August 2024 – Page 4 – IoT OT Security News

Microsoft の Security First：すべてにおいてセキュリティが優先する方針を明示

Security First: Microsoft Overhauls Corporate Policy After Years of Criticism

2024/08/07 SecurityOnline — テクノロジー大手の Microsoft だが、サイバー・セキュリティを最優先事項として位置づける方向へと、その企業方針を大幅に変更する。それにより、役職に関係なく、すべての従業員が日常業務において、データ保護を優先しなければならなくなった。Microsoft の Chief People Officer である Kathleen Hogan が発表した社内覚書には、「Microsoft の社員は全員、セキュリティを最優先事項とする。トレードオフに直面したとき、答えは明確でシンプルである。すべてにおいて、セキュリティが優先する」と、新戦略の概要が示されている。この決定は、Microsoft 製品の脆弱性に対する、長年にわたる批判に対処するものである。

Linux Kernel の脆弱性 CVE-2023-6817 が FIX：PoC もリリースされている

Linux Kernel Vulnerability CVE-2023-6817: Researcher Unveils Exploit Code

2024/08/06 SecurityOnline — Linuxカーネルに存在する深刻な脆弱性 CVE-2023-6817 (CVSS：7.8) に対する、詳細な技術的洞察と PoC エクスプロイト・コードを、あるセキュリティ研究者が公開した。この脆弱性の悪用に成功した攻撃者は、アプリケーション・クラッシュ／情報漏洩／ローカル権限の昇格などを引き起こす可能性をてにするため、システムにとって重大な脅威が生じる。

Elastic Kibana の脆弱性 CVE-2024-37287 (CVSS 9.9) が FIX：直ちにアップデートを！

CVE-2024-37287 (CVSS 9.9): Urgent Kibana Patch for Severe Security Vulnerability

2024/08/06 SecurityOnline — Elastic Team は、人気の OSS データ可視化／探索ツール Kibana に対する、重要なセキュリティ・アップデートを発表した。このアップデートは、プロトタイプ汚染の脆弱性 CVE-2024-37287 (CVSS：9.9) に対処したものだ。この欠陥が悪用されると、攻撃者に任意のコードを実行される可能性があり、Kibana の自己管理およびクラウドベース・インスタンスに重大なリスクがもたらされる。

CrowdStrike 障害で $500M の損害を主張するデルタ航空：Microsoft が反撃

Microsoft Hits Back at Delta After the Airline Said Last Month’s Tech Outage Cost It $500 Million

2024/08/06 SecurityWeek — Microsoft と CrowdStrike は共に、先月の技術障害で数千便の欠航を招いたと主張する、デルタ航空に対して応戦している。Microsoft の弁護士は、デルタ航空の主要な IT システムは、Microsoft Windows ではなく、他のテクノロジー企業がサービスを提供しているのだろうと述べている。

Chrome 127 がリリース：深刻な脆弱性 CVE-2024-7532 などが FIX

Google Chrome Update Fixes Critical Code Execution Vulnerability (CVE-2024-7532)

2024/08/06 SecurityOnline — Google は Chrome 127 stable channel 版をリリースし、6件の脆弱性を修正した。このアップデート・バージョンは、Windows／Mac 用の 127.0.6533.99/.100 および、Linux 用の 127.0.6533.99 であり、今後の数日から数週間かけて順次配布される。

Python の人気が急上昇： TIOBE Index で人気度 18％を記録

2024/08/06 SecurityOnline — 2024年8月に Python は、プログラミング言語の人気度を示す指標である TIOBE Index において、初めて人気度 18％を突破した。2016年11月に Java も、同レベルの記録を達成しているが、2001年6月に記録した 26.49％という、TIOBE Index 史上最高の記録は未だに塗り替えられていない。

CrowdStrike 障害：Falcon の BSOD クラッシュ分析のレポートが公開

CrowdStrike Releases Root Cause Analysis of Falcon Sensor BSOD Crash

2024/08/06 SecurityWeek — 窮地に立たされている CrowdStrike が、8月6日に発表したのは、この7月に世界中の Windows システムを麻痺させたソフトウェア・アップデートのクラッシュに関する、原因分析レポート (External Technical Root Cause Analysis) である。そこで同社は、このインシデントの原因は、セキュリティの脆弱性とプロセスのギャップが重なったことだと説明している。

