December 2022 – Page 2 – IoT OT Security News

CISA KEV 警告 22/12/14：Veeam Backup and Replication などの脆弱性を追加

CISA adds Veeam Backup and Replication bugs to Known Exploited Vulnerabilities Catalog

2022/12/16 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Veeam Backup & Replication に影響をおよぼす２つの脆弱性 CVE-2022-26500／CVE-2022-26501 (CVSS : 9.8) を、Known Exploited Vulnerabilities Catalog に追加した。BOD (Binding Operational Directive) 22-01 に従い、この脆弱性を悪用する攻撃からネットワークを守るために、各 FCEB 機関は指定された期限までに対処する必要がある。民間組織においても、このカタログを確認してインフラの脆弱性に対処することを、専門家たちは推奨している。

Microsoft Windows SPNEGO の脆弱性 CVE-2022-37958：IBM が唱える異論とは？

Microsoft Reclassifies SPNEGO Extended Negotiation Security Vulnerability as ‘Critical’

2022/12/15 TheHackerNews — Microsoft は、2022年9月にパッチ適用したセキュリティ脆弱性について、リモートコード実行に悪用される可能性があると判明したことで、深刻度を Critical に修正した。この脆弱性 CVE-2022-37958 (CVSS : 8.1) は、SPNEGO Extended Negotiation (NEGOEX) Security Mechanism における情報漏洩の脆弱性であると、これまでは説明されてきた。

MirrorFace という中国語圏の APT：参院選 2022 で政治団体を狙っていた

Researchers Uncover MirrorFace Cyber Attacks Targeting Japanese Political Entities

2022/12/15 TheHackerNews — MirrorFace というコードネームで呼ばれる、中国語圏の APT (Advanced Persistent Threat) グループが、日本の政治団体を標的としたスピアフィッシング・キャンペーンに関与していることが判明した。このキャンペーンは、ESET により Operation LiberalFace と名付けられ、LODEINFOと呼ばれるインプラントとMirrorStealerと呼ばれる未知のインフォ・スティーラーの配信を目的とし、日本の無名政党のメンバーにフォーカスするものである。

サイバー攻撃の 85% が暗号化されたチャネルを経由する：日本は前年比で 613% 増

Over 85% of Attacks Hide in Encrypted Channels

2022/12/15 InfoSecurity — Zscaler の最新レポートによると、これまでの１年間におけるサイバー攻撃の大部分は、セキュリティ・チームによる検出を回避するために TLS/SSL 暗号化を使用しているという。セキュリティ・ベンダーである Zscaler は、2021年10月〜2022年9月においてブロックされた 240億件の脅威を分析し、その結果を 2022 State of Encrypted Attacks Report として提供している。

GitHub の 2FA 義務化：2023/03〜2023/12 で全ユーザーに対応

GitHub to require all users to enable 2FA by the end of 2023

2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。

Microsoft の深刻な２つのゼロデイ脆弱性：2022-12 月例アップデートで FIX

Two Zero-Days Fixed in December Patch Tuesday

2022/12/14 InfoSecurity — 2022年12月の Microsoft Patch Tuesday は、２つのゼロデイを含む 50件ほどの脆弱性に対処したが、そのうちの１つは野放し状態で悪用されているものだ。このうちの一握りの脆弱性は Critical と評価され、また 13件については悪用される可能性が高いと、Microsoft は説明している。したがって、年末にシステム管理者が行うべき作業が、たくさん残っていることになる。

Check Point のマルウエア・レポート：AgentTesla／Emotet／Qbot が 11月の Top-3

AgentTesla Remains Most Prolific Malware in November, Emotet and Qbot Grow

2022/12/14 InfoSecurity — 静かな夏を経て、最も流行しているマルウェアの１つとして、Emotet が戻ってきた。さらに、トロイの木馬 Qbot が 2021年以来のリスト入りを果たし、Raspberry Robin ワームも目立っている。しかし、昨日に発表された Check Point Research (CPR) の November 2022’s Most Wanted Malware レポートによると、11月に最も活発だったマルウエアとして、AgentTesla の存在が強調されている。Check Point は、全世界の 6% の組織に AgentTesla は影響を及ぼし、その後に Emotet と Qbot が 4% で続いていると述べている。

