Zero Day Initiative は、1 年上半期に 2023 件を超える脆弱性レポートを公開しました。 脆弱性の中には、Microsoft の重大なゼロデイも含まれます。 Zero Day Initiative の主導者であるトレンドマイクロは、欠陥のあるパッチや不完全なパッチがますます増えていると警告しています。
サイバーセキュリティ ソリューションの世界有数プロバイダーの 1.000 つであるトレンドマイクロは、同社のゼロデイ イニシアチブ (ZDI) が今年、IT 製品の個々の脆弱性に関してすでに XNUMX 件を超える勧告を発行したと発表しました。 こうした背景から同社は、欠陥のあるパッチや不完全なパッチがますます頻繁に公開されたり、影響を受けるメーカーが秘密裏に公開したりしていると警告している。
サイレントパッチ適用により脆弱性が隠蔽される
トレンドマイクロは、脆弱性やパッチの開示や文書化を遅らせたり軽視したりする「サイレント パッチ」の廃止を提唱しています。 サイバー犯罪と戦う上での最大の障害の XNUMX つであるこの手法は、特に大手ベンダーやクラウド プロバイダーの間で一般的です。
「ゼロデイ イニシアチブは、サイバー犯罪者によって脆弱性が悪用される前に脆弱性を解決するために設立されました。 欧州連合では、新しい NIS2 指令により、そのような対策の必要性がさらに強調されています」とトレンドマイクロのビジネス コンサルタント、リチャード ワーナー氏は説明します。 「しかし、ベンダーのパッチに関連する脆弱性の開示において透明性が欠如しているという憂慮すべき傾向が見られます。 これは、顧客が独自にさらなる対策を講じる機会を奪うものであり、デジタル世界の IT セキュリティに脅威をもたらします。」
多くのクラウドプロバイダーはサイレントパッチ適用に依存しています
Black Hat USA 2023 セキュリティ カンファレンスで、Trend Research の代表者は、サイレント パッチ適用がクラウド プロバイダーの間で特に一般的であることを示しました。 こうした企業は、追跡可能な文書化を可能にする Common Vulnerabilities and Exposures (CVE) ID の割り当てを控え、代わりに非公開プロセスでパッチを発行するケースが増えています。 クラウド サービスの透明性やバージョン番号が欠如していると、リスク評価が妨げられ、エコシステム全体のセキュリティを向上させるための貴重な情報がセキュリティ コミュニティから奪われます。
トレンドマイクロは昨年の時点で、不完全または不正確なパッチが増加していること、およびパッチに関する信頼できる情報を平易な言葉で提供することにベンダー側が消極的になっていることを警告していました。 その間、この傾向はさらに強まり、一部の企業ではパッチ適用をまったく無視するようになりました。 その結果、顧客と業界全体は、回避可能なリスクと増加するリスクにさらされています。 したがって、クラウドベースのサービスを強化して潜在的なリスクからユーザーを保護するために、パッチに優先順位を付け、脆弱性を修正し、研究者、サイバーセキュリティベンダー、クラウドサービスプロバイダー間の協力を促進するための行動が緊急に必要とされています。
1.000 年のリストには 2023 を超える脆弱性が含まれる
トレンドマイクロは、ZDI プログラムにより、業界全体の脆弱性への透過的なパッチ適用とセキュリティの向上に取り組んでいます。 この取り組みの一環として、ゼロデイ イニシアチブは最近、いくつかのゼロデイ脆弱性に関する通知を公開しました。 XNUMXつ Trend Micro Zero Day Initiative (ZDI) が発行する脆弱性勧告の完全なリストは英語で入手できます。 イニシアチブのウェブサイトで。 以下は、CVSS 値が 9.9 または 9.8 の脆弱性の抜粋です。 Zero Day Initiative Web サイトのリストには、CVSS 値が 1.000 ~ 9.1 の他の 2.5 件を超える脆弱性がリストされています。
CVSS 39 および 9.9 の 9.8 件の脆弱性の抜粋
| ZDI ID | 影響を受けるベンダー | CVE | CVSS v3.0 |
| ZDI-23-1044 | Microsoft | 9.9 | |
| ZDI-23-055 | ヴイエムウェア | CVE-2022-31702 | 9.8 |
| ZDI-23-093 | サボテン | CVE-2022-46169 | 9.8 |
| ZDI-23-094 | ネタトーク | CVE-2022-43634 | 9.8 |
