Day: June 15, 2023

Azure における XSS の脆弱性:ユーザー・セッションに対する未認証のアクセスが生じていた

XSS Vulnerabilities in Azure Led to Unauthorized Access to User Sessions

2023/06/15 SecurityWeek — Azure Bastion と Azure Container Registry (ACR) に存在する2つの XSS (cross-site scripting) の脆弱性により、ユーザー・セッションへの不正アクセスおよび、データの改ざん、サービスの中断につながる可能性があったと、クラウド・セキュリティ企業 Orca が警告している。この問題は、2023年4月/5月で解決されたが、具体的に言うと、postMessage iframe の欠陥に起因するものであり、攻撃者による iframe タグを介したリモートサーバ内へのエンドポイントの埋め込むみが可能になり、悪意の JavaScript コードを実行できるものだったという。

Continue reading “Azure における XSS の脆弱性:ユーザー・セッションに対する未認証のアクセスが生じていた”

Amazon S3 バケットで悪意のバイナリを配布:新たなサプライチェーン攻撃を発見

New Supply Chain Attack Exploits Abandoned S3 Buckets to Distribute Malicious Binaries

2023/06/15 TheHackerNews — オープンソース・プロジェクトを狙った、新しいタイプのソフトウェア・サプライチェーン攻撃が検出された。この攻撃では、期限切れの Amazon S3 バケットを掌握した脅威アクターが、S3 モジュール自体には手を加えることなく、不正なバイナリを拡散しているという。Checkmarx の研究者である Guy Nachshon は、「悪意のバイナリが盗み出すのは、ユーザー ID/パスワード/ローカルマシン環境変数/ローカルホスト名などであり、それらのデータを乗っ取ったバケットに流出させている」と述べている。

Continue reading “Amazon S3 バケットで悪意のバイナリを配布:新たなサプライチェーン攻撃を発見”

MOVEit とデータ窃取攻撃:Clop ランサムウェア・ギャングが被害者への恐喝を開始

Clop ransomware gang starts extorting MOVEit data-theft victims

2023/06/15 BleepingComputer — MOVEit を介したデータ窃取攻撃の被害者となった企業に対する、Clop ランサムウェア・グループによる恐喝が始まった。この動きは、5月27日に Clop が、ファイル転送プラットフォーム MOVEit Transfer のゼロデイ脆弱性を悪用し、そのサーバに保存されているファイルを盗み出したことに起因している。Clop の主張は、この攻撃により数百の企業に侵入したというものであり、交渉が成立しなければ 6月14日にデータ漏洩サイトに掲載すると脅迫している。さらに、要求額が支払われない場合には、盗み出したデータの流出を、6月21日から開始すると述べている。

Continue reading “MOVEit とデータ窃取攻撃:Clop ランサムウェア・ギャングが被害者への恐喝を開始”

CISA/NSA の共同指針:BMC セキュリティ強化ガイドラインを発表

CISA and NSA Publish BMC Hardening Guidelines

2023/06/15 InfoSecurity — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) は、BMC (Baseboard Management Controller) のセキュリティ強化に関する共同指針を発表した。6月14日に発表された、この文書の目的は、重要なインフラ・システムの侵害を試みる脅威アクターにとって、潜在的な侵入経路となり得る BMC の、見落された脆弱性への対処である。

Continue reading “CISA/NSA の共同指針:BMC セキュリティ強化ガイドラインを発表”

Barracuda ESG がデバイス交換を選択:中国 APT が仕掛けた強力なバックドアとは?

Barracuda ESG zero-day attacks linked to suspected Chinese hackers

2023/06/15 BleepingComputer — Mandiant が UNC4841 として追跡している親中派ハッカー・グループへの疑いが、Barracuda ESG (Email Security Gateway) アプライアンス上の、パッチ適用済みゼロデイ脆弱性を悪用する、データ窃取攻撃と関連していることが判明した。この脅威アクターは、2022年10月10日頃から、Barracuda の添付ファイル・スキャン・モジュールに存在する、ゼロデイ・リモート・コマンド・インジェクション脆弱性 CVE-2023-2868 を悪用し始めた。5月19日に、この欠陥を発見した Barracuda は、脆弱性が悪用されていることを直ちに公表し、CISA は米国連邦政府機関に対して、セキュリティ更新プログラムを適用するよう警告を発した。

Continue reading “Barracuda ESG がデバイス交換を選択:中国 APT が仕掛けた強力なバックドアとは?”