January 2024 – Page 2 – IoT OT Security News

CISA 警告：Ivanti の脆弱性 CVE-2023-46805／CVE-2024-21887 の活発な悪用

CISA Issues Emergency Directive to Federal Agencies on Ivanti Zero-Day Exploits

2024/01/20 TheHackerNews — 2024年1月19日に、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure (ICS)／Ivanti Policy Secure (IPS) 製品に存在し、活発に悪用されている２つのゼロデイ脆弱性に対して緩和策を実施するよう、連邦民間行政機関 (FCEB) に緊急指令を発出した。今回の指令は、これらの脆弱性 (認証バイパスの CVE-2023-46805／コード・インジェクション CVE-2024-21887) が、複数の脅威アクターにより広く悪用されていることを受けて発令された。これらの脆弱性の悪用に成功した攻撃者は、悪意のリクエストを作成して、システム上で任意のコマンド実行が可能になる。

Microsoft の報告：ロシア由来の Midnight Blizzard にパスワード・スプレーで侵入された

Russia-Linked Midnight Blizzard Apt Hacked Microsoft Corporate Emails

2024/01/20 SecurityAffairs — Microsoft の警告は、同社の企業メール・アカウントの一部が、ロシア由来のサイバー・スパイ集団 Midnight Blizzard に侵害されたというものであり、法執行機関と関連規制当局への通知も完了しているという。Midnight Blizzard グループ (別名 APT29／Cozy Bear／Nobelium／BlueBravo／The Dukes) は APT28 と連携するかたちで、民主党全国委員会へのハッキングや、2016年の米国大統領選挙への攻撃に関与していたという。このグループは、Microsoft を含む 18,000 以上の顧客組織を襲った、2020年の SolarWinds サプライチェーン攻撃でも知られている。

VMware の脆弱性 CVE-2023-34048：2021年から中国の APT がゼロデイとして悪用

China-Linked Apt UNC3886 Exploits VMware Zero-Day Since 2021

2024/01/19 SecurityAffairs — 中国由来の APT グループ UNC3886 が、遅くとも 2021年後半から、VMware vCenter Server のゼロデイ脆弱性 CVE-2023-34048 を悪用していることが、Mandiant の研究者たちにより報告された。vCenter Server は、VMware の仮想化およびクラウド・コンピューティング・ソフトウェア群の重要なコンポーネントであり、VMware の仮想化データセンターのための、集権的かつ包括的な管理プラットフォームとして機能している。

Apache Tomcat の情報漏えいの脆弱性 CVE-2024-21733 が FIX：直ちにアップデートを！

CVE-2024-21733: Apache Tomcat Information Disclosure Vulnerability

2024/01/19 SecurityOnline — Web テクノロジーが拡大し続ける中で、その基盤として登場した Apache Tomcat は、Jakarta Servlet／Jakarta Expression Language／WebSocket 技術にとって、極めて重要なオープンソースのインプリメンテーションである。

Slippy-Book という Linux の脆弱性と PoC エクスプロイト：RCE の可能性

Breaking Down Slippy-Book: The New RCE Flaw in Linux Distros

2024/01/19 SecurityOnline — Slippy-Book と呼ばれる新たな脆弱性が、人気の Linux ディストリビューションの完全性に対する脅威として出現した。このリモート・コード実行 (RCE) の脆弱性は、セキュリティ研究者の Febin Mon Saji が発見したものである。Linux の主要なドキュメント・ビューアにおける、ファイル・パーシングの中核への脅威であり、Xreader では CVE-2023-44451 として、Atril では CVE-2023-52076 として採番されている。

VMware vCenter の脆弱性 CVE-2023-34048：積極的な悪用が観測されている

VMware confirms critical vCenter flaw now exploited in attacks

2024/01/19 BleepingComputer — VMware が確認したのは、2023年10月にパッチが適用された vCenter Server の深刻なリモートコード実行の脆弱性が、現在でも活発に悪用されていることである。今週に VMware は、「脆弱性 CVE-2023-34048 の悪用が、実際に発生していることを確認した」と、オリジナル・アドバイザリに追加されたアップデートで述べている。