| ZDI-23-115 | ヴイエムウェア | CVE-2022-31706 | 9.8 |
| ZDI-23-118 | オラクル | CVE-2023-21838 | 9.8 |
| ZDI-23-168 | SolarWinds | CVE-2022-47506 | 9.8 |
| ZDI-23-175 | オラクル | CVE-2023-21890 | 9.8 |
| ZDI-23-228 | イヴァンティ | CVE-2022-44574 | 9.8 |
| ZDI-23-233 | ペーパーカット | CVE-2023-27350 | 9.8 |
| ZDI-23-444 | シュナイダーエレクトリック | CVE-2023-29411 | 9.8 |
| ZDI-23-445 | シュナイダーエレクトリック | CVE-2023-29412 | 9.8 |
| ZDI-23-452 | TP-リンク | CVE-2023-27359 | 9.8 |
| ZDI-23-482 | ヴイエムウェア | CVE-2023-20864 | 9.8 |
| ZDI-23-490 | キーサイト | CVE-2023-1967 | 9.8 |
| ZDI-23-587 | トレンドマイクロ | CVE-2023-32523 | 9.8 |
| ZDI-23-588 | トレンドマイクロ | CVE-2023-32524 | 9.8 |
| ZDI-23-636 | シュナイダーエレクトリック | CVE-2022-42970 | 9.8 |
| ZDI-23-637 | シュナイダーエレクトリック | CVE-2022-42971 | 9.8 |
| ZDI-23-672 | デルタ電子 | CVE-2023-1133 | 9.8 |
| ZDI-23-674 | デルタ電子 | CVE-2023-1140 | 9.8 |
| ZDI-23-679 | デルタ電子 | CVE-2023-1136 | 9.8 |
| ZDI-23-680 | デルタ電子 | CVE-2023-1139 | 9.8 |
| ZDI-23-681 | デルタ電子 | CVE-2023-1145 | 9.8 |
| ZDI-23-683 | デルタ電子 | CVE-2023-1133 | 9.8 |
| ZDI-23-687 | 標準的な | 9.8 | |
| ZDI-23-690 | 標準的な | 9.8 | |
| ZDI-23-702 | Linux | CVE-2023-32254 | 9.8 |
| ZDI-23-714 | D-リンク | CVE-2023-32169 | 9.8 |
| ZDI-23-716 | D-リンク | CVE-2023-32165 | 9.8 |
| ZDI-23-720 | モクサ | CVE-2023-33236 | 9.8 |
| ZDI-23-840 | ヴイエムウェア | CVE-2023-20887 | 9.8 |
| ZDI-23-882 | Microsoft | CVE-2023-29357 | 9.8 |
| ZDI-23-897 | 進捗ソフトウェア | CVE-2023-36934 | 9.8 |
| ZDI-23-906 | デルタ電子 | CVE-2023-34347 | 9.8 |
| ZDI-23-920 | NETGEAR | CVE-2023-38096 | 9.8 |
| ZDI-23-1025 | トライアングルマイクロワークス | CVE-2023-39457 | 9.8 |
| ZDI-23-1046 | 誘導オートメーション | CVE-2023-39476 | 9.8 |
| ZDI-23-1047 | 誘導オートメーション | CVE-2023-39475 | 9.8 |
トレンドマイクロについて トレンド マイクロは、IT セキュリティの世界有数のプロバイダーとして、デジタル データ交換のための安全な世界の構築を支援しています。 30 年以上にわたるセキュリティの専門知識、グローバルな脅威研究、および絶え間ない革新により、トレンドマイクロは企業、政府機関、および消費者に保護を提供します。 当社の XGen™ セキュリティ戦略のおかげで、当社のソリューションは、最先端の環境向けに最適化された防御技術の世代を超えた組み合わせの恩恵を受けています。 ネットワーク化された脅威情報により、より優れた迅速な保護が可能になります。 クラウド ワークロード、エンドポイント、電子メール、IIoT、およびネットワーク向けに最適化された当社のコネクテッド ソリューションは、企業全体にわたって一元化された可視性を提供し、より迅速な脅威の検出と対応を実現します。