October 2023 – Page 2 – IoT OT Security News

JetBrains TeamCity の脆弱性 CVE-2023-42793：北朝鮮の Lazarus が悪用を開始

North Korean hackers exploit critical TeamCity flaw to breach networks

2023/10/18 BleepingComputer — 北朝鮮のハッキンググループ Lazarus と Andariel が、TeamCity サーバの脆弱性 CVE-2023-42793 を悪用してバックドア型マルウェアを展開し、ソフトウェア・サプライチェーン攻撃を行っているようだと、Microsoft が述べている。TeamCity は、組織がソフトウェア開発インフラの一部として使用する CI/CD (continuous integration and continuous deployment) サーバである。2023年9月に TeamCity は、脆弱性 CVE-2023-42793 (CVSS：9.8/10) を修正し、未認証の攻撃者によるリモートコード実行に対処した。こうして、TeamCity による修正は完了したが、その一方では、ランサムウェア集団などの脅威アクターが、企業ネットワークに侵入するために、この欠陥を悪用し始めている。

Synology Diskstation Manager の脆弱性 CVE-2023-2729：管理者アカウント乗っ取りの危険性

A Flaw In Synology Diskstation Manager Allows Admin Account Takeover

2023/10/18 SecurityAffairs — Synology DiskStation Manager (DSM) に存在する脆弱性 CVE-2023-2729 (CVSS：5.9) を、Claroty Team82 の研究者たちが発見した。Team82 によると、NAS 製品上で動作する Synology の DiskStation Manager (DSM) Linux ベースの OS で、脆弱な乱数ジェネレータが使用されていたという。この脆弱性は、NAS デバイスの管理者パスワードの生成に使用される、Javascript の安全ではない “Math.random()” 関数に起因するものだ。

Citrix NetScaler の脆弱性 CVE-2023-4966：８月以降における積極的な悪用が判明

Recent NetScaler Vulnerability Exploited as Zero-Day Since August

2023/10/18 SecurityWeek — 先日にパッチが適用された Citrix NetScaler Application Delivery Controller (ADC)／NetScaler Gateway に存在する深刻な脆弱性だが、８月以降においてゼロデイとして悪用されていたことが、Google の Mandiant サイバーセキュリティ部門により報告された。この脆弱性 CVE-2023-4966 (CVSS：9.4) は、認証を必要とすることなく悪用が可能であり、Gateway／AAA 仮想サーバとしてコンフィグレーションされたオンプレミス・アプライアンスから、機密情報が漏洩してしまう可能性があるという。

Notepad++ に仕込まれた悪意のコード：Google 検索の広告で偽アプリが宣伝されている

Malicious Notepad++ Google ads evade detection for months

2023/10/17 BleepingComputer — Google 検索に表示される新たな不正広告キャンペーンにより、人気のテキスト・エディタ Notepad++ をダウンロードしようとするユーザーが標的とされているが、そこでは検出や分析を回避するための高度なテクニックが使用されているという。マルウェアを配布するために作られた、偽ソフトウェアの Web サイトを宣伝する不正広告キャンペーンが盛んであり、Google 広告を悪用する脅威アクターが増加している。

Chrome／Edge／Firefox の偽アップデート：狡猾な手口で誘う ClearFake マルウェア

Researchers warn of increased malware delivery via fake browser updates

2023/10/17 HelpNetSecurity — 最近になって文書化された ClearFake は、侵害した WordPress サイトを利用して、悪意の偽 Web ブラウザ・アップデートをプッシュするものである。この活動は、SocGholish のマルウェア配信キャンペーンを操る、脅威グループにより運営されている可能性が高いと、Sekoia の研究者たちは結論づけている。

Amazon が Passkeys をサポート開始：パスワードレス・ログインの選択肢として

Amazon adds passkey support as new passwordless login option

2023/10/17 BleepingComputer — Amazon が静かに追加したのは、顧客向けの新しいパスワードレス・ログインの選択肢としての Passkeys のサポートであり、それにより、情報を盗み出すマルウェアやフィッシングに対する保護が強化されることになった。Passkeys とは、携帯電話／コンピューター／USBセキュリティキーなどのデバイスにリンクされた、生体認証や暗証番号を使った Web サイトへのログインを可能にするデジタル認証情報のことだ。

D-Link でデータ侵害：従業員へのフィッシング攻撃から始まった

D-Link confirms data breach after employee phishing attack

2023/10/17 BleepingComputer — 台湾のネットワーク機器メーカーである D-Link は、同社のネットワークにおけるデータ侵害で窃取されたデータが、10月の初めから BreachForums で売りに出されていることを発表した。この攻撃者は、D-Link の D-View ネットワーク管理ソフトウェアのソースコードと、同社の CEO／従業員／顧客などの個人情報にアクセスし、何百万ものエントリを盗んだと主張している。盗まれたデータには、氏名／電子メール／住所／電話番号／アカウント登録日／ユーザーの最終サインイン日などが含まれているという。