7777-Botnet による脆弱性の悪用：標的は TP-Link／Xiongmai／Hikvision

The 7777-Botnet Exploit: A New Threat to TP-Link, Xiongmai, and Hikvision

2024/01/18 SecurityOnline — サイバー・セキュリティの領域において、長年にわたり課題となっているのは、洗練されたボットネットへの対処である。侵害されたデバイスで構成されるネットワーク 7777-Botnet は、そのような手ごわい存在の１つであり、世界中のセキュリティ専門家たちの注目を集めている。このボットネットは、2023年10月から話題になり始めており、Microsoft Azure のユーザー認証情報に対するブルートフォース攻撃を介して、米国と欧州の VIP ユーザーを標的としているものだ。また、7777-Botnet は、Scattered Spider や Lazarus といった、悪名高い脅威アクターたちと関連していることでも注目されている。

Evernote の脆弱性 CVE-2023-50643：PoC エクスプロイトが公開

CVE-2023-50643: Evernote Remote Code Execution Flaw, PoC Published

2024/01/18 SecurityOnline — Evernote は、人気のノート・タスク管理アプリケーションであり、アイデアの記録／情報の整理／生産性の維持などに役立つものだ。Evernote は、あなたの頭脳のためのデジタル・ファイリング・キャビネットのようなものだが、よりパワフルで多機能でもある。

TensorFlow CI/CD のミスコンフィグへの対応：サプライチェーン攻撃の要因になり得る

TensorFlow CI/CD Flaw Exposed Supply Chain to Poisoning Attacks

2024/01/18 TheHackerNews — オープンソースの機械学習フレームワーク TensorFlow で発見された CI/CD (integration and continuous delivery ) のミスコンフィグが、サプライチェーン攻撃の組織化のために悪用された可能性があるという。今週のレポートで Praetorian の研究者である Adnan Khan と John Stawinski は、「このミスコンフィグを悪用する攻撃者が、悪意のプルリクエストを通じて TensorFlow のビルド・エージェントを侵害し、GitHub／PyPi 上の TensorFlow リリースのサプライチェーンを侵害した可能性がある」と述べている。

Apache ActiveMQ の脆弱性 CVE-2023-46604：Godzilla Webshell による侵害を検知

A Stealthy Godzilla Webshell: A New Threat Targeting Apache ActiveMQ

2024/01/18 SecurityOnline — Apache ActiveMQ ホストの脆弱性を悪用するサイバー攻撃が、この数週間で急増していることを、Trustwave のサイバー・セキュリティ専門家たちが検知した。これらの攻撃では、Godzilla Webshell と呼ばれる、未知のバイナリ形式に隠されたステルス性の高い Web シェルが発見されている。

Microsoft Outlook の脆弱性 CVE-2023-35636：NTLM v2 侵害の PoC エクスプロイト

New Outlook Exploit Unveiled: CVE-2023-35636 Leads to NTLM v2 Password Breach

2024/01/18 SecurityOnline — NTLM v2 のハッシュ化されたパスワードにアクセスするために、サイバー攻撃者たちが悪用できる３つの新しい手口を、先日に Varonis Threat Labs が発表した。そこで悪用される脆弱性の中で、特に重要なのは CVE-2023-35636 であり、機密情報の暴露のために Outlook の悪用を可能にするものだ。

CISA KEV 警告 24/01/18：Ivanti の脆弱性 CVE-2023-35082 を追加

CISA: Critical Ivanti auth bypass bug now actively exploited

2024/01/18 BleepingComputer — CISA は、Ivanti の Endpoint Manager Mobile (EPMM) および MobileIron Core デバイス管理ソフトウェアに存在する、深刻な認証バイパスの脆弱性が、いまも積極的に悪用されていると警告している。この、2023年8月にパッチ適用済の脆弱性 CVE-2023-35082 は、認証を必要としないリモートからの API アクセスの脆弱性であり、EPM 11.10／11.9／11.8 および MobileIron Core 11.7 以下の、すべてのバージョンに影響を及ぼすものだ。