CISA KEV 警告 24/08/05：Microsoft の脆弱性 CVE-2018-0824 を登録

CISA adds Microsoft COM for Windows bug to its Known Exploited Vulnerabilities catalog

2024/08/06 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft COM for Windows の信頼できないデータのデシリアライズの脆弱性 CVE-2018-0824 (CVSS：7.5) を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

C2 Tracker はコミュニティ主導の IOC Feed ツール：Shodan と Censys を活用して何ができる？

C2 Tracker: A Community-Driven IOC Feed for Cybersecurity

2024/08/06 SecurityOnline — 日々進化するサイバー・セキュリティ脅威の状況において、最新かつ信頼できる脅威インテリジェンスへのアクセスは、最も重要なことである。この C2 Tracker は、Shodan と Censys の検索を活用して、既知のマルウェア／ボットネット Command and Control (C2) インフラに関連する IP アドレスを収集する、無料のオープンソース IOC (Indicator of Compromise) フィードである。

2024年上半期のサイバー脅威レポート：Email 攻撃が 293% 増 – Acronis

Email attacks skyrocket 293%

2024/08/06 HelpNetSecurity — Acronis の “Cyberthreats Report H1 2024” によると、2024年上半期の電子メール攻撃は、2023年の同時期と比較して 293% も急増した。ランサムウェアの検出数も増加傾向にあり、2023年 Q1〜2024年 Q1 で32% 増加している。

中国由来の APT41 が台湾政府を侵害：Microsoft の古い脆弱性 CVE-2018-0824 を悪用

China-linked APT41 breached Taiwanese research institute

2024/08/05 SecurityAffairs — 中国由来のグループが、台湾の政府系研究機関を侵害したと、Cisco Talos の研究者たちが報告している。彼らは、この攻撃が APT41 グループによるものだと、中程度の信頼性を示している。このキャンペーンは、早くとも 2023年7月に開始されたものであり、ShadowPad マルウェアや Cobalt Strike に加えて、各種のポスト・エクスプロイト・ツールが、脅威アクターにより配信された。

JFrog Artifactory の脆弱性 CVE-2024-6915 (CVSS 9.3) が FIX：キャッシュ・ポイズニングの恐れ

CVE-2024-6915 (CVSS 9.3): JFrog Artifactory Flaw Exposes Software Supply Chains to Cache Poisoning

2024/08/05 SecurityOnline — ソフトウェア・アーティファクト管理ソリューションを提供する JFrog が発表したのは、同社の Artifactory プラットフォームに存在する深刻な脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-6915 (CVSS 9.3) は、JFrog Artifactory の複数バージョンに影響を及ぼし、攻撃に成功した攻撃者に対して、アーティファクト・キャッシュの汚染を許してしまう。その結果として、それらのリポジトリからデプロイされたソフトウェアの完全性が損なわれる可能性が生じる。

Android の脆弱性 CVE-2024-36971 が FIX：Linux Kernel のネットワーク経路管理の問題

CVE-2024-36971: Zero-Day Kernel Flaw Exploited in Targeted Attacks Against Android Devices

2024/08/05 SecurityOnline — Google Android の最新セキュリティ・アップデートにより、標的型攻撃で活発に悪用されている深刻なゼロデイ脆弱性の存在が明らかになった。この脆弱性 CVE-2024-36971 は、Linux Kernel のネットワーク経路管理内に存在し、脆弱なデバイスが攻撃されると、脅威アクターたちにシステム・レベルの特権を与える可能性が生じる。

Apache Linkis の脆弱性 CVE-2024-27181／27182 が FIX：権限昇格などが生じる恐れ

Critical Security Vulnerabilities Discovered in Apache Linkis: Users Urged to Upgrade Immediately

2024/08/05 SecurityOnline — 各種のデータ処理エンジンとアプリケーションを接続するのために、広く使用されている計算ミドルウェア Apache Linkis は、ユーザーを潜在的な攻撃にさらす可能性のある、２つの深刻なセキュリティ脆弱性に対処した。

