Google fixes another Chrome zero-day bug exploited in attacks
2023/09/11 BleepingComputer — Google Chrome 緊急セキュリティ・アップデートを公開された。それにより、今年に入ってから攻撃で悪用された、4番目のゼロデイ脆弱性が修正されている。Google は、CVE-2023-4863 のエクスプロイトが存在することを認識しているという。現時点において、この新バージョンは Stable/Extended stable チャンネルのユーザーに配布されており、今後の数日から数週間かけて、すべてのユーザーに配布されるようだ。
Continue reading “Google Chrome のゼロデイ CVE-2023-4863 が FIX:エクスプロイトの存在を確認”CISA Adds Recently Discovered Apple Zero-Days To Known Exploited Vulnerabilities Catalog
2023/09/11 SecurityAffairs −−− 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iMessage ゼロクリック攻撃で悪用される脆弱性 BLASTPASS を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。これらのゼロデイ脆弱性 CVE-2023-41064/CVE-2023-41061 は、Image I/O および Wallet フレームワークに存在し、iPhone に NSO Group の Pegasus スパイウェアをインストールするために悪用されていた。
Continue reading “CISA KEV 警告 23/09/11:Apple のゼロデイ CVE-2023-41064 など”Google Chrome Rolls Out Support for ‘Privacy Sandbox’ to Bid Farewell to Tracking Cookies
2023/09/11 TheHackerNews — Google Chrome における Privacy Sandbox の計画を発表されてから、4カ月が経過し、多数のユーザーへの展開が正式に開始された。Google の VP Privacy Sandbox Initiatives である Anthony Chavez は、「我々は、プライバシーの改善と、情報へのアクセス維持が重要だと考えている。その対象が、ニュースであろうと、ハウツーガイドであろうと、楽しいビデオであろうと、同じことだと信じている。Privacy Sandbox のような、サードパーティ・クッキーに代わるプライバシー保護手段がなければ、ユーザーによる情報へのアクセスを低減し、また、フィンガープリンティングのような侵略が高じる危険性がある」と述べている。
Continue reading “Chrome の Privacy Sandbox がスタート:クッキーの弊害を排除できるのか?”Akamai Prevented The Largest DDoS Attack On A Us Financial Company
2023/09/10 SecurityAffairs — 米国の金融機関を標的とする大規模な分散型サービス妨害 (DDoS) 攻撃を、サイバーセキュリティ企業 Akamai が特定/阻止することに成功した。この攻撃は先週に発生し、悪質なトラフィックはピーク時で 633.7 gigabits per second に達した。この攻撃は、同社により事前に緩和され、2分未満で終了した。
Continue reading “Akamai が防御した最大級の DDoS 攻撃:米国の大手金融機関が標的だった”Millions Infected by Spyware Hidden in Fake Telegram Apps on Google Play
2023/09/09 TheHackerNews — Google Play ストアで Telegram を装い、侵害した Android デバイスから機密情報を収集するという、スパイウェアが発見された。Kaspersky のセキュリティ研究者である Igor Golovin によると、このアプリには、名前/ユーザー ID/連絡先/電話番号/チャット・メッセージなどを取得し、脅威アクターが管理するサーバーに流出させるという、悪質な機能が搭載されているという。
Continue reading “Google Play に偽 Telegram アプリ:隠されたスパイウェアに数百万人が感染”Microsoft Teams phishing attack pushes DarkGate malware
2023/09/09 BleepingComputer — Microsoft Teams メッセージを悪用して DarkGate Loader というマルウェアをインストールし、悪意の添付ファイルを送信するという、新たなフィッシング・キャンペーンが展開されている。このキャンペーンは 2023年8月下旬に開始されたものであり、Microsoft Teams のフィッシング・メッセージが、侵害された 2つの Office 365 の外部アカウントから、他の組織に送信されていることが確認された。これらのアカウントは、他の Microsoft Teams ユーザーを騙して “Changes to the vacation schedule” という ZIP ファイルをダウンロードさせ、開封させるために使用されていた。
Continue reading “Microsoft Teams を悪用したフィッシング攻撃:DarkGate マルウェアを配布している”Notepad++ 8.5.7 released with fixes for four security vulnerabilities
2023/09/08 BleepingComputer — Notepad++ のバージョン 8.5.7 がリリースされ、バッファ・オーバーフローに起因する、複数のゼロデイ脆弱性が修正された。そのうちの 1 つは、ユーザーを騙して特別に細工されたファイルを開かせることで、任意のコード実行に至らせる可能性があると指摘されている。Notepad++ は、多くのプログラミング言語をサポートし、プラグインによる拡張が可能であり、生産性を向上させるためのマルチタブ編集やシンタックス・ハイライトなどの機能を提供する、人気の無償ソースコード・エディタだ。