Shopware の深刻な脆弱性 CVE-2024-22406 が FIX：SQLi の可能性

Ecommerce Alert: Shopware Hit by Critical-Risk CVE-2024-22406 Flaw

2024/01/17 SecurityOnline — あらゆる規模の企業に対して、オンライン・ストア作成／管理の機能を提供する、オープンソースの e コマース・プラットフォーム Shopware に、深刻な脆弱性 CVE-2024-22406 (CVSS：9.3) が発見された。この人気のオープンソース・プラットフォームに依存している企業は、重大な脅威にさらされる可能性がある。

2023年ランサムウェア調査：組織の 75% が攻撃に遭っている – Veeam

75% of Organizations Hit by Ransomware in 2023

20124/01/17 InfoSecurity — Veeam の Data Protection Trends Report 2024 によると、2023年は 75％の組織が、少なくとも１回のランサムウェア攻撃を受けていたことがわかった。研究者たちによると、2023年は、ランサムウェア攻撃を受けなかったと回答した組織よりも、4回以上攻撃を受けた組織 (26％) の方が多かったという。Veeam の VP／Market Strategy である Jason Buffington は、「統計的に、ランサムウェアは、”発生するかどうか” というものではなく、”いつかは発生する可能性があるもの” だと言える」と、オンラインの事前ブリーフィングでコメントしている。

CISA KEV 警告 24/01/17：Citrix Netscaler／Google Chrome の脆弱性が追加

CISA pushes federal agencies to patch Citrix RCE within a week

2024/01/17 BleepingComputer — 2024年1月17日に CISA は、最近パッチが適用された Citrix NetScaler および Google Chrome のゼロデイ攻撃３件を、Known Exploited Vulnerabilities (KEV) カタログに追加した。CISA は、これらの脆弱性が攻撃で積極的に悪用されているとして、米連邦政府機関に対して、システムの安全性を確保するよう命じており、Citrix の RCE 脆弱性に関しては、１週間以内にパッチを適用するよう求めている。同機関は、このような脆弱性はサイバー攻撃者にとっての常套手段であり、連邦政府企業にとって重大なリスクであると述べている。

金融サービス業界におけるメール詐欺 2023：ベンダーなどを装う攻撃が 137% 増

Vendor Email Attacks Surged by 137% in Financial Sector in 2023

2024/01/17 InfoSecurity — 世界の金融サービス業界においては、2023年を通じて VEC (Vendor Email Compromise) 攻撃が 137% 増加したと、Abnormal Security の最新データが示している。これらの脅威の大部分は、ソーシャル・エンジニアリングによる電子メール攻撃に関連するものであり、毎週平均して 1000 メールボックスあたり 200 件の、高度な攻撃が金融業界では発生しているという。2023年には、特に１月下旬と、9月下旬、12月中旬に攻撃のピークがあった。

GitHub の脆弱性 CVE-2024-0200 が FIX：漏洩キーのローテーションにも対応

GitHub rotates keys to mitigate impact of credential-exposing flaw

2024/01/16 BleepingComputer — GitHub がローテーションしたキーは、2023年12月に発生した脆弱性へのパッチ適用により、公開されてしまう可能性があるものだ。この脆弱性の悪用に成功した攻撃者は、環境変数を介して運用中のコンテナ内の認証情報にアクセスできたという。この、不適切なリフレクションの脆弱性 CVE-2024-0200 が悪用されると、パッチ未適用のサーバ上で、リモート・コード実行にいたる可能性がある。

