September 18, 2023 – IoT OT Security News

Bumblebee マルウェアが再登場：WebDAV サービスを悪用する新たなキャペーンを展開

Bumblebee malware returns in new attacks abusing WebDAV folders

2023/09/18 BleepingComputer — ２ヶ月ぶりに再登場した Bumblebee マルウェア・ローダーだが、4shared WebDAV サービスを悪用するという、新たな配布テクニックを用いている。WebDAV (Web Distributed Authoring and Versioning) とは、HTTP プロトコルの拡張機能であり、クライアントからリモート・オーサリング操作を実行し、Web サーバのコンテンツの作成／更新／削除などを可能にするものだ。Intel471 の研究者たちによると、2023年9月7日に開始された Bumblebee の最新キャンペーンは、4shared WebDAV サービスを悪用してローダーを配布し、攻撃チェーンを取り込むことで、いくつかの感染後アクションを実行していくという。

Juniper の脆弱性 CVE-2023-36845 に新たな PoC エクスプロイト：悪用が容易な RCE

Thousands of Juniper devices vulnerable to unauthenticated RCE flaw

2023/09/18 BleepingComputer — 推定で 12,000台とされる Juniper SRX Firewall／EX Switche には、認証を必要とせずに悪用が可能な、ファイルレス・リモート・コード実行の脆弱性が存在する。2023年8月に Juniper は、PHP 環境変数操作の脆弱性 CVE-2023-36844／CVE-2023-36845 および、重要な機能に対する認証欠落の脆弱性 CVE-2023-36846／CVE-2023-36847 を公表した。それらの脆弱性の危険度は低いが、連鎖すると CVSS 9.8 という深刻なリモート・コード実行にいたるものでもある。

Microsoft AI 研究部門の失敗：38TB のプライベート・データを誤って SAS 共有

Microsoft leaks 38TB of private data via unsecured Azure storage

2023/09/18 BleepingComputer — 2020年7月以降において Microsoft の AI 研究部門は、GitHub パブリック・リポジトリに、オープンソースの AI 学習モデルをコントリビュートする際に、誤って 38TB の機密データを流出させていた。それから約３年後に、クラウド・セキュリティ企業である Wiz が発見したのは、流出した情報を含む Azure Blob ストレージ・バケットの、ミスコンフィグレーションされた URL が、Microsoft の従業員により不用意に共有されていたことだった。

M	T	W	T	F	S	S
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30