2024年サイバー・リスク調査：セキュリティ戦略を強化する方策を考える – Critical Start

86% of Firms Identify Unknown Cyber-Risks as Top Concern

2024/08/05 InfoSecurity — 8月5日に公開された Critical Start 2024 Cyber Risk Landscape Peer Report によると、回答者であるセキュリティ専門家たちの 86％が、未知のサイバーリスクを最大の懸念事項として挙げているようだ。この、Critical Start と Censuswide との共同レポートで懸念として挙げられているのは、66％の企業がサイバー・リスクのプロファイルに対する見解が乏しいと感じ、65％の経営幹部がサイバーセキュリティ投資とリスク削減の優先順位にズレを感じている点である。

MISP とは？脅威インテリジェンスを共有するための OSS プラットフォーム

MISP: Open-source threat intelligence and sharing platform

2024/08/05 HelpNetSecurity — MISP (Malware Information Sharing Platform) とは、インシデントやマルウェア分析に関連するサイバー・セキュリティ指標や脅威を、収集／保存／配布／共有するための、脅威インテリジェンスを共有するための OSS プラットフォームのことである。Cyber Security／ICT の専門家たちや、マルウェア解析者たちのために設計されており、構造化された情報を効率的に共有することで、彼らの日常業務をサポートする。

AWS が Mithra ニューラル・ネットワークを導入：悪意のドメインを予測／ブロック

AWS Deploying ‘Mithra’ Neural Network to Predict and Block Malicious Domains

2024/08/05 SecurityWeek — クラウド・コンピューティング大手の AWS が発表したのは、同社のインフラ内を徘徊する悪意のドメインを短時間で排除するための、巨大なニューラル・ネットワーク・グラフ・モデルの活用であり、35億のノードと 480億のエッジが検索の対象になるという。この AWS 独自のシステムは、神話の太陽神の名前にちなんで “Mithra” と命名されている。そこでは、脅威インテリジェンスに対応するアルゴリズムが用いられ、AWS の広大なインフラに浮遊する悪意のドメインを特定するために設計された、評価スコアリング・システムが提供される。

Crowdstrike 障害：デルタ航空は障害解決のための無償支援を拒否していた？

Crowdstrike: Delta Air Lines refused free help to resolve IT outage

2024/08/05 BleepingComputer — デルタ航空と CrowdStrike の法廷闘争が過熱している。CrowdStrike は、デルタ航空の長時間の IT 機能停止の原因は、災害復旧対策の不備にあると述べている。CrowdStrike の具体的な主張は、Windows デバイスを復旧させるための無償のオンサイト支援を、デルタ航空は拒否したというものだ。

Windows の Smart App Control と SmartScreen の欠陥：研究者たちが指摘する回避方法とは？

Researchers Uncover Flaws in Windows Smart App Control and SmartScreen

2024/08/05 TheHackerNews — Microsoft の Windows Smart App Control と SmartScreen に設計上の弱点があること、サイバー・セキュリティ研究者たちが明らかにした。Microsoft が Windows 11 で導入した Smart App Control (SAC) は、クラウド・パワーのセキュリティ機能であり、悪意のある、信頼できない、また、潜在的に望ましくないアプリが、システム上で実行されるのをブロックするものだ。また、このサービスにより、アプリについて推測が不可能な場合には、そのアプリの署名の有無や、署名の有効性についてチェックし、実行できるようにする。

Roundcube Webmail の XSS 脆弱性などが FIX：ただちにパッチを！

Roundcube Webmail Releases Security Updates to Patch Multiple Vulnerabilities

2024/08/05 SecurityOnline — OSS として人気を博す Web メール・クライアント Roundcube に存在する、深刻な脆弱性に対するセキュリティ・アップデートが、開発チームからリリースされた。昨日にリリースされたバージョン1.6.8／ 1.5.8 は、セキュリティ研究者 Oskar Zeino-Mahmalat (Sonar) から報告された、３件の深刻な脆弱性に対処するものだ。ユーザー・フレンドリーなインターフェイスと堅牢なメール管理機能が評価され、広く利用されている Roundcube プラットフォームの完全性とセキュリティを維持するために、このアップデートが提供された。

Apache InLong の脆弱性 CVE-2024-36268 が FIX：リモート・コード・インジェクションの可能性

CVE-2024-36268: Apache InLong Vulnerability Leaves Systems Open to Remote Attacks

