米国および英国の政府機関は今週、サポート終了となったエッジデバイスがもたらすリスクについて警告し、組織に対して可能な限り早急にそれらを置き換えるよう促した。
エッジデバイスには、ファイアウォール、IoT、ロードバランサー、ネットワークセキュリティアプライアンス、ルーター、スイッチ、無線アクセスポイント、ならびにネットワークトラフィックを中継するその他のソフトウェア/ハードウェアアプライアンスが含まれる。
米国によれば、サポート終了(EOS)に達し、セキュリティ更新を受け取らなくなったエッジデバイスは、連邦ネットワークおよび企業環境に重大なリスクをもたらす。これらはしばしば、国家支援型の脅威アクターにより、ネットワークへのアクセス、永続化、データ窃取を目的として標的にされるためだ。
「国家主体の脅威アクターは、これらのデバイスを侵入口として悪用し、最新のサポート対象環境にアクセスすることができ、組織のデータ、サービス、そして全体的なセキュリティを深刻なリスクにさらす。EOSデバイスは互換性の問題を引き起こし、生産性を阻害する可能性もある」と、CISA、FBI、および英国NCSCは最新のアラート(PDF)で指摘している。
政府機関は、組織に対し、サポート終了のエッジデバイスがネットワーク内に存在しないかを能動的に監視し、セキュリティ態勢を改善するためにそれらを置き換えるよう助言している。
木曜日、CISAは拘束力のある運用指令 26-02:サポート終了エッジデバイスに起因するリスクの軽減を発出し、連邦機関に対して、もはや保守されていないエッジデバイスがもたらすリスクに直ちに対処するよう求めた。
「CISAは、EOSエッジデバイスを標的とする高度な脅威アクターによる広範な悪用キャンペーンを把握している。特定ベンダーを標的としたキャンペーンに関する最近の公的報告は、これらのデバイスを足掛かりとしてFCEB情報システムネットワークへ横展開しようとするアクターの試みを浮き彫りにしている」とCISAは述べている。
CISAが指摘するところでは、これらのデバイスは、サポート欠如により未修正のまま残る新たに開示されたセキュリティ欠陥を狙う攻撃に対して特に脆弱であり、連邦ネットワークを「不釣り合いで容認できないリスク」にさらす。
BOD 26-02に基づき、連邦機関は、EOSソフトウェアを実行しているサポート対象のエッジデバイスを直ちにサポート対象のソフトウェアバージョンへ更新し、今後3か月以内にCISAのEOSエッジデバイス一覧に含まれるすべてのデバイスを棚卸しすることが求められる。
1年以内に、連邦機関は、CISAのEOSエッジデバイス一覧で特定されたデバイスに加え、EOSである、またはその後の1年以内にEOSとなるすべてのエッジデバイスを廃止すべきである。
CISAはまた、連邦機関に対し、今後18か月以内に特定されたすべてのEOSエッジデバイスを廃止し、24か月以内にネットワーク内のエッジデバイスを継続的に発見するためのプロセスを確立するよう命じた。
翻訳元: https://www.securityweek.com/organizations-urged-to-replace-discontinued-edge-devices/