Milesight Router／Titan Server の複数の脆弱性：悪用された形跡を発見

Experts Warn of Severe Flaws Affecting Milesight Routers and Titan SFTP Servers

2023/10/17 TheHackerNews — Milesight の産業用セルラー・ルーターに影響を及ぼす深刻な脆弱性が、実際の攻撃で積極的に悪用されている可能性があることが、VulnCheck の新たな調査結果により明らかになった。脆弱性 CVE-2023-43261 (CVSS：7.5) は、UR5X／UR32L／UR32／UR35／UR41 ルーターの 35.3.0.7 未満に影響を及ぼす、情報漏えいの欠陥だと説明している。この脆弱性の悪用に成功した攻撃者は、httpd.log などのログを含む、各種の機密情報にアクセスできる可能性がある。その結果として、リモートの未認証の攻撃者が、Web インターフェイスに不正にアクセスできるようになり、VPN サーバーの設定やファイアウォールの保護の解除などが可能になる。

Microsoft Defender 対 Akira ランサムウェア：エンジニアリング分野への攻撃を封じ込めた

Microsoft Defender Thwarted Akira Ransomware Attack On An Industrial Engineering Firm

2023/10/16 SecurityAffairs — Microsoft の Defender for Endpoint が、Akira ランサムウェア・オペレーション (Storm-1567) による大規模なハッキング・キャンペーンの阻止に貢献したようだ。Microsoft によると、この攻撃は 2023年6月上旬に発生した、インダストリー組織を狙うものとのことだ。同社のサイバー防衛ソリューションは、他の機能を展開することなく、ランサムウェアのような人手による攻撃を自動的に防止できるとされる。

Atlassian の脆弱性 CVE-2023-22515：悪用について CISA／FBI／MS-ISAC が共同勧告

CISA, FBI urge admins to patch Atlassian Confluence immediately

2023/10/16 BleepingComputer — 10月16日 (月) に、CISA／FBI／MS-ISAC はネットワーク管理者に対して、攻撃で積極的に悪用されている Atlassian Confluence の脆弱性に対して、直ちにパッチを適用するよう警告した。この深刻な特権昇格の脆弱性 CVE-2023-22515 は、Confluence Data Center／Server 8.0.0 以降に影響を及ぼすものであり、ユーザーによる操作を必要としない、リモートからの容易な悪用が可能なものである。

WinRAR の脆弱性 CVE-2023-38831 を悪用：ロシアのハッカーたちの攻撃で検出

Pro-Russian Hackers Exploiting Recent WinRAR Vulnerability in New Campaign

2023/10/16 TheHackerNews — 先日に公表された WinRAR アーカイブ・ユーティリティの脆弱性を悪用する、親ロシア派のハッキング・グループが、脆弱なシステムから認証情報を採取するフィッシング・キャンペーンを展開している。先週の Cluster25 のレポートには、「この攻撃は、WinRAR 圧縮ソフトウェアのバージョン 6.23 未満に存在する脆弱性 CVE-2023-38831 を介して、悪意のアーカイブ・ファイルを使用するものだ」と記されている。

Cisco IOS XE の脆弱性 CVE-2023-20198：ゼロデイ・エクスプロイトが発生

Cisco warns of new IOS XE zero-day actively exploited in attacks

2023/10/16 BleepingComputer — 10月16日 (月) に Cisco は、IOS XE ソフトウェアに存在する深刻度の高い認証バイパス・ゼロデイ脆弱性について、管理者たちに警告を発した。この脆弱性の悪用に成功した未認証の攻撃者は、完全な管理者権限を取得することで、影響を受けるルーターをリモートで完全に制御できるという。同社によると、この脆弱性 CVE-2023-20198 (CVSS : 10.0) へのパッチは、現時点では適用されていない。なお、この脆弱性は、Web User Interface (Web UI) 機能が有効であり、HTTP／HTTPS サーバー機能がオンになっているデバイスにのみに影響するという。

イスラエルとハマス：紛争における情報工作キャンペーンを Mandiant が解説

Gaza Conflict Paves Way for Pro-Hamas Information Operations

2023/10/14 DarkReading — 研究者たちは、イスラエルとハマスの紛争に端を発した、国家による情報工作を警戒しているが、今のところ大きな動きは見られない。しかし、多数のハクティビストやスパイ活動家たちが、この争いに参入すれば、それも一変する可能性がある。