Email の悪夢 2023：ユーザー組織の 94% がメール・フィッシング攻撃に悩まされている

Email Nightmare: 94% of Firms Hit by Phishing Attacks in 2023

2024/01/16 InfoSecurity — セキュリティ・プロバイダ Egress によると、2023年のサイバー・セキュリティの意思決定者の 94％が、フィッシング攻撃への対処が必要であったことで、E メール・セキュリティはセキュリティ専門家にとって最重要課題であったという。Egress の Email Security Risk Report 2024 によると、この数値は前年と比べて 2% 増加しているようだ。2023年を通して使用されたフィッシング手法の Top-3 は、悪意の URL／マルウェアやランサムウェアの添付ファイル／侵害されたアカウントから発信される攻撃である。

VMware Aria Automation の脆弱性 CVE-2023-34063 が FIX：直ちにパッチを！

CVE-2023-34063 (CVSS 9.9): A Critical Flaw in VMware Aria Automation

2024/01/16 SecurityOnline — VMware Aria Automation (旧 vRealize Automation) は、複雑なインフラストラクチャをオーケストレーションし、自動化するための要として機能する。この強力な CMP (Cloud Management Platform) は、多様な環境にまたがるアプリケーションとリソースのデプロイを合理化し、利便性と制御の融合を提供するものだ。しかし、この脆弱性 CVE-2023-34063 (CVSS：9.9) の悪用に成功した攻撃者は、リモートからの操作を可能にするという。

ランサムウェア 2023年のトレンドは暴露恐喝：１週間の平均攻撃回数は 1158 回

Ransomware Surge: 1 in 10 Organizations Targeted Globally in 2023

2024/01/16 SecurityOnline — 2023 年において、この世界は、かつてないほどのサイバー脅威の急増に直面した。この年のサイバー攻撃件数は、前年比で１% 増という最高記録に達し、世界全体における平均攻撃回数 (週) は 1158 回に達した。

FBI 警告：AWS／ Microsoft などのクラウド・クレデンシャルを狙うAndroxgh0st ボットネット

FBI: Androxgh0st malware botnet steals AWS, Microsoft credentials

2024/01/16 BleepingComputer — Androxgh0st マルウェアを使用する脅威アクターが、クラウド・クレデンシャルの窃取に特化したボットネットを構築し、窃取した情報を介して悪意のペイロードを配信していることを、1月16日に CISA と FBI が警告した。この、2022年に Lacework Labs により発見されたボットネットは、PHPUnit ユニットテスト・フレームワーク／PHP Web フレームワーク／Apache Web サーバなどを使用する Web サイト／サーバをスキャンし、リモートコード実行 (RCE) の脆弱性を検出するものだ。

Linux Kernel の脆弱性 CVE-2024-0562／CVE-2024-0565 が FIX：直ちにアップデートを！

CVE-2024-0562 & CVE-2024-0565: The Linux Kernel Faces Two Major Vulnerabilities

2024/01/16 SecurityOnline — Linux Kernel は、世界中のシステムを網の目のように結びつける、現代のコンピューティングの基礎として機能している。しかし、その堅牢な構造にも弱点はある。先日には、Linux カーネルの深刻な脆弱性である、CVE-2024-0562 と CVE-2024-0565 が発見されている。

グローバル小売業におけるクッキー・ミスコンフィグのケース・スタディ – Reflectiz

Case Study: The Cookie Privacy Monster in Big Global Retail

2024/01/16 TheHackerNews — 先進的な暴露管理ソリューションが、ある大手小売業界のクライアントを、Cookie 管理ポリシーのミスコンフィグレーションによる罰則から救った事例を紹介する。これは悪意のものではなかったが、現代の Web 環境は非常に複雑であるため、同様のミスは起こりうると言える。

Google Chrome ゼロデイ脆弱性 CVE-2024-0519 が FIX：野放し状態で悪用されている

Google fixes first actively exploited Chrome zero-day of 2024

2024/01/16 BleepingComputer — Google は、2024年に入ってから初めて悪用された、Chrome のゼロデイ脆弱性 CVE-2024-0519 を修正するセキュリティ・アップデートをリリースした。同社は 2024年1月16日に公開したセキュリティ・アドバイザリで、「CVE-2024-0519 が、野放し状態で悪用されているという報告を受けている」と述べている。