QBot の新しい戦略：SVG ベクター画像ファイル内にマルウエアを隠し持つ

Attackers use SVG files to smuggle QBot malware onto Windows systems

2022/12/14 BleepingComputer — QBot マルウェアのフィッシング・キャンペーンは、SVG (Scalable Vector Graphics) ファイルを悪用して Windows 用の不正なインストーラーをローカルに作成する、HTML スマグリングの新たな配布方法を採用している。この攻撃は、JavaScript を含むエンベッド SVG ファイルにより行われ、Base64 エンコードされた QBot マルウェアのインストーラーを再構築し、ターゲットのブラウザを通じて自動的にダウンロードさせるものだ。

Citrix ADC／Gateway のゼロデイ CVE-2022-27518：中国の APT5 による攻撃を NSA が指摘

Citrix and NSA urge admins to fix actively exploited zero-day in Citrix ADC and Gateway

2022/12/13 SecurityAffairs — Citrix ADC／Gateway のゼロデイ脆弱性 CVE-2022-27518 に対する、セキュリティ・アップデートの適用が管理者たちに推奨されている。この脆弱性は、中国に関連する脅威アクターたちが標的とする、ネットワークへのアクセスのために積極的に悪用されているという。Citrix のブログポストには、「この脆弱性を悪用する、少数の標的型攻撃を認識している」と記されている。この脆弱性の悪用に成功した、認証されていないリモートの攻撃者は、対象となるアプライアンス上で任意のコード実行を可能にするという。

VMware ESXi に新たな Python バックドア：OpenSLP の既知の脆弱性を悪用か？

Experts detailed a previously undetected VMware ESXi backdoor

2022/12/13 SecurityAffairs — Juniper Networks の研究者たちが、VMware ESXi サーバを標的とする Python バックドアを発見した。この、2022年10月に発見されたバックドアに対する研究者たちの指摘は、インプラントの簡潔性／持続性／能力において注目に値するというものだ。侵害されたサーバのログ保持が限られていたことで、専門家たちは最初の侵害を特定できなかったが、ESXi の OpenSLP サービスにおける既知の脆弱性 (CVE-2019-5544／CVE-2020-3992) が悪用された可能性があると推測している。

Google が OSV-Scanner を公開：OSS の脆弱性を網羅する分散型データベース

Google Launches Largest Distributed Database of Open Source Vulnerabilities

2022/12/13 TheHackerNews — 12月13日に Google は、さまざまなプロジェクトの脆弱性情報に簡単にアクセスするためのスキャナ OSV-Scanner の、オープンソース提供を発表した。Google のソフトウェア・エンジニアである Rex Pan は、「この Go ベースのツールは、Open Source Vulnerabilities (OSV) データベースを利用しており、プロジェクトの依存関係リストと、それに影響を与える脆弱性を結びつけるよう設計されている」と、The Hacker News に共有した投稿で述べている。

Fortinet FortiOS に緊急パッチ：認証バイパスの脆弱性 CVE-2022-42475 の悪用に対応

Fortinet Warns of Active Exploitation of New SSL-VPN Pre-auth RCE Vulnerability

2022/12/13 TheHackerNews — 月曜日に Fortinet は、同社の SSL-VPN 製品 FortiOS に影響を及ぼす深刻なセキュリティ脆弱性に対して緊急パッチをリリースし、この脆弱性が実際に悪用されていることを明らかにした。この深刻な脆弱性 CVE-2022-42475 (CVSS：9.3) は、ヒープベース・バッファ・オーバーフローの脆弱性であり、認証されていない攻撃者による、特別に細工したリクエストを介した任意のコード実行を引き起こす可能性がある。

Microsoft 2022-12 月例アップデートは２件のゼロデイと 49件の脆弱性に対応

Microsoft December 2022 Patch Tuesday fixes 2 zero-days, 49 flaws

2022/12/13 BleepingComputer — 今日の Microsoft December 2022 Patch Tuesday により、活発に悪用されている２件の脆弱性を含む、合計 49件の脆弱性が修正された。49件の脆弱性のうち６件は、リモート・コード実行を可能にするもので、Critical に分類されている。

