ネットワークセキュリティデバイスは、1990年代の脆弱性で組織を危険にさらしているのか？

批評家たちは、ミッションクリティカルなサイバーセキュリティ製品に、バッファオーバーフローやSQLインジェクションといった、現代のセキュリティ対策よりも古い基本的な脆弱性が依然として蔓延していることを疑問視しています。歴史的に防御の要とされてきたネットワークエッジデバイスが、近年、セキュリティ上の弱点となりつつあります。2024年には、悪用されたゼロデイ脆弱性のかなりの割合がこれらのアプライアンスを標的としていました。この傾向は続いており、Citrix、Ivanti、Ciscoといった主要ベンダーも影響を受けています。ネットワークエッジデバイスは、リモートからのアクセスが可能で、エンドポイント監視が不足しているため、魅力的な標的となっています。これらの脆弱性は長年報告されてきましたが、最近になって攻撃者の関心が高まり、初期侵入経路として最も重要なものとなっています。COVID-19パンデミックやフィッシングの成功率低下も、この変化に寄与しました。多くの悪用可能な欠陥は、基本的なコード分析やレビューで発見されるべきでしたが、中には非常に単純なものもあります。これらのアプライアンスに古いレガシーコードが存在することも、脆弱性に拍車をかけています。