CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）が、既知の悪用された脆弱性をカタログに追加

サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、既知の悪用された脆弱性（KEV）カタログに2つの新たな脆弱性を追加しました。これらの脆弱性は、CVE-2025-32433とCVE-2024-42009として特定され、それぞれErlang Erlang/OTP SSHサーバーとRoundCube Webmailに関連しています。これらの脆弱性の追加は、活発な悪用の証拠に基づいており、連邦政府機関に重大なリスクをもたらします。これらのタイプの脆弱性は、悪意のあるサイバー攻撃者によって頻繁に標的にされ、一般的な攻撃ベクトルとなっています。KEVカタログは、重大なリスクを伴う既知の共通脆弱性識別子（CVE）のリストを提供するために、拘束力のある運用指令（BOD）22-01によって設立されました。BOD 22-01は、連邦政府の行政機関（FCEB）に対し、活発な脅威からネットワークを保護するために、期日までに特定された脆弱性を修正することを義務付けています。CISAは、すべての組織に対し、脆弱性管理の一環として、KEVカタログの脆弱性のタイムリーな修正を優先することを強く推奨しています。BOD 22-01はFCEB機関にのみ適用されますが、CISAはすべての組織に対し、サイバー攻撃へのエクスポージャーを減らすための積極的な対策を講じるよう推奨しています。KEVカタログは、指定された基準を満たす脆弱性で引き続き更新され、組織が潜在的な脅威について常に最新の情報を得るのに役立ちます。KEVカタログの脆弱性の修正を優先することにより、組織は活発な脅威から身を守り、サイバー攻撃のリスクを軽減することができます。