ShellBot マルウェア：Hex IP アドレスを用いた新たな回避手法で Linux SSH サーバを狙う

ShellBot Cracks Linux SSH Servers, Debuts New Evasion Tactic

2023/10/14 DarkReading — ShellBot マルウェアを操り Linux SSH サーバを狙うサイバー攻撃者たちが、新たな手法である 16 進数 IP (Hex IP) アドレスを用いて、振る舞いベースの検出を回避し、その活動を隠していることが判明した。AhnLab Security Emergency Response Center (ASEC) の研究者たちによると、この脅威アクターは、従来のドット付き10進数 Command-and-Control URL 形式 (hxxp://39.99.218[.]78) を、Hex IP アドレス形式 (hxxp://0x2763da4e/など) に変換することで、大半の URL ベースの検出シグネチャを回避しているという。

サイバー保険の最前線：MOVEit 攻撃に対する保証で何が変わるのか？

How MOVEit Is Likely to Shift Cyber Insurance Calculus

2023/10/14 DarkReading — 大手企業数十社の不正侵入で悪用された、ファイル転送ソフト MOVEit の開発元である Progress Software は、最近の証券取引委員会 (SEC) への提出書類の中で、$15 million のサイバー保険の全額を受け取るつもりだと述べている。しかし、この巨額の支払いは、保険会社自身のビジネスに対して、どのような影響を与えるのだろうか？ Progress が直面しているのは、集団訴訟／罰金／ビジネス・ブランドの失墜などであり、その損失をカバーするために数百万ドルが必要になるのは当然のことである。さらに、SEC への最新の 10-Q 提出書類によると、Progress Software は MOVEit ランサムウェアとは別のインシデントで、2022年11月に保険を受け取っている。

AI ボットの脅威：すでに人間よりも素早く CAPTCHA を解読している

AI-enabled bots can solve CAPTCHAs faster than humans

2023/10/13 HelpNetSecurity — Kasada の調査によると、悪質なボット攻撃との戦いで、多くの企業が収益を失っているという。多くの企業が数百万ドルを費やし、従来からのボット管理ソリューションに取り組んでいるが、ボット攻撃による財務的な影響を受けている。回答者の 38% は、１回のボット攻撃で組織は $500,000 以上の損害を被っていると見積もっており、その数値は昨年の 25% から増加している。さらに、ボットによるアカウント詐欺により、昨年中に 10% 以上の収益を失った組織は 50% に上り、昨年の40%から増加している。

DarkGate マルウェア：Skype／Teams を介して悪意の VBA を埋め込んだ PDF を配布

DarkGate Malware Spreading via Messaging Services Posing as PDF Files

2023/10/13 TheHackerNews — Microsoft の Skype や Teams などの IM (Instant Messaging) プラットフォームを介して、DarkGate というマルウェアが拡散していることが確認されている。これらの攻撃では、PDFドキュメントを装う VBA (Visual Basic for Applications) ローダー・スクリプトを配信するために、それらのメッセージング・アプリが使用される。そして、それらの悪意のスクリプトを開かれると、AutoIt スクリプトのダウンロードと実行がトリガーされ、マルウェアを起動するように設計されている。

VBScript の非推奨化と侵害経路の遮断：Microsoft が廃止へ向けて舵を切った

Microsoft Set to Retire Grunge-Era VBScript, to Cybercrime’s Chagrin

2012/10/13 DarkReading — 今週に Microsoft が発表したのは、使い古された VBScript を非推奨にするという方針である。VBScript はサイバー犯罪者たちが愛用するツールであるため、彼らにとっては悪いニュースである。今後の Windows のリリースでは、VBScript の利用範囲が限定され、必要に応じて提供される機能としてのみ利用できるようになるという。そして、最終的には、オペレーティング・システムから完全に削除される予定である。

Microsoft の Kerberos と NTML：Windows 11 での置き換えを本格化

Microsoft plans to kill off NTLM authentication in Windows 11

2023/10/13 BleepingComputer — 今週の初めに Microsoft が発表したのは、Windows 11 における NTLM 認証プロトコルを、将来的に廃止するという方針である。NTLM (New Technology LAN Manager) は、リモート・ユーザーを認証し、セッション・セキュリティを提供する、プロトコル群である。現在では、もうひとつの認証プロトコルである Kerberos が NTLM に取って代わり、Windows 2000 以降の全てのバージョンにおいて、ドメインに接続されたデバイスの、デフォルトの認証プロトコルになっている。

Juniper Junos OS の脆弱性 CVE-2023-44194 などが FIX：全体で 30件以上の問題を解決

Juniper Networks Patches Over 30 Vulnerabilities in Junos OS

2023/10/13 SecurityWeek — 10月12日 (木) に、ネットワーク機器メーカーの Juniper Networks は、Junos OS／Junos OS Evolved に存在する、30件以上の脆弱性に対するパッチを発表した。これらの問題のうち、最も深刻なのは、不正確なデフォルト・パーミッションのバグであり、認証されていない攻撃者が、脆弱なデバイスへのローカル・アクセスを行い、ルート権限でバックドアを作成できるというものだ。この脆弱性 CVE-2023-44194 (CVSS：8.4) は、特定のシステム・ディレクトリに対して、不適切なパーミッションが関連付けられていることに起因する。