GoTrim ボットネットのブルートフォース攻撃：WordPress サイトを狙っている

New GoTrim botnet brute forces WordPress site admin accounts

2022/12/13 BleepingComputer — GoTrim という名の新たな Go_based ボットネット・マルウェアが、セルフ・ホスティングの WordPress サイトを Web 上でスキャンし、管理者のパスワードにブルートゥース攻撃を仕掛け、サイトの制御を試みている。この侵害に成功した攻撃者は、マルウェアの展開／クレジットカード窃取スクリプトの注入／フィッシングページのホスティングなどのシナリオが展開して、侵害されたサイトの人気度によっては、数百万人に影響が生じる可能性がある。

Amazon ECR リポジトリの欠陥を修正：非文書化 API を介した侵害を研究者が証明

Amazon ECR Public Gallery flaw could have wiped or poisoned any image

2022/12/13 BleepingComputer — Amazon ECR (Elastic Container Registry) Public Gallery の深刻なセキュリティ欠陥が生じている。その損害に成功した攻撃者により、任意のコンテナ・イメージの削除や、他の AWS アカウントのイメージへの悪意のコード・インジェクションなどが可能だった。Amazon ECR Public Gallery とは、Nginx／EKS Distro／Amazon Linux／CloudWatch Agent／Datadog Agent などの、各種のアプリケーションや Linux ディストリビューションを、直ちに共有／使用するためのコンテナ・イメージのパブリック・リポジトリである。

LockBit がカリフォルニア州政府を攻撃：76GB のデータを盗んだと主張

California Hit By Cyber-Attack, LockBit Claims Responsibility

2022/12/13 InfoSecurity — 月曜日にカリフォルニアの Cybersecurity Integration Center (Cal-CSIC) は、同州の財務局がサイバー攻撃を受けたことを公表した。Cal-CSIC のブログよると、この攻撃は、州／連邦政府のセキュリティ・パートナーとの連携により発見されたという。公表された声明には、「この脅威を特定した後に、デジタル・セキュリティ／オンライン脅威ハンターの専門家たちが迅速に配備され、侵入の範囲を評価し、将来の脆弱性を評価／抑制／緩和した」と記されている。

Uber ユーザー情報 2,000万件が流出：サードパーティ Teqtivity のデータ侵害が原因？

Uber Data Leaked Following Breach at Third-Party Vendor

2022/12/13 SecurityWeek — ライドヘイリング大手 Uber のものと見られる情報がネット上に流出し、データの流出元はサードパーティ IT ベンダーである可能性が高いことが判明した。先週末に、ハッカーフォーラムで、Uber のシステムから窃取した 2,000万件のデータを含むとされる 600MB のアーカイブ・ファイルが、UberLeak というユーザーにより公開された。

Chrome での Passkeys サポート開始：Android／iOS デバイスの生体認証を活用

Google Adds Passkey Support to Chrome for Windows, macOS and Android

2022/12/12 TheHackerNews — Google は、次世代パスワードレス・ログイン規格である Passkeys のサポートを、Chrome の Stable バージョンで正式に展開し始めた。同社の Ali Sarraf は、「Passkeys は、フィッシングによる攻撃が可能な、パスワードなどの認証要素に代わる、より安全性の高い技術である。それらの再利用は不可能であり、また、サーバー侵害で漏洩することもないため、フィッシング攻撃からユーザーを保護できる」と述べている。

Cloudflare の Zero Trust：ジャーナリスト／活動家／人道支援団体などに無償提供

Cloudflare’s Zero Trust suite now available for free to at-risk groups

2022/12/12 BleepingComputer — Cloudflare は、Project Galileo と Athenian Project に参加している、公益団体／選挙サイト／各州機関に対して、同社の Cloudflare One Zero Trust セキュリティ・スイートを無償で提供すると発表した。それにより、ジャーナリスト／活動家／人道支援団体／マイノリティ・グループ／州選挙サービスなどに対して、企業レベルのサイバー・セキュリティ・サービスを無償で提供されることになる。