Atlassian Confluence の深刻な脆弱性 CVE-2023-22527 が FIX：CVSS 10 の RCE

CVE-2023-22527 (CVSS 10): Critical RCE Flaw in Confluence Data Center and Server

2024/01/16 SecurityOnline — Atlassian の Confluence Data Center／Confluence Server に、新たな脆弱性 CVE-2023-22527 が発見された。この脆弱性は CVSS 10.0 と評価されており、サイバー・セキュリティの脅威の領域における最高レベルの深刻度を示している。

Citrix Netscaler の２つのゼロデイ脆弱性：すでに悪用が観測されている

Citrix warns of new Netscaler zero-days exploited in attacks

2024/01/16 BleepingComputer — 1月16日 (火) に Citrix は、オンラインで公開されている Netscaler ADC／Gateway アプライアンスで積極的に悪用されている、２つのゼロデイ脆弱性に対して直ちにパッチを適用するよう顧客に促した。このゼロデイ脆弱性 CVE-2023-6548／CVE-2023-6549 は、Netscaler の管理インターフェイスに影響を及ぼすものであり、パッチが適用されていないインスタンスで、リモートコード実行やサービス拒否の攻撃が生じる恐れがある。

WordPress の 7,100 サイトを侵害する Balada：Popup Builder の脆弱性 CVE-2023-6000 を武器化

Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability

2024/01/15 TheHackerNews — WordPress で脆弱な Popup Builder プラグインを使用している数千のサイトが、Balada Injector と呼ばれるマルウェアに感染しているようだ。この、2023年1月に Doctor Web が報告したキャンペーンは、セキュリティ上に欠陥のある WordPress プラグインを武器にして、一連の定期的な攻撃の波を引き起こしている。それらのサイトにバックドアが注入され、偽の技術サポート／宝くじ当選／プッシュ通知などの詐欺ページへと、訪問者たちをリダイレクトしていく。

Apache Hadoop／Flink のミスコンフィグ：クリプトマイナーの配信に悪用されている

Attackers Target Apache Hadoop And Flink To Deliver Cryptominers

2024/01/15 SecurityAffairs — Apache の Hadoop と Flink を標的とする新たな攻撃が、サイバーセキュリティ企業 Aqua の研究者たちにより発見された。この攻撃は、暗号通貨マイナーの展開を目的とし、Apache の Hadoop／Flink のミスコンフィグレーションを悪用するものだ。一連の攻撃において、とりわけ興味深いのは、脅威アクターたちがマルウェアを隠すためにパッカーやルートキットを使用している点だと、研究者たちは述べている。

GitHub 2023 調査：リポジトリを悪用するサイバー攻撃の増加 – Recorded Future

Security Experts Urge IT to Lock Down GitHub Services

2024/01/15 InfoSecurity — GitHub サービスを悪用して秘密裏にサイバー攻撃を仕掛けるケースが増えていると、脅威インテリジェンス企業である Recorded Future が警告している。同社は、企業の IT チームに対して、対策を講じるよう呼びかけている。Recorded Future の最新レポート “Flying Under the Radar: Abusing GitHub for Malicious Infrastructure” では、脅威アクターに最もよく悪用される GitHub サービスが列挙されている。

SonicWall NGFW の DoS／RCE 脆弱性：178,000 台以上の脆弱なアプライアンスと PoC エクスプロイト

Over 178K SonicWall firewalls vulnerable to DoS, potential RCE attacks

2024/01/15 BleepingComputer — SonicWall Next-Generation Firewalls (NGFW) の、管理インターフェイスがオンラインで公開されている 178,000 台以上のファイアーウォールにおいて、 DoS (Denial-of-Service) 攻撃および RCE (Remote Code Execution) 攻撃が起こり得ることが、セキュリティ研究者たちにより発見された。これらのアプライアンスには、２つの DoS 脆弱性 CVE-2022-22274／CVE-2023-0656 が存在している。そして、１つ目の脆弱性は、リモート・コード実行につながる可能性もあるという。