Squid Proxy の数十の脆弱性：報告から２年が経過しているがパッチは未適用

Dozens of Squid Proxy Vulnerabilities Remain Unpatched 2 Years After Disclosure

2023/10/12 SecurityWeek — Squid Proxy は、広く使用されているオープンソース・プロキシである。その Squid Proxy の Web キャッシングおよび転送機能に影響を及ぼす数十の脆弱性が、研究者から開発者に報告されてから、約２年が経過した現在でも、パッチが適用さないという状況が続いている。Squid プロジェクトの公式サイトには、「知らないうちに、Squid を使っている方も多いはずだ。自宅やオフィスのファイアウォール・デバイスに、Squid を組み込んでいる企業もある。また、ブロードバンドやダイヤルアップ・インターネットアクセスを高速化するための、大規模な Web プロキシの構築に Squid を使用している企業もある。Squid の用途は、コンテンツ配信アーキテクチャにも広がり、静止画および動画ストリーミングのビデオ／オーディオを、世界中のインターネット・ユーザーに配信するために利用されている」と記されている。

米国におけるデータ侵害：2023年 1月〜9月期の 2116件は昨年の合計を上回る

US Smashes Annual Data Breach Record With Three Months Left

2023/10/12 InfoSecurity — ITRC (Identity Theft Resource Center) によると、2023年1月〜9月期に報告された米国のデータ漏洩は 2116件であり、Q4 を残して過去最悪の年となっている。この非営利団体は、米国で公に報告された情報漏えいを追跡調査している。2023年 Q3 にはデータ漏洩が 733件発生し、Q2 と比べて 22％減少した。しかし、この相対的な落ち込みがあるにしても、2021年に記録された 1862件という、これまでの最悪のレベルを超えるには十分なものであった。

中小企業の約半数がサイバー攻撃に遭っている：英国の給与計算プロバイダーによる調査

Half of Small Businesses Hit by Cyber-Attack Over the Past Year

2023/10/12 InfoSecurity — サイバー・セキュリティが中小企業 (SME：small and medium enterprises) にとって最大の関心事となっているのは、この１年の間に SME の 48％が、少なくとも１件のサイバー・インシデントを経験しているからだという。この分析の結果は、会計／給与計算ソフトウェア・プロバイダーである、Sage の最新調査によるものである。Sage の顧客である Roche Healthcare は、そのようなインシデントを、最近に経験した SME のひとつである。Roche の広報担当者である Cindy Cleasby は、ロンドンで開催された Sage のイベントで、「そのため、請求書を含む多くの作業を手作業で行う必要性が生じた」と、自身の経験を語った。

Ransomlooker で脅威情報を追跡：Cybernews が無償で提供する分析ツールとは？

Ransomlooker, A New Tool To Track And Analyze Ransomware Groups’ Activities

2023/10/12 SecurityAffairs — ランサムウェア・グループの恐喝サイトを監視して、彼らの主張の統合フィードを世界へ向けて配信するツール Ransomlooker が、Cybernews から発表された。同社の研究者たちが作成したツールにより、リアルタイムに更新される実用的な洞察が提供されることで、サイバー・セキュリティの専門家たちの日常業務が支援される。このツール提供するものは、データに対する様々な統計的洞察、および、攻撃の実行者を特定する機能、ジャーナリスティックな調査のための国／業界／時間軸などの、パラメータによるフィルタリング機能である。

WS_FTP Server の脆弱性 CVE-2023-40044：ランサムウェア攻撃が始まっている

Ransomware attacks now target unpatched WS_FTP servers

2023/10/12 BleepingComputer — インターネットに公開された WS_FTP サーバの、パッチ未適用の深刻度の高い脆弱性 CVE-2023-40044 が、ランサムウェア攻撃の標的になっている。先日に Sophos X-Ops のインシデント・レスポンダーたちが観測したのは、Reichsadler Cybercrime Group を自称する脅威アクターが、ランサムウェアのペイロードを展開しようと試み、失敗に終わったことだ。そこで用いられたのは、2022年9月に盗まれた LockBit 3.0 builder だとされる。同社は、「このランサムウェアの実行者が、最近に報告された WS_FTP Server ソフトウェアの脆弱性を悪用するまでに、長い時間は不要であった」と述べている。

