緊急にパッチ適用されるべき291個のCommon Vulnerabilities and Exposures (CVEs)を列挙しています。すべてのバグに対するパッチは可能な限り早く適用されるべきですが、 優先順位化は、パッチを3段階で段階的に実施するために極めて重要です: 

最優先

リスト上のいくつかの脆弱性はすでに期限切れです。したがって、組織は既存のパッチでセキュリティ保護を強化しているかどうかを緊急に確認する必要があります。これらの脆弱性には、2020年から2021年にかけてデジタル世界を揺るがせた最も深刻な脆弱性が含まれます。 PrintNightmare, SigRed, Zerologon, CryptoAPI、 Pulse Connect Secure のサイバーセキュリティの欠陥です。全部で、CISAのリストには即時修正が必要な15の期限切れのCVEがあります。

高優先度

CISA管理の脆弱性カタログにリストされた欠陥のおよそ30％（100個）は、悪用とその高リスクレベルの深刻さのために、2021年11月17日までの2週間以内にパッチ適用が優先されています。

中程度の優先度

リストに掲載されたバグの大部分（176個）は、組織がパッチ適用に6か月以上の時間を残しつつ、2022年5月3日までに修復手順を実施する必要があります。

SOC PrimeのDetection as CodeプラットフォームでCISA BOD 22-01脆弱性を検出

BOD 22-01で概説されたCISA管理カタログに応じて、SOC Primeコンテンツチームはそれらの既知の脆弱性を利用しようとする試みを検出するための推奨されるコンテンツのリストを提供します。すべての検出はSOC PrimeのDetection as Codeプラットフォームで利用可能であり、エクスプロイトの深刻さとリスクレベル（最高および高い）に基づく修復の優先順位に基づいてリストに整理されています。これにより、セキュリティチームは最も関連性のあるコンテンツに最初にアクセスできます。

SOC Primeによって紹介されるアプローチは、脅威の検出とハンティングの視点に基づいており、組織が予めセキュリティサイロの全体像を把握し、パッチ適用が緊急に必要なものを簡単に優先することを可能にします。SOC Primeの専門家によって選定され、修復の優先順位に従って整理された検出スタックを活用することにより、組織は 組織資産を侵害するために重要な脅威を利用する悪意ある行為者を追跡することができます。 影響を受けたとされるシステムや侵害されたユーザーの隔離のトリガーとして、SOC Primeの専用検出コンテンツを活用することをお勧めします。

最優先CVEの検出

ここでは、CISAが発行した Directive 22-01に基づく最優先のCVEに対処するためにセキュリティ専門家を支援するために集められたトップ検出コンテンツのリストを見つけることができます。

CVE-2021-22893 — Pulse Connect Secure (PCS) リモートコード実行

CVE-2021-26855 — Microsoft OWA Exchange コントロールパネル (ECP) エクスプロイトチェーン

CVE-2021-26857 — Microsoft OWA Exchange コントロールパネル (ECP) エクスプロイトチェーン

CVE-2021-26858 — Microsoft OWA Exchange コントロールパネル (ECP) エクスプロイトチェーン

CVE-2021-27065 — Microsoft OWA Exchange コントロールパネル (ECP) エクスプロイトチェーン

CVE-2020-1350 — “SigRed” Windows DNSサーバリモートコード実行脆弱性

CVE-2021-34527 — 「PrintNightmare」Microsoft Windows Print Spooler リモートコード実行脆弱性

CVE-2020-1472 — 「ZeroLogon」 NetLogon 特権昇格脆弱性

CVE-2020-0601 — Windows 10 API/ECC 脆弱性（Windows CryptoAPI）

CVE-2020-8260 — Pulse Connect Secure RCE

CVE-2019-11510 — Pulse Secure VPN 任意ファイル読み取り脆弱性 (COVID-19-CTIリスト)