2024/08/04 SecurityOnline — Apache InLong プロジェクトは、大規模なデータ・ストリーム処理において広範に利用されるデータ統合フレームワークであるが、その TubeMQ コンポーネントに深刻な脆弱性が発見され、それを伝えるセキュリティ勧告が発表された。このコード・インジェクションの脆弱性 CVE-2024-36268 の悪用に成功した、リモートの攻撃者は、標的とするシステム上で任意のコードを実行する可能性を手にする。

Windows の深刻な脆弱性 “Leaked Wallpaper” CVE-2024-38100：PoC が提供された

CVE-2024-38100: Leaked Wallpaper Exploit Exposes Windows Users to Privilege Escalation Attacks

2024/08/04 SecurityOnline — Microsoft が最新のセキュリティ情報で公表したのは、Windows のファイル・エクスプローラーにおける、深刻な脆弱性を CVE-2024-38100 (CVSS：7.8) の情報である。この脆弱性は、Semperis の Andrea Pierini により発見され、研究者 Michael Zhmaylo により “Leaked Wallpaper” と名付けられた。この特権昇格の脆弱性の悪用に成功した攻撃者は、たとえ低特権アカウントからであっても、管理者権限の取得を達成する。また、どのセッションからでも、他のユーザーの NetNTLM ハッシュの漏洩を可能にする。

SLUBStick クロス・キャッシュ攻撃：Linux Kernel への影響が実証された

Linux kernel impacted by new SLUBStick cross-cache attack

2024/08/04 BleepingComputer — SLUBStick と名付けられた Linux Kernel クロス・キャッシュ攻撃により、影響が限定されるヒープ関連の脆弱性が、任意のメモリ Read／Write 機能に変換されるという。研究者たちによると、それは 99％のレベルで成功しており、特権昇格やコンテナ・エスケープにいたることが実証されているようだ。この発見は、グラーツ工科大学の研究者チームによるものであり、32-Bit と 64-Bit システムで９件の既存の CVE を使用し、Linux Kernel バージョン 5.9／6.2 で攻撃を実証し、高い汎用性を示した。

Apache OFBiz の RCE 脆弱性 CVE-2024-38856 が FIX：ただちにパッチを！

CVE-2024-38856: Critical Apache OFBiz Flaw Opens Door to Unauthorized Code Execution

2024/08/04 SecurityOnline — OSS の ERP (enterprise resource planning) プラットフォームとして広く採用されている、Apache OFBiz に存在する脆弱性により、コードが不正に実行される可能性があるとする、緊急のセキュリティ・アドバイザリが出されている。この脆弱性 CVE-2024-38856 は Important に分類されているが、ERP システムは事業運営において重要な役割を担っているため、直ちに対策を講じるよう、セキュリティ専門家たちが組織に警告している。

National Public Data のデータ侵害：30億人の個人情報の流出と集団訴訟

Hackers attempt to sell the personal data of 3 billion people resulting from an April data breach

2024/08/04 SecurityAffairs — National Public Data と連携して活動する Jerico Pictures Inc が、2024年4月に発生したデータ流出インシデントにおいて、約 30億人の個人情報を流出させたと訴える、集団訴訟案が提出された。4月8日のことだが、USDoD と名乗る脅威アクターが、ダークウェブ・フォーラムで National Public Data のデータベースを販売すると発表した。USDoD は29億人分の個人データを販売するとし、$3,500,000 という価格を設定した。

Admidio の深刻な脆弱性 CVE-2024-37906／38529 が FIX：ただちにパッチを！

Critical Admidio Vulnerabilities CVE-2024-37906 and CVE-2024-38529 Revealed

2024/08/04 SecurityOnline — 世界中の組織やグループで使用されている人気の OSS ユーザー管理システム Admidio に存在する、２つの深刻なセキュリティ脆弱性 CVE-2024-37906／CVE-2024-38529 が、サイバー・セキュリティ研究者たちにより発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データやシステムを侵害し、機密性／完全性／可用性を脅かす可能性を手にする。