NuGet に悪意のパッケージ：.NET 開発者に SeroXen RAT を配信している

Malicious NuGet Package Targeting .NET Developers with SeroXen RAT

2023/10/12 TheHackerNews — .NET Framework のための NuGet パッケージ・マネージャーにホストされている悪質なパッケージが、SeroXen RAT というリモート・アクセス型のトロイの木馬を配信していることが判明した。このパッケージは、Pathoschild.Stardew.Mod.Build.Config と名付けられ、Disti というユーザーにより公開されているが、正規のパッケージであるPathoschild.Stardew.ModBuildConfig を装うタイポスクワッティングであると、サプライチェーン・セキュリティ会社 Phylum が、今日のレポートで指摘している。現時点において、正規のパッケージは約79,000ダウンロードを記録しているが、2023年10月6日に公開された悪意の亜種の方は、ダウンロード数を人為的に水増して、100,000 ダウンロードを超えているとされる。

Chrome 118 がリリース：深刻な脆弱性 CVE-2023-5218 などが FIX

Chrome 118 Patches 20 Vulnerabilities

2023/10/11 SecurityWeek — 10月10日 (火) に、Google は Chrome 118 stable channel 版をリリースし、20件の脆弱性を修正したが、その中には、外部の研究者から報告された 14件も含まれるという。外部から報告された脆弱性のうち、最も深刻なものは CVE-2023-5218 であり、Chrome のコンポーネント Site Isolation に存在する、use-after-free に起因する深刻なバグだと説明されている。

Microsoft Defender の新機能：侵害されたアカウントの自動ブロック

Microsoft Defender now auto-isolates compromised accounts

2023/10/11 BleepingComputer — Microsoft Defender for Endpoint の、新たな Contain User 機能のプレビューは、人手による攻撃で侵害されたユーザー・アカウントを分離し、横方向の移動をブロックするという、自動的な攻撃阻止を目指すものとなっている。この種のハンズオンキーボード攻撃では、人間により操作されるランサムウェアのケースと同様に、脅威者がネットワークに侵入し、盗んだアカウントで権限を昇格させた後に、横方向への移動や悪意のペイロード展開が行われる。

CISA KEV 警告 23/10/10：Adobe ／Cisco／Microsoft／HTTP/2 などの５件の脆弱性

CISA Warns of Attacks Exploiting Adobe Acrobat Vulnerability

2023/10/11 SecurityWeek — 10月10日 (火) に米国の CISA は、KEV (Known Exploited Vulnerabilities) カタログに５件のセキュリティ欠陥を追加し、今年の初めに明るみに出た Adobe Acrobat／Acrobat Reader の脆弱性を悪用する攻撃について、連邦政府組織に警告した。Adobe Acrobat／Acrobat Reader に存在する use-after-free の脆弱性 CVE-2023-21608 の悪用により、ユーザーのコンテキスト権限でリモートコード実行 (RCE) が可能になるという。

Atlassian Confluence の脆弱性 CVE-2023-22515：APT による攻撃を Microsoft が警告

Microsoft: State hackers exploiting Confluence zero-day since September

2023/10/11 BleepingComputer — Microsoft の警告によると、Storm-0062 (別名 DarkShadow／Oro0lxy) として追跡されている中国の脅威グループが、2023年9月14日以降において、Atlassian Confluence Data Center／Server の親告な特権昇格のゼロデイを悪用しているという。2023年10月4日に Atlassian は、脆弱性 CVE-2023-22515 について情報を公開した際に、すでに積極的なエクスプロイト状態であることを通知していた。しかし同社は、この脆弱性を悪用している脅威グループについては、具体的な詳細を明らかにしていない。

cURL の深刻な脆弱性 CVE-2023-38545 が FIX：バージョン 8.4.0 への移行を急いでほしい

Critical SOCKS5 Vulnerability in cURL Puts Enterprise Systems at Risk

2023/10/11 SecurityWeek — 10月10日に、データ転送プロジェクト cURL のメンテナたちは、エンタープライズで使用される大量の OS／アプリ／デバイスを、ハッカーからの攻撃にさらす可能性のある、深刻なメモリ破壊の脆弱性に対するパッチを配布した。このハイリスクな脆弱性は、cURL の SOCKS5 プロキシ・ハンドシェイク・プロセスに直接的な影響をもたらし、一部の非標準的なコンフィグレーションでは、リモートからの悪用を許す可能性があるという。この脆弱性 CVE-2023-38545 は、デバイスとサーバの間でデータ交換を処理する、libcurl ライブラリに存在する。