Pwn2Own Toronto 2022：63件のゼロデイが発見され $1M 近い報奨金が支払われた

Researchers Find 63 Zero-Day Bugs at Latest Pwn2Own

2022/12/12 InfoSecurity — 先日の Pwn2Own コンテストの参加者は、さまざまな製品に存在する数多くのゼロデイ脆弱性を発見し、デジタル世界の安全性を高めるために貢献した。このコンテストは、Trend Micro の Zero Day Initiative (ZDI) により運営されており、ベンダーに依存しない世界最大のバグバウンティ・プログラムとなっている。

WAF に JSON を投げ込む攻撃手法：バイパスが可能になるという Claroty の調査

Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls

2022/12/10 TheHackerNews — さまざまなベンダーの Web Application Firewalls (WAF) を回避したシステムへの侵入により、企業や顧客の機密情報へのアクセスを、脅威アクターに許す可能性のある、新たな攻撃方法が発見された。WAF は重要な防衛線であり、Web アプリケーションとの間で HTTP (S) トラフィックをフィルタリング／監視／ブロックし、CSRF／XSS／SQL インジェクション／ファイル・インクルードなどの攻撃からシステムを保護するものだ。

OSS の乱用から生じる危険性：アプリ開発の 80% で依存しているという現実

Research reveals where 95% of open source vulnerabilities lie

2022/12/09 HelpNetSecurity — Endor Labs の最新レポートが示すのは、アプリケーション開発における既存オープンソース・ソフトウェアの多用と、未成熟な監視の体制と、一般的な慣行から生じる危険性についての見解である。一例を挙げると、全脆弱性の 95%は過渡的依存関係 (開発者は選択していないが、間接的にプロジェクトに取り込まれるオープンソースのコードパッケージ) にあることが、この調査により判明している。

BEC 攻撃の標的が変化：83% の組織がモバイルの脅威に対して懸念を示す

BEC Attacks Expand Beyond Email and Toward Mobile Devices

2022/12/09 InfoSecurity — Business Email Compromise (BEC) は、SMS を中心とした攻撃を介することで、モバイル・デバイスを標的とするものが増えている。Trustwave のサイバー・セキュリティ専門家による勧告によると、この傾向は、テキスト・メッセージを介したフィッシング詐欺への幅広いシフトを示しているとのことだ。このレポートには、「フィッシング詐欺は、SMS の脅威の中で一般的なものだが、現在は BEC 攻撃もモバイル化されている」と記されている。

Rackspace の Hosted Exchange にランサムウエア攻撃：M 365 への退避などで対応

Rackspace warns of phishing risks following ransomware attack

2022/12/09 BleepingComputer — 12月8日 (木) にクラウド・コンピューティング・プロバイダーの Rackspace は、同社の Microsoft Exchange ホスティング環境がランサムウェア攻撃を受けたことを受け、フィッシング攻撃のリスクが高まっていると、顧客に警告を発した。同社では、いまも調査が継続されており、影響を受けたシステムの復旧に取り組んでいるが、サイバー犯罪者が、このインシデントを悪用する可能性もあるとしている。

Pulse Connect Secure VPN：日本も含めてパッチ未適用が 4,000 台以上

Over 4,000 Vulnerable Pulse Connect Secure Hosts Exposed to Internet

2022/12/09 SecurityWeek — インターネット・アクセスが可能な、4,000 台以上の Pulse Connect Secure ホストが、少なくとも１つの既知の脆弱性の影響を受けていると、情報セキュリティ企業である Censys が警告している。Pulse Connect Secure は、ユーザー企業におけるリモート／モバイルを介した安全なアクセスを実現する、SSL VPN ソリューションとして広く導入されている。そして、この VPN アプライアンスは、2020年に Pulse Secure を買収した、Ivanti の製品群の１つとなっている。