CVE-2021-22900​  — Pulse Connect Secure 任意ファイルアップロード脆弱性

CVE-2021-22894​ — Pulse Connect Secure コラボレーションスイート リモートコード実行

CVE-2021-22899​ — Pulse Connect Secure リモートコード実行

CVE-2020-8243 — Pulse Connect Secure 任意のコード実行

The 最高優先度のすべてのCVEに対処する検出の 完全なリストはSOC PrimeのDetection as Codeプラットフォームで利用可能です。

高優先度CVEの検出

以下のリストには、対応するCISA管理カタログに基づいて高優先度と考えられる既知の悪用脆弱性に対応した、SOC Primeプラットフォームで利用可能な選定された検出コンテンツが含まれています。

CVE-2021-1675 — Windows Print Spooler RCE

CVE-2021-22986 — F5 iControl REST 未認証RCE

CVE-2021-1879  — Apple iOS Webkit ブラウザエンジンXSS

CVE-2021-21166 — Google Chrome WebAudioのヒープバッファーオーバーフロー脆弱性

CVE-2021-21224 — Chromium V8 JavaScriptエンジン リモートコード実行

CVE-2021-21972 — VMWare vCenter Server RCE

CVE-2021-21985 — VMWare vCenter Server リモートコード実行

CVE-2021-22005 — VMWare vCenter Server ファイルアップロード

CVE-2021-22205 — GitLab Community and Enterprise Editions 11.9 からのリモートコード実行

CVE-2021-22502 — Micro Focus Operation Bridge Report (OBR) Server RCE

CVE-2021-26084 — Atlassian Confluence Server 任意コード実行

CVE-2021-26411 — Microsoft Internet Explorer と Edge メモリー破損脆弱性

CVE-2021-30551 — Chromium V8 エンジン タイプ混乱

CVE-2021-30554 — Google Chrome WebGL 解放後の使用

CVE-2021-31207 — Microsoft Exchange Server セキュリティ機能バイパス脆弱性

CVE-2021-31956 — Microsoft Windows NTFS 特権昇格脆弱性

CVE-2021-31979 — Windows カーネル 特権昇格

CVE-2021-33771 — Windows カーネル 特権昇格

CVE-2021-34473 — Microsoft Exchange Server リモートコード実行脆弱性

CVE-2021-34523 — Microsoft Exchange Server 特権昇格脆弱性

CVE-2021-35211 — SolarWinds Serv-U リモートメモリ入れ替え脆弱性

CVE-2021-36942 — Microsoft LSA スプーフィング

CVE-2021-38647 — Microsoft Azure Open Management Infrastructure (OMI) リモートコード実行

CVE-2021-40444 — Microsoft MSHTML リモートコード実行脆弱性

CVE-2021-40539 — Zoho Corp. ManageEngine ADSelfService Plus バージョン6113以前の認証バイパス

CVE-2021-41773 — Apache HTTP Server パス移動脆弱性

CVE-2021-42013 — Apache HTTP Server 2.4.49 および 2.4.50 パス移動

SOC PrimeのDetection as Codeプラットフォームを介して高優先度CVEを参照するには、 最高優先度のすべてのCVEに対処する検出の をご覧ください。

この記事では、CISAの脆弱性カタログにリストされた最も重要なCVEに対する最も関連性のある検出コンテンツを取り上げています。SOC PrimeはDetection as Codeプラットフォームを最新のコンテンツで絶えず充実させており、BODでカバーされているCVEに対処する新しい検出が、 22-01 の下で今後数週間以内に選定および配信されるための研究開発が進行中です。

最新の脅威検出コンテンツをお探しですか？ SOC PrimeのDetection as Codeプラットフォーム を探索してください。これは、20以上のSIEMおよびXDRソリューションに対するサブスクリプションを介して、選定されたSigmaベースの検出コンテンツをネイティブに提供し、世界中のセキュリティチームがデジタル攻撃に対抗するのをより簡単に、迅速かつ効率的に支援します。協力的なサイバー防御を促進するために、 SOC Primeのクラウドソーシングイニシアティブ に参加し、世界中の脅威ハンターおよび研究者が自分の検出コンテンツを収益化しつつ、安全な未来に貢献することができます。