Ivanti Connect Secure の２つの脆弱性：複数の脅威アクターにより攻撃がエスカレート

Ivanti Connect Secure zero-days now under mass exploitation

2024/01/15 BleepingComputer — Ivanti の Connect Secure VPN および Policy Secure Network Access Control (NAC) アプライアンスに影響を及ぼす、２つのゼロデイ脆弱性が大規模なレベルで悪用されている。脅威インテリジェンス企業 Volexity が発見した、このゼロデイ脆弱性は 2023年12月以降の攻撃で悪用されてきた。そして、2024年1月11日からは複数の脅威グループが、CVE-2023-46805 (認証バイパス) および CVE-2024-21887 (コマンド・インジェクション) 脆弱性を連鎖させ、広範な攻撃を行っている。

Phemedrone スティーラー：Windows の脆弱性 CVE-2023-36025 を悪用している

Phemedrone Stealer: Exploiting CVE-2023-36025 for Defense Evasion

2024/01/14 SecurityOnline — 先日の Trend Micro のサイバー・セキュリティ研究者たちの発見により、サイバー脅威の世界における懸念すべき展開が明らかになった。脆弱性 CVE-2023-36025 の積極的な悪用が確認され、Phemedrone Stealer として呼ばれる未知のマルウェアの亜種が増殖していることが判明したのだ。

PyPI に潜む Blank Grabber マルウェア：Python 開発者たちを狙い続ける

“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers

2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。

Visual Studio の脆弱性 CVE-2024-20656：詳細な情報と PoC エクスプロイトが提供

Inside CVE-2024-20656: PoC Exploit Threatens Visual Studio Security

2024/01/14 SecurityOnline — Microsoft Visual Studio の脆弱性 CVE-2024-20656 (CVSS：7.8)については、すでにパッチが適用されているが、悪用に関する詳細と PoC エクスプロイト・コードも明らかになっている。この脆弱性は、影響を受けるシステム上で昇格された権限を、脅威アクターが取得するために悪用される可能性がある。

Windows XAML Diagnostics の脆弱性 CVE-2023-36003：PoC エクスプロイトが公開

Researchers Release PoC Exploit for Windows XAML Diagnostics EoP Flaw

2024/01/14 SecurityOnline — Windows XAML Diagnostics に存在する、すでにパッチが公開された深刻な脆弱性 CVE-2023-36003 に対して、PoC エクスプロイト・コードが公開された。この脆弱性は、セキュリティ研究者である Michael Maltsev が、2023年7 月に Microsoft に報告したものだ。

Apache Solr の脆弱性 CVE-2023-50290 が FIX：直ちにアップデートを！

CVE-2023-50290: Apache Solr’s ‘Important’ Severity Security Flaw

2024/01/12 SecurityOnline — Apache Solr は、世界中で利用されている Java で書かれた検索プラットフォームだが、機密情報が漏えいする恐れのある、新たなセキュリティ脆弱性が発見されている。強固な全文検索／リアルタイムのインデックス作成／データベースや NoSQL システムとのシームレスな統合などで、Apache Solr は知れ渡っており、オープンソースの企業向け検索プラットフォームとして認知されている。

Ivanti Connect Secure のゼロデイ脆弱性：カスタム・マルウェアのデプロイを観測

Ivanti Connect Secure zero-days exploited to deploy custom malware

2024/01/12 BleepingComputer — 今週に公開された Ivanti Connect Secure の２つのゼロデイ脆弱性だが、スパイ行為を目的とした複数のカスタム・マルウェア・ファミリーの展開において、2023年12月初旬から悪用されていたことが判明した。これらの脆弱性 CVE-2023-46805／CVE-2024-21887 の悪用に成功した攻撃者は、認証をバイパスして、脆弱なシステム上で任意のコマンド注入を可能にしていた。ただし Ivanti は、少数の顧客が標的にされていたに過ぎないと述べている。