OSS リポジトリを悪用するサプライチェーン攻撃が増加中：ReversingLabs レポート

Software Supply Chain Attacks Leveraging Open-Sources Repos Growing

2022/12/09 InfoSecurity — 12月5日に発表された ReversingLabs のレポート The State of Software Supply Chain Security によると、2020年から2022年初頭にかけて急激に増加したサプライチェーン攻撃は、緩やかながらも 2022年を通じて着実に増加しているようだ。同社の調査は、npm／PyPi／Ruby Gems などのオープンソース・リポジトリにアップロードされた、悪意のパッケージの件数を対象に行われた。

Cisco IP Phone 7800／8800 のゼロデイ脆弱性 CVE-2022-20968：PoC が出回っている

Cisco discloses high-severity IP phone bug with exploit code

2022/12/08 BleepingComputer — 今日、Cisco が公開した脆弱性は、最新世代の IP Phone に影響し、リモート・コード実行／DoS 攻撃につながる深刻度の高いものである。同社は、「Cisco の Product Security Incident Response Team (PSIRT) が、PoC エクスプロイト・コードが利用可能であることを認識し、また、パブリックに議論されている」と、この脆弱性について警告している。ただし、現時点においては、この脆弱性を悪用する攻撃の試みは認識していないと、PSIRT は付け加えている。

Tor Browser 12.0 がリリース：Apple M1／M2 と Android の最新セキュリティに対応

Tor Browser 12.0 brings Apple Silicon support, Android enhancements

2022/12/08 BleepingComputer — Tor プロジェクト・チームは、Apple Silicon Chip のサポートと、Android 版における複数の機能強化を導入した、メジャー・バージョンアップとある Tor Browser 12.0 のリリースを発表した。Tor は、Onion ネットワーク上でしかアクセスできない特別な .onion ドメインにアクセスすることで、より高度な匿名性とプライバシー性を前提とした Web ブラウジングを実現する、Firefox ベースのブラウザである。

Google の進化する機械学習：Android の PCC 機能によりプライバシーを保護

Google: How Android’s Private Compute Core protects your data

2022/12/08 BleepingComputer — Google は、Android 上のPrivate Compute Core (PCC) 機能のフローと、保護されたデバイス上でローカルに処理される機密ユーザー・データの保持について、より詳細な技術情報を開示した。Android 12で導入されたPCC は、GPS／センサー／マイク／カメラ／スクリーンからのデータを保存／処理し、ユーザーに機械学習機能を提供する、オペレーティング・システム内の安全で分離された信頼できる環境である。

DNS 攻撃によるエアギャップ破壊：重要なのは正確な設定／特性の理解／アクティビティの監視

Report: Air-Gapped Networks Vulnerable to DNS Attacks

2022/12/08 DarkReading — 企業環境における Domain Name System (DNS) の実装方法で、よく見かけられるミスコンフィグレーションが、きわめて気密性の高い資産の保護を得目的とするエアギャップ・ネットワークを、外部攻撃者による侵害にさらす可能性があることが、研究者により明らかにされた。セキュリティ企業である Pentera の研究者たちは、12月8日に発表したブログ記事で、DNS サーバに接続するエアギャップ・ネットワークを使用している組織が、重要な資産を不用意に脅威アクターにさらし、深刻なデータ侵害を引き起こす可能性があると指摘している。

TikTok における子供の保護に問題：米国のインディアナ州政府が提訴

TikTok Hit by US Lawsuits Over Child Safety, Security Fears

2022/12/08 SecurityWeek — 12月7日に米国のインディアナ州は、中国の TikTok アプリが、子供の安全性について虚偽の主張をしていると訴え、２件の訴訟を起こした。この訴訟は、TikTok が国家安全保障上の脅威であり、中国のスパイの手先であるという、複数の非難を受けたものだ。このように、米国内では TikTok に関する問題が山積してる。

Sophos Firewall における深刻な脆弱性 CVE-2022-3236 などが FIX：Ver 19.5 で対応

Sophos fixed a critical flaw in its Sophos Firewall version 19.5

2022/12/07 SecurityAffairs — Sophos は、Sophos Firewall version 19.5 においてセキュリティパッチを提供し、任意のコード実行などの７つの脆弱性に対応した。その中で、最も深刻な問題は、CVE-2022-3236 として追跡されている、深刻なコード・インジェクションの脆弱性である。同社のアドバイザリには、「User Portal および Webadmin において、リモートでのコード実行を可能にする、コード・インジェクションの脆弱性が発見された」と記されている。