Mirai DDoS マルウェアの亜種を検出：13種類のルーターを悪用するための武器とは？

Mirai DDoS malware variant expands targets with 13 router exploits

2023/10/10 BleepingComputer — IZ1H9 として追跡されている Mirai ベースのDDoS (分散型サービス拒否) マルウェア・ボットネットが、D-Link／Zyxel／TP-Link／TOTOLINK などのルーターや Linux ベースのルーターを標的とする、13種類の新たなペイロードを追加したようだ。Fortinet の研究者たちが報告しているのは、９月の第１週頃に悪用率がピークに達し、脆弱なデバイスに対する悪用の試行回数が数万回に達したことである。

HTTP/2 Rapid Reset という新たな DDoS テクニック：ピーク時で 398 million rps を記録

New ‘HTTP/2 Rapid Reset’ Technique Behind Record-Breaking DDoS Attacks

2023/10/10 SecurityAffairs — HTTP/2 Rapid Reset と名付けられた、新たなゼロデイ DDoS 攻撃手法が、８月以降の攻撃で悪用され、記録的な被害を及ぼしていることが、研究者たちにより明らかにされた。Google の発表は、ピーク時で 398 million rps (requests per second) に達する、一連の大規模な DDoS 攻撃を新たに観測したというものだ。この攻撃は、ストリームの多重化をベースとする、斬新な HTTP/2 Rapid Reset 技法に依存し、複数のインターネット・インフラ企業に影響を与えている。

イスラエル／パレスチナのハクティビストが戦いに参加：SCADA と ICS を標的にしている

Both pro-Israeli and pro-Palestinian hacktivists have joined the fight and are targeting SCADA and ICS systems

2023/10/10 SecurityAffairs — 親イスラエルと親パレスチナのハクティビストたちが、サイバー領域での戦いに参加している。彼らにとって最大のターゲットのひとつは、ICS (Industrial control system) であり、大変な危険にさらされている。ハマスの武装集団が、数百人のイスラエル人を殺害し、不特定の人質を取った後に、イスラエルはガザへの空爆で報復している。ソーシャル・メディア上では、イスラエル国旗をプロフィール写真に加えるなどして、イスラエルへの支持を表明する人もいた。その一方では、何千人もの人々が、パレスチナ側への支持を表明するために街頭で行進した。

Microsoft 2023-10 月例アップデート：３件のゼロデイと 104件の脆弱性に対応

Microsoft October 2023 Patch Tuesday fixes 3 zero-days, 104 flaws

2023/10/10 BleepingComputer — 今日は Microsoft の October 2023 Patch Tuesday であり、104件の欠陥に対するセキュリティ更新プログラムが提供されたが、その中には３件の積極的に悪用されるゼロデイ脆弱性も含まれる。また、45件のリモート・コード実行 (RCE) のバグが修正されたが、その中の 12件の脆弱性に対してのみ、Microsoft は Critical と評価している。

Citrix NetScaler の脆弱性 CVE-2023-4966 が FIX：機密情報の漏洩

New critical Citrix NetScaler flaw exposes ‘sensitive’ data

2023/10/10 BleepingComputer — Citrix NetScaler ADC／NetScaler Gateway に存在する脆弱性 CVE-2023-4966 (CVSS : 9.4) により、アプライアンスから機密情報が漏洩する恐れがある。ただし、この攻撃の前提条件としては、対象となるアプライアンスがゲートウェイ (VPN Virtual Server／ICA Proxy／CVPN／RDP Proxy) または、AAA 仮想サーバとして設定されている必要がある。

オンライン・ストアの 404 Not Found ページを改ざん：進化する Magecart アクターの戦術とは？

Hackers modify online stores’ 404 pages to steal credit cards

2023/10/09 BleepingComputer — Magecart における新たなカード・スキミング・キャンペーンは、オンライン小売業者の Web サイトの 404 エラー・ページを乗っ取り、そこに悪質なコードを隠し持ち、顧客のクレジット・カード情報を盗み出すというものだ。この手口は、Akamai Security Intelligence Group の研究者が観測した、３つの亜種のうちの１つに、この手口がある。他の、２つの手口は、HTML イメージ・タグの “onerror” 属性、イメージ・バイナリにコードを隠し持ち、Meta Pixel のコード・スニペットとして表示させるものだ。Akamai によると、このキャンペーンは Magento と WooCommerce のサイトに焦点を当てたものであり、被害者の中には、食品や小売の有名企業に関連する人々もいるという。

D-Link WiFi Range Extender のセロデイ CVE-2023-45208：ベンダーに修正の意志はあるのか？

D-Link WiFi range extender vulnerable to command injection attacks

2023/10/09 BleepingComputer — 人気の D-Link DAP-X1860 WiFi 6 Range Extender には、DoS (サービス拒否) 攻撃およびリモート・コマンド・インジェクションの脆弱性が存在する。現時点において、この製品は D-Linkのサイトで販売中と表示されており、また、Amazonでは数千件のレビューがあり、消費者の間で人気を得ている。この脆弱性を CVE-2023-45208 を発見したドイツの研究者チーム (RedTeam) は、D-Link に対して何度も警告を発したが、ベンダー側は沈黙を守っており、修正プログラムもリリースされていない状況のようだ。