Juniper の脆弱性 CVE-2024-21611／CVE-2024-21591 が FIX：直ちにパッチを！

CVE-2024-21591: Critical Pre-RCE Flaw Threatens Junos OS SRX and EX Series

2024/01/11 SecurityOnline — Juniper Networks のオペレーティング・システムである、Junos OS および Junos OS Evolved に複数の脆弱性が発見された。それらの脆弱性の悪用により、サービス拒否からリモート・コード実行にいたるまでの、さまざまな脅威が引き起こされている。

ManageEngine の脆弱性 CVE-2024-0252 が FIX：REC の可能性

CVE-2024-0252 (CVSS 9.9): Zoho ManageEngine ADSelfService RCE Vulnerability

2024/01/11 SecurityOnline — Active Directory とクラウド・アプリケーションのための、統合されたセルフサービス・パスワード管理とシングルサインオン機能を提供する、Zoho の ManageEngine ADSelfService Plus の機能が侵害された。この新たに発見された脆弱性への、IT 専門家による早急な対応が求められている。

Apache OfBiz の深刻な脆弱性 CVE-2023-51467：PoC エクスプロイトが公開された

New PoC Exploit for Apache OfBiz Vulnerability Poses Risk to ERP Systems

2024/01/11 TheHackerNews — オープンソース ERP (Enterprise Resource Planning) システムである Apache OfBiz で、先日に公開された深刻な脆弱性を悪用することで、メモリ常駐型のペイロードを実行する PoC (Proof-of-concept) コードが、サイバー・セキュリティ研究者たちにより公表された。対象となった脆弱性 CVE-2023-51467 (CVSS：9.8) は、Apache OfBiz の別の脆弱性 CVE-2023-49070 (CVSSスコア：9.8) に対するバイパスであり、認証をバイパスして任意のリモートコード実行を行うための武器になり得るものだ。

GitLab の深刻な脆弱性 CVE-2023-7028／CVE-2023-5356 などが FIX：直ちにアップデートを！

CVE-2023-7028 & 5356: GitLab Addresses Account Takeover & Command Flaws

2024/01/11 SecurityOnline — 進化し続けるサイバー脅威の状況に対応するために、DevOps 分野で有名な GitLab が、先日に一連の重大な脆弱性を修正した。今回のアップデートで修正された脆弱性には、Critical なものとして CVE-2023-7028／CVE-2023-5356 があるが、その他にも３件の脆弱性が修正されている。

CISA KEV 警告 24/01/10：Ivanti とSharepoint の脆弱性を悪用リストに追加

CISA Adds Ivanti And Microsoft Sharepoint Bugs To Its Known Exploited Vulnerabilities Catalog

2024/01/11 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure および Policy Secure の脆弱性 CVE-2024-21887／CVE-2023-46805 と、Microsoft SharePoint Server の脆弱性 CVE-2023-29357 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Mandiant の X アカウントがハックされた： Drainer-as-a-Service により暗号資産が盗まれる

Mandiant’s X account hacked by crypto Drainer-as-a-Service gang

2024/01/10 BleepingComputer — Google 傘下のサイバー・セキュリティ企業 Mandiant によると、同社の Twitter/X アカウントが、先週に Drainer-as-a-Service (DaaS) ギャングに乗っ取られたという。同社は、「通常であれば、このようなインシデントは、2FA により軽減されるはずだった。しかし、いくつかのチームにおける変更と、X の 2FA ポリシーの変更が重なり、十分な保護が達成されていなかった。このようなことが、二度と起こらないようにするために、プロセスを変更した」と述べている。

Redis の RCE 脆弱性 CVE-2023-41056：直ちにパッチ適用を！

CVE-2023-41056: Redis Remote Code Execution Vulnerability

2023/01/09 SecurityOnline — 汎用 NO SQL サーバとして広く利用されている Redis に、深刻度の高い脆弱性 CVE-2023-41056 が発見された。Redis は、サーバ・クライアント・モデルを通じて、変更可能なデータ構造を効率的に提供することで知られており、様々なプロセスにおける共有データ構造の照会／変更を容易にする。