Java／Rust／Kotlin のメモリセーフ機能：C／C++ と安全性を比較してみる

Shift to Memory-Safe Languages Gains Momentum

2022/12/07 DarkReading — 今週に、ソフトウェア・セキュリティの専門家たち発表したところによると、リモートからの悪用が可能で、野放し状態での攻撃の大部分に関与している、きわめて深刻な脆弱性のグループに対して、ソフトウェア業界は前進しているようだ。この脆弱性グループとは、いわゆるメモリ安全性の問題である。具体的には、バッファオーバーフロー／ユースアフターフリーなどを含むものであり、ソフトウェア会社が公表するアプリケーション・セキュリティ問題の大半を占めるものだ。今回の最新データでは、Java／C#／Rust などの、メモリ安全性の高い言語の使用が増加したことで、このクラスの脆弱性全体が急速に減少していることが示されている。

ロシアの VTB 銀行で史上最大の DDoS：自国の IP アドレスからも攻撃

Russia’s VTB Bank Suffers its Biggest Ever DDoS

2022/12/07 InfoSecurity — ロシア第２位の銀行が、親ウクライナのハクティビストが仕掛けていると思われる、史上最大の DDoS 攻撃と戦っていることを認めた。同行は、システムは正常に稼働しており、顧客データは安全であると強調したが、一時的にアプリや Web サイトが機能停止に陥っていると指摘する Reuters レポートもある。

TAG-53 という親ロシア派ハッカー：米軍の兵器メーカーへの攻撃に関与

Russian Hackers Spotted Targeting U.S. Military Weapons and Hardware Supplier

2022/12/07 TheHackerNews — ロシアとつながりのある国家的なハッキング・グループが、米国に拠点を置く軍事兵器正規サプライヤーである Global Ordnance が使用する、Microsoft のログイン・ページを偽装する攻撃インフラに関連していることが判明した。Recorded Future によると、TAG-53 と命名された脅威アクターが、この新しい攻撃インフラを提供しているようだ。この驚異アクターは、Blue Callisto／Callisto／COLDRIVER／SEABORGIUM／TA446 などの呼び名で、サイバーセキュリティ・コミュニティでは有名な存在だという。

CloudSEK でハッキングが発生：他のサイバー・セキュリティ企業が首謀者か？

CloudSEK claims it was hacked by another cybersecurity firm

2022/12/07 BleepingComputer — インドのサイバー・セキュリティ企業である CloudSEK は、従業員の Jira アカウントから盗んだ認証情報を悪用する脅威アクターが、Confluence サーバに侵入したと発表した。Confluence wiki から流出したのは、製品ダッシュボードのスクリーンショット／３人の顧客の名前／発注書などの内部情報だとされる。ただし、CloudSEK は、同社のデータベースは危険にさらされていないと述べている。

JavaScript サプライチェーン攻撃が発生：eコマースを侵害する Group X とは？

Supply Chain Web Skimming Attacks Hit Dozens of Sites

2022/12/07 InfoSecurity — Jscrambler によると、これまでの１年間に新たに発見された Web スキミング・キャンペーンは、すでに 40以上の e コマースサイトを侵害しているという。JavaScript 保護ベンダーである Jscrambler は、ロシアのサーバにカードデータを流出させた Group X が、新しいサプライチェーン技術を用いて、侵害を繰り返していることを明らかにした。

API の無秩序な広がり：IT リーダーの 68% が最大の懸念を示す

68% of IT leaders are worried about API sprawl

2022/12/06 HelpNetSecurity — Axway の 2022 Open Everything Strategy Survey Report により、約 40% の組織における IT インフラに、新しいハイブリッド・アプローチが採用されているという、新しいデータを発表した。この変革の原因として、回答者の 68% が無秩序な API の拡大を挙げている。Axway が実施した調査は、約 1,000人の IT リーダー／アーキテクト／開発者を対象にしたものであり、デジタル全般における戦略や懸念について質問するものだ。この調査データは、主に API Development (893人) と、Managed File Transfer (102人) に従事する人々の回答を反映している。