DARPA の TRACTOR プログラム：C → Rust 変換によりメモリ・セーフ言語へ加速

Accelerating Memory Safety: DARPA’s TRACTOR Program Transforms C to Rust

2024/08/04 SecurityOnline — 米国の国防機関である DARPA (Defense Advanced Research Projects Agency) は、C 言語から Rust への自動変換を目的とする TRACTOR プログラムを通じて、メモリ・セーフなプログラミング言語への移行を加速させている。このイニシアチブでは、レガシー C コードの Rust への変換を自動化するための、機械学習ツールを開発している。メモリ・セーフティの問題は、大規模なコードベースにおける脆弱性の、主な原因となっている。DARPA は、AI モデルがプログラミング言語の変換を支援し、ソフトウェアの安全性を高めることを期待している。

サイバー攻撃に対する検知能力：悪意のアクションの 44% が見逃されている – Picus Security

Organizations fail to log 44% of cyber attacks, major exposure gaps remain

2024/08/02 HelpNetSecurity — Picus Security の BLUE REPORT 2024 によると、同社が自動侵入テストを実施したところ、テスト環境の 40％において、ドメイン管理者アクセスにつながる攻撃が可能だったという。ドメイン管理者アクセス権の獲得は、組織の IT インフラ内で最高レベルのアクセス権であり、攻撃者にマスターキーを与えるようなものであるため、特に懸念される。このレポートは、Picus Security Validation Platform によりシミュレートされた、1億3600万件以上のサイバー攻撃の、世界的かつ包括的な分析に基づいている。

Facebook の偽広告に御用心：600以上の詐欺キャンペーン・サイトが発見された

E-Commerce Fraud Campaign Uses 600+ Fake Sites

2024/08/01 InfoSecurity — 悪意の Facebook 広告を通じて偽の Web ショップへと被害者を誘い込む、巧妙な情報窃取詐欺ネットワークが、Recorded Future のセキュリティ研究者たちにより発見された。このキャンペーンが “Eriakos” と名付けられたのは、脅威アクターが使用する CDN (content delivery network) に由来している。

Cloudflare Tunnel を悪用したマルウェア・キャンペーンが展開されている – Proofpoint

Hackers abuse free TryCloudflare to deliver remote access malware

2024/08/01 BleepingComputer — Cloudflare Tunnel サービスを悪用して RAT (Remote Access Trojans) を配信する、マルウェア・キャンペーンの拡大について、研究者たちが警告を発している。このサイバー犯罪活動は、2024年2月に検出されたものであり、TryCloudflare の無料サービスを悪用することで、AsyncRAT／GuLoader／VenomRAT／Remcos RAT／Xworm などの複数の RAT を配布している。

Digital Video Recorder デバイス群の脆弱性 CVE-2024-7339：40万台が危険な状態

CVE-2024-7339: DVR Vulnerability Exposes Over 400,000 Devices to Hackers

2024/08/01 SecurityOnline — TVT／Provision-ISR／AVISION などのモデルを含む、幅広い人気を誇る DVR (Digital Video Recorder) デバイス群で、脆弱性 CVE-2024-7339 が発見された。この脆弱性により、408,035台ものデバイスが、不正アクセスや悪用の可能性にさらされることになる。

Bitdefender GravityZone の脆弱性 CVE-2024-6980 が FIX：オンプレミス・ユーザーは直ちにパッチを！

Bitdefender Patches Critical Vulnerability in GravityZone Update Server

2024/08/01 SecurityOnline — Bitdefender が発表したのは、GravityZone Update Server に存在する深刻な脆弱性 CVE-2024-6980 に対する緊急パッチである。このサイバー・セキュリティ・ソリューションに発生した脆弱性は、n1nj4sec のNicolas VERDIER により発見されたものである。この脆弱性の悪用に成功した脅威アクターが、サーバ・サイド・リクエスト・フォージェリ (SSRF) 攻撃を達成すると、不正アクセスやデータ漏洩につながる可能性が生じてくる。

Twilio が Authy for Desktop を停止：すべてのユーザーを強制的にログアウト

Twilio kills off Authy for desktop, forcibly logs out all users

2024/08/01 BleepingComputer — ついに Twilio は、Authy for Desktop アプリケーションを終了し、このデスクトップ・アプリケーションから、ユーザーを強制的にログアウトさせた。2024年1月に Twilio が発表したのは、Windows／macOS／Linux の Authy デスクトップアプリが、2024年3月19日には EoL (end of life) となり、2024年8月には廃止されるというものだ。