GNOME Tracker Miners の脆弱性 CVE-2023-43641 が FIX：１クリックで RCE にいたる

GNOME Linux systems exposed to RCE attacks via file downloads

2023/10/09 BleepingComputer — GNOME デスクトップ環境を実行している Linux システム上の、オープンソース libcue ライブラリに存在するメモリ破壊の脆弱性により、攻撃者に任意のコード実行を許す可能性がある。libcue は、Cue Sheet File を解析するために設計されたライブラリであり、Tracker Miners File Metadata Indexer に統合され、最新の GNOME バージョンではデフォルトとして取り込まれている。Cue Sheet (CUE) ファイルは、CD のオーディオ・トラックの長さ／曲名／ミュージシャンなどのレイアウトを取り込んだプレーン・テキスト・ファイルであり、通常は、FLAC オーディオ・ファイル・フォーマットとペアになっている。

Citrix NetScaler の脆弱性 CVE-2023-3519：ログイン認証情報を採取する JavaScript

Hackers hijack Citrix NetScaler login pages to steal credentials

2023/10/09 BleepingComputer — Citrix NetScaler Gateway において、最近に発見された脆弱性 CVE-2023-3519 を悪用するハッカーたちが、ユーザー認証情報を盗み出すという、大規模なキャンペーンを展開している。Citrix NetScaler ADC／NetScaler Gateway に存在する脆弱性は、2023年7月にゼロデイとして発見された、認証を必要としないリモートコード実行のバグである。８月の初旬までの期間において、この脆弱性は、少なくとも 640台の Citrix サーバのバックドアとして悪用され、その数は８月中旬の時点で 2,000台に達している。

Microsoft 365 管理者への警告：Google が強化するスパム・メール判定への対策が必要

Microsoft 365 admins warned of new Google anti-spam rules

2023/10/08 BleepingComputer — 今週のことだが、Microsoft 365 の電子メール送信者に対して、Microsoft が送信メッセージを認証するよう警告を発した。この動きは、前日に Google が、大量のメール送信者に対して、スパム対策ルールを厳格化すると発表したことを受けてのものだ。Microsoft Defender for Office 365チームは「自分のドメインにメール認証を設定することで、Gmail／Yahoo／AOL／Outlook.com などのメール・プロバイダによるメッセージ拒否やスパム指定の可能性が低くなる。この処置は、特にバルクメール送信の際に重要であり、メール・キャンペーンの配信において有効である」と述べている。

WatchGuard Report によるマルウェア／ランサムウェア分析：統計値の増減からトレンドを読み解く

WatchGuard Threat Lab Report Finds Endpoint Malware Volumes Decreasing Despite Campaigns Growing More Expansive

2023/10/07 DarkReading — 今日、統合型サイバーセ・キュリティのグローバル・リーダーである WatchGuard Technologies は、同社の Threat Lab が分析した、マルウェアのトップトレンドや、ネットワークとエンドポイントのセキュリティ脅威について詳述する、最新の Internet Security Report を発表した。この調査結果における要点としては、マルウェアの 95% が暗号化された接続を介して到達することについて、また、広範囲に広がるキャンペーンとエンドポイント・マルウェアの減少や、二重の恐喝攻撃の増加とランサムウェア検出数の減少、いまも悪用される古いソフトウェアの脆弱性の存在などが挙げられている。

MFA は信じて疑うべき存在：業界による宣伝に踊らされないために

Why MFA Is Not the Panacea the Industry Is Touting it to Be

2023/10/06 InfoSecurity — 多要素認証 (Multi Factor Authentication：MFA) とは、ユーザーが本人であることを証明するために、ユーザーと認証システムのみが知るべき２つ以上の「秘密」の共有を要求する、デジタル認証ソリューションのことである。MFA は、単純なログイン名とパスワードよりも改善されたものである。しかし、非常に危うくなっており、何十億とは言わないまでも、何億ものオンライン攻撃を成功させてしまっている。残念なことに、ほとんどの MFA はパスワードと比べて、あなたを遥かに安全にすることはできず、また、この業界は、あなたが使用すべき MFA について十分に話していない。それであっても、貴重なデータやシステムを守るためには、可能な限り MFA を使うべきである。