Cisco Unity Connection の脆弱性 CVE-2024-20272 が FIX：root 権限の窃取が可能

Cisco says critical Unity Connection bug lets attackers get root

2024/01/10 BleepingComputer — Cisco は、Unity Connection に存在する深刻なセキュリティ欠陥にパッチを適用した。この脆弱性の悪用に成功した未認証の攻撃者は、パッチが適用されていないデバイスの root 権限を、リモートから取得できるようになる。Unity Connection は、電子メール・ボックス／Web ブラウザ／Cisco Jabber／Cisco Unified IP Phone／スマートフォン／タブレット向けの、完全に仮想化されたメッセージング／ボイスメールのソリューションであり、高可用性と冗長性をサポートするものだ。

Ivanti が警告：脆弱性 CVE-2023-46805／CVE-2024-21887 の連鎖が生み出す最悪の事態

Ivanti warns of Connect Secure zero-days exploited in attacks

2024/01/10 BleepingComputer — Ivanti の Connect Secure (ICS) および Policy Secure に存在する２つのゼロデイ脆弱性が公表されたが、それらを組み合わせるリモートの攻撃者により、標的のゲートウェイ上で任意のコマンド実行が可能になることが判明している。１つ目の脆弱性 CVE-2023-46805 は、ゲートウェイの Web コンポーネントにおける認証バイパスであり、制御チェックを回避する攻撃者に対して、制限されたリソースへのアクセスを許すものである。そして、２つ目の脆弱性 CVE-2024-21887 は、コマンド・インジェクションを許すものである。したがって、認証された管理者が、特別に作成されたリクエストを送信することで、脆弱なアプライアンス上での任意のコマンド実行が可能になるという。

米 SEC の X アカウントのハッキング：Bitcoin ETF 承認のフェイク・ニュースが投稿

US SEC’s X account hacked to announce fake Bitcoin ETF approval

2024/01/09 BleepingComputer — 2024年1月9日に、米国証券取引委員会 SEC の X アカウントがハッキングされた。同日の午後には、ハッキングされた SEC のアカウントから、証券取引所における Bitcoin ETF の承認に関するフェイク情報が投稿された。投稿された内容は、「今日に、SEC は、Bitcoin ETF の登録証券取引所への上場を承認した。承認された Bitcoin ETF は、継続的な投資家保護を確保するため、継続的な監視とコンプライアンス措置の対象となる」というものだ。

ManageEngine OpManager の脆弱性 CVE-2023-47211 が FIX：PoC エクスプロイトも登場

CVE-2023-47211 Exposed: A 9.1 CVSS Threat in ManageEngine OpManager

2024/01/09 SecurityOnline — 先日に、著名なネットワーク管理ソリューション ManageEngine OpManager に、深刻な脆弱性 CVE-2023-47211 (CVSS 9.1) が見つかった。この脆弱性は、ManageEngine OpManager の、Build 12.7.258 の uploadMib 機能内に存在する、ディレクトリ・トラバーサルの欠陥に起因するものだ。この脆弱性が悪用されると、特別に細工された HTTP リクエストを介して、任意のファイルを作成される可能性がある。つまり、攻撃者たちは悪意の MiB (Management Information Base) ファイルを送信して脆弱性を誘発し、ネットワーク管理システムに対する不正なアクセス／制御を可能にし得る。

WordPress AI Engine プラグインの脆弱性 CVE-2023-51409 が FIX：RCE にいたる恐れ

CVE-2023-51409: The Severe Vulnerability Threatening 50,000 WordPress Sites

2024/01/09 SecurityOnline — AI Engine プラグインは、50,000 以上のアクティブなインストールを持つ人気の WordPress プラグインだが、先日に深刻なセキュリティ脆弱性が発見された。この、認証を必要としない任意のファイル・アップロードを許してしまう、脆弱性 CVE-2023-51409 により、このプラグインを使用している Web サイトに深刻なリスクが生じている。