Cryptonite というランサムウェア・ツールキット：誤ってワイパー型マルウェアに豹変

Open Source Ransomware Toolkit Cryptonite Turns Into Accidental Wiper Malware

2022/12/06 TheHackerNews — Cryptonite と呼ばれるオープンソースのランサムウェア・ツールキットだが、その構造とプログラミングの問題により、ワイパー機能を持つことが判明した。Cryptonite は、他のランサムウェア系統とは異なり、サイバー犯罪者の地下マーケットでは販売されていない。その代わりに、最近まで CYBERDEVILZ という脅威アクターが、GitHub リポジトリで無料で提供していた。このソースコードとフォークは、その後に削除されている。

Netgear Nighthawk の脆弱性が FIX：Pwn2Own 用のエクスプロイトを無効化

Netgear Neutralizes Pwn2Own Exploits With Last-Minute Nighthawk Router Patches

2022/12/06 SecurityWeek — 先週に Netgear がリリースしたホット・フィックスにより、Nighthawk RAX30 (AX2400) ルータの誤設定により、ローカル・ネットワークのサービスへの無制限なアクセスを、リモートの攻撃者に許してしまう脆弱性が対処された。Nighthawk RAX30 の WAN インターフェースが、デフォルトで IPv6 を有効にしているにもかかわらず、IPv4 トラフィックに適用されるアクセス制限が、IPv6 トラフィックに適用されないことに、この脆弱性は起因する。

InTheBox というダークウェブ：金融サービスを標的とする Web インジェクションを提供

Darknet’s Largest Mobile Malware Marketplace Threatens Users Worldwide

2022/12/06 TheHackerNews — InTheBox と呼ばれるダークネット・マーケットプレイスの存在を、サイバーセキュリティ研究者たちが明らかにした。このマーケットプレイスは、2020年1月ころから利用されていたと見られている。ここでは、地域ごとに分類された 400 以上のカスタム Web インジェクションが提供されており、独自の攻撃を試みる攻撃者たちが購入できるようになっている。Resecurity は、「自動化を施したサービスにより、ユーザーである攻撃者たちは、モバイル・マルウェアに実装する最新の Web インジェクションを取得できる。この InTheBox は、モバイル・マルウェア用の高品質 Web インジェクションを提供する市場として、最大かつ唯一のものと言えるかもしれない」と述べている。

NIST Cybersecurity Framework の概説：セキュリティの５つの要素を再確認する

Understanding NIST CSF to assess your organization’s Ransomware readiness

2022/12/06 TheHackerNews — ランサムウェア攻撃の主な要因は、組織における脆弱なセキュリティ管理にあり、、その件数と影響が増え続けている。中堅企業が保有する貴重なデータが大量にあるが、大企業のような保護対策や人材が不足しているため、標的にされている。RSM の最新調査によると、中堅企業の 62% が今後の 12カ月間に、ランサムウェアの危険にさらされる可能性があると捉えている。サイバー・セキュリティのリーダーたちの感覚は、”まっさきに頭に浮かぶもの” から “深刻な頭痛のタネ” の間の、どこかにある。

サイバー犯罪が常態化しているＺ世代：UEL／Europol の共同レポート

Gen Z Internet Users “Normalize” Cybercrime – Report

2022/12/06 InfoSecurity — EU が資金提供した新しい大規模な研究によって、若いインターネットユーザーの大半が、マネーミュール／デジタル海賊行為／ヘイトスピーチ投稿などの、何らかのサイバー関連犯罪に関与していることが判明した。The University of East London (UEL) によるこの調査は、EU の Horizon 基金の資金を受け、欧州警察機構 (Europol) のサイバー犯罪センターと共同で実施された。この調査は、16歳〜19歳の 8000人を対象に、20種類のオンライン行動についてのアンケート結果が集約したものだ。

