## CISA、活発に悪用されている脆弱性をKEVカタログに追加 **CISA**は、既知の悪用済み脆弱性（KEV）カタログに4件の新規エントリを追加し、組織がこれらの脆弱性をパッチ適用することの緊急性を強調しました。追加は活発な悪用の証拠に基づいており、悪意のある攻撃者にとって格好の標的となっています。 ### 追加された新規脆弱性： * **CVE-2024-7399**: **Samsung** MagicINFO 9 Server パストラバーサル脆弱性。この脆弱性により、攻撃者はサーバー上の不正なファイルやディレクトリにアクセスできます。 * **CVE-2024-57726**: **SimpleHelp** 認証不足脆弱性。この脆弱性により、**SimpleHelp**システムへの不正アクセスが可能になる可能性があります。 * **CVE-2024-57728**: **SimpleHelp** パストラバーサル脆弱性。**Samsung**の脆弱性と同様に、攻撃者は機密ファイルを参照してアクセスできます。 * **CVE-2025-29635**: **D-Link** DIR-823X コマンドインジェクション脆弱性。これにより、攻撃者は影響を受ける**D-Link**ルーター上で任意のコマンドを実行できます。 ### KEVカタログの重要性 KEVカタログは、**バインディング運用指令（BOD）22-01**：既知の悪用済み脆弱性による重大なリスクの軽減、の下で維持されています。この指令は、連邦民間執行機関（FCEB）に対し、指定された期日までにカタログに記載された脆弱性を修正することを義務付けています。目標は、既知の悪用済み脆弱性に対処することで、FCEBネットワークをアクティブな脅威から保護することです。 **BOD 22-01**はFCEB機関に特に関連しますが、**CISA**は *すべての* 組織に対し、KEVカタログの脆弱性をタイムリーに修正することを優先するよう強く推奨しています。このプラクティスを脆弱性管理プログラムに統合することは、サイバー攻撃への露出を減らすために不可欠です。 **CISA**は、指定された基準を満たす脆弱性を継続的にKEVカタログに追加しており、サイバーセキュリティ専門家にとって不可欠なリソースとなっています。