GitHub のシークレット・スキャンが拡張：AWS／Microsoft／Google／Slack などをカバー

GitHub’s Secret Scanning Feature Now Covers AWS, Microsoft, Google, and Slack

2023/10/06 TheHackerNews — GitHub が発表した、そのシークレット・スキャン機能の改良／拡張により、一般的な Amazon Web Services (AWS)／Microsoft／Google／Slack などのサービスでの有効性チェックも、カバーされるようになるという。今年のはじめに GitHub が導入した有効性チェックは、シークレット・スキャンにより発見されたトークンの有効性についてユーザーに警告し、効果的な修復措置を可能にするものだ。この有効性チェックは、まず GitHub トークンで有効化された。クラウドベースのコード・ホスティングとバージョン管理サービスを提供する GitHub は、より多くのトークンを、将来的にサポートするつもりだと述べている。

北朝鮮の Lazarus Group：$900 M の暗号資産を盗んでロンダリング

North Korea’s Lazarus Group Launders $900 Million in Cryptocurrency

2023/10/06 TheHackerNews — 暗号通貨 $7 billion 相当が、クロスチェーン犯罪により違法に洗浄されている。そして、北朝鮮と関連のある Lazarus Group は、2022年7月〜20237月に、その収益のうち約 $900 million の窃盗に関与している。今週にブロックチェーン分析会社 Elliptic は発表した最新レポートの中では、「コイン・ミキサーなどを提供する従来からの組織が、いまでも押収や制裁の対象として監視されているため、チェーンホッピングやアセットホッピングへと切り替える、暗号通貨の犯罪組織が増加している」と記されている。

MGM Resorts のランサムウェア被害額：現時点の総額は $110 Million に達するという

MGM Resorts Says Ransomware Hack Cost $110 Million

2023/10/06 SecurityWeek — ホスピタリティとエンターテイメントの巨人である MGM Resorts の発表によると、先月に発生したランサムウェア感染に対する費用は、$110 million を超えるものであり、そこには一時的なコンサルティング費用 $10 million の含まれるという。SEC 8-K に提出された書類で MGM Resorts は、特にラスベガスの施設における業務が、このデータ強奪攻撃により支障をきたしたとしている。全体的な経済的損失には、約 $100 million 収入減などが含まれると推定される。

AWS の MFA が 2024年半ばから義務化：対象は特権アカウントだが推奨範囲は全体

AWS to Mandate Multi-Factor Authentication from 2024

2023/10/06 InfoSecurity — Amazon Web Services (AWS) の発表は、デフォルトのセキュリティを向上させ、アカウント乗っ取りのリスクを減らすために、2024年半ばから全ての特権アカウントに多要素認証 (MFA) を義務付けるというものだ。それが義務づけられる時点から、AWS Organizations 管理アカウントの root ユーザーとして、AWS Management Console にサインインする全ての顧客は MFA が必須になると、同社の Chief Security Officer である Steve Schmidt がブログで述べている。

Microsoft の最新レポート：APT の活動とサイバー攻撃の分析を提供

Microsoft Releases New Report on Cybercrime, State-Sponsored Cyber Operations

2023/10/06 SecurityWeek — Microsoft の最新レポートによると、サイバー攻撃を受けた 120の国々の中で、米国／ウクライナ／イスラエルの三国は、依然としてサイバースパイやサイバー犯罪の、最大の標的であり続けているようだ。同社によると、観測された攻撃の 40％以上において、重要インフラ組織が標的とされ、国家に支援されるスパイ活動などが、その要因となっているという。また、観測されたサイバー攻撃の半分が、NATO 加盟国を対象としていたこともあったという。

CISA／NSA が IAM ガイダンスを公表：ベンダーとデベロッパーに考えてほしいこと

CISA, NSA Publish Guidance on IAM Challenges for Developers, Vendors

2023/10/05 SecurityWeek — 米国の CISA と NSA が発表した、IAM (Identity and Access Management) の実装に関する新しいガイダンスは、開発者とベンダーが直面する課題に焦点を当てるものだ。この、IAM 管理者向けのガイダンスから半年後にリリースされた、この新しい出版物は、主に大規模組織を対象としているが、小規模企業にも利用できる。Identity and Access Management: Developer and Vendor Challenges (PDF) という名前で、IAM に対する脅威の影響を組織的に軽減するための、ベスト・プラクティスに焦点を当てるものとなっている。

NSA／CISA が概説：ミスコンフィグレーション Top-10 ついて特定していこう

NSA and CISA reveal top 10 cybersecurity misconfigurations

2023/10/05 BleepingComputer — 今日、米国の National Security Agency (NSA) と Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、大規模組織のネットワークでレッドチームとブルーチームが発見した、サイバーセキュリテで再重視すべきミスコンフィグレーションの Top-10 である。また、このアドバイザリでは、脅威アクターたちが用いる TTP (Tactics, Techniques, and Procedures) と、ミスコンフィグレーションの悪用方法に加えて、アクセス権の獲得／横方向への移動／機密情報やシステムの標的化といった、各種の目的を達成する方法についても詳しく説明されている。