ロシアン・ハッカーを釣ってみた：ウクライナと NATO への攻撃体制が浮き彫りに

Russian Hackers Use Western Networks to Attack Ukraine

2022/12/06 InfoSecurity — 英国／米国などの組織において、そのネットワークへのアクセスを不正に維持しているロシアン・ハッカーたちが、ウクライナに対して攻撃を仕掛けていることが、Lupovis の最新レポートで明らかにされたな。スコットランドのセキュリティ企業である Lupovis は、ロシアの脅威アクターをおびき寄せるために Web 上にルアーを展開し、その TTP (Tactics, Techniques and Procedures) の研究で成果をあげた。

FreeBSD の Ping に潜む脆弱性 CVE-2022-23093 が FIX：RCE にいたる恐れ

Critical Ping Vulnerability Allows Remote Attackers to Take Over FreeBSD Systems

2022/12/05 TheHackerNews — FreeBSD OS のメンテなたちが、ping モジュールに存在するセキュリティ上の脆弱性を修正するためのアップデートを公開した。この、ping サービスに存在するスタックバッファ・オーバーフローの脆弱性 CVE-2022-23093 は、すべての FreeBSD 現行バージョンに影響を及ぼすものである。

CISA KEV 警告 22/12/02：Google Chrome の深刻な脆弱性 CVE-2022-4262

CISA orders agencies to patch exploited Google Chrome bug by Dec 26th

2022/12/05 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃での悪用が確認されているバグのリストに、新たな脆弱性を追加した。この脆弱性 CVE-2022-4262 は、Google Chrome for Windows／Mac／Linux に存在するものであり、12月2日にゼロデイバグとしてパッチが適用されたものだ。そのセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2022-4262 が、野放し状態で悪用されているという報告を確認している」と述べている。

Google Play の最新マルアプリ情報：100万 DL の TubeBox などを発見

Android malware apps with 2 million installs spotted on Google Play

2022/12/04 BleepingComputer — Google Play ストアに侵入した、Android の新たなマルウェア／フィッシング／アドウェア群が、200万人以上のユーザーにインストールされていることが判明した。Dr. Web antivirus により発見された、これらの悪質なアプリは、便利なユーティリティやシステム最適化の機能を装っている。しかし実際には、パフォーマンス／ユーザエクスペリエンスの低下や、不正な広告の表示時などを引き起こす元凶となっている。

Linux の新たなゼロデイ CVE-2022-3328：multipathd 脆弱性との併用で root 権限を取得

A new Linux flaw can be chained with other two bugs to gain full root privileges

2022/12/03 SecurityAffairs — Qualys Threat Research Unit の研究者たちは、Linux の新しい脆弱性 CVE-2022-3328 と、既存の２つの脆弱性を連鎖させ、システム上で完全なルート権限を取得する方法を実証した。この脆弱性 CVE-2022-3328 は、Ubuntu にデフォルトでインストールされる SUID-root プログラムである、Linux OS の snap-confine 機能に存在する。snap-confine とは、snap アプリケーションの実行環境を構築するために、snapd により内部的に用いられるものであり、snap アプリケーションをコンフィグレーションするための内部ツールである。

Black Hat 2022：自社育成の Machine Learning で SOC の手法を転換

SOC Turns to Homegrown Machine Learning to Catch Cyber-Intruders

2022/12/03 DarkReading — フランスの銀行に所属する情報セキュリティ・チームが、ログデータを学習させた自社開発の機械学習モデルを用いて、ルールベースのセキュリティ・アプライアンスでは捕捉できなかった。３種類の新しいデータ流出パターンを検出できることを発見した。

三菱電機の PLC に深刻な問題：エンジニアリング WS の脆弱性を介した攻撃の可能性

Mitsubishi Electric PLCs Exposed to Attacks by Engineering Software Flaws

2022/12/02 SecurityWeek — 産業用サイバー・セキュリティ企業である Nozomi Networks の研究者たちが、三菱電機のエンジニアリング WS ソフトウェア GX Works3 に存在し、放置すると安全システムのハッキングに悪用される可能性のある、脆弱性３件を発見した。GX Works3 は、三菱電機の PLC である MELSEC iQ-F／iQ-R 向けに提供している、コンフィグレーション／プログラミング用ソフトウェアである。