Continue reading “Notepad++ 8.5.7 がリリース:深刻な脆弱性 CVE-2023-40031 などに対応”Cisco ASA Zero-Day Exploited in Akira Ransomware Attacks
2023/09/08 SecurityWeek — 今週に Cisco は、Adaptive Security Appliance (ASA) および Firepower Threat Defense (FTD) ソフトウェアに存在する、ゼロデイ脆弱性について注意を喚起した。この脆弱性は、8月以降において Akira ランサムウェア攻撃で悪用されているものだ。この 脆弱性 CVE-2023-20269 (CVSS:5.0) は、Cisco ASA/FTD のリモート・アクセス VPN 機能に存在し、ブルート・フォース攻撃の対象とされているため、認証なしでリモートから悪用される可能性がある。
Continue reading “Akira が狙う Cisco ASA のゼロデイ CVE-2023-20269:ブルートフォース攻撃?”CISA Warning: Nation-State Hackers Exploit Fortinet and Zoho Vulnerabilities
2023/09/08 TheHackerNews — Fortinet FortiOS SSL-VPN と Zoho ManageEngine ServiceDesk Plus の脆弱性を悪用する複数の APT が、侵害したシステムに不正アクセスし、永続性を確立していると、9月12日に CISA が警告した。また、FBI および CNMF との共同アラートには、「国家レベルの APT が脆弱性 CVE-2022-47966 を悪用して、インターネットに公開された Zoho ManageEngine ServiceDesk Plus に不正アクセスし、永続性を確立し、横方向へ移動していると」と記されている。
Continue reading “CISA 警告:Fortinet と Zoho の既知の脆弱性が国家支援ハッカーに狙われている”Alert: Apache SuperSet Vulnerabilities Expose Servers to Remote Code Execution Attacks
2023/09/07 TheHackerNews — Apache SuperSet に存在する、 2つの新たなセキュリティ脆弱性に対処するパッチがリリースされた。これらの脆弱性が攻撃者に悪用されると、影響を受けるシステム上でリモート・コード実行にいたる可能性がある。今回の更新 (バージョン2.1.1) は、脆弱性 CVE-2023-39265/CVE-2023-37941 を塞ぐものである。それらの脆弱性の悪用に成功した攻撃者は、 Superset のメタデータ・データベースを制御できるようになり、悪質な行為にいたる可能性があるという。
Continue reading “Apache SuperSet の深刻な脆弱性が FIX:リモートコード実行にいたる恐れ”Cisco Finds 8 Vulnerabilities in OAS Industrial IoT Data Platform
2023/09/07 SecurityWeek — Cisco の Open Automation Software (OAS) プラットフォームに存在する、複数の脆弱性を悪用することで、認証バイパス/機密情報漏洩/ファイル上書きなどが可能になると、同社は警告している。OAS プラットフォームとは、サーバ/ICS/IoT などにおける、デバイス間での通信やデータ転送を可能にするものであり、通常は、インダストリアル/エンタープライズ環境で使用されるものだ。ここでは、ロギング/ノーティフィケーション/クロスプラットフォーム統合もサポートされている。
Continue reading “Cisco OAS に8件の脆弱性:IoT プラットフォームへの影響は?”CISA warns of critical Apache RocketMQ bug exploited in attacks
2023/09/07: BleepingComputer — Apache の RocketMQ 分散メッセージング/ストリーミング・プラットフォームに影響を及ぼす、深刻度の高い脆弱性 CVE-2023-33246 が、米国 CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。現時点において。この脆弱性を悪用する複数の脅威アクターたちが、影響を受けたシステムの構成要素である RocketMQ バージョン 5.1.0 以下に、各種のペイロードをインストールしている可能性があるという。
Continue reading “CISA KEV 警告 23/09/06:Apache RocketMQ の脆弱性 CVE-2023-33246”Apple discloses 2 new zero-days exploited to attack iPhones, Macs
2023/09/07 BleepingComputer — Apple がリリースした緊急のセキュリティ・アップデートは、iPhone/Mac ユーザーを狙う攻撃で悪用されている、2つの新たなゼロデイ脆弱性を修正するものだ。同社のアドバイザリには、「Apple は、この問題が積極的に悪用された可能性があるという報告を認識している」と記されている。それぞれの脆弱性は、Walletフ レームワークの CVE-2023-41061 と、Image I/O の CVE-2023-41064 である。
Continue reading “Apple にゼロデイ CVE-2023-41064/CVE-2023-41061:スパイウェアが狙っている”Experts Uncover Underground Phishing “Empire” W3LL
2023/09/06 InfoSecurity — Microsoft 365 アカウントを標的とする洗練されたツールを、わずか 10ヶ月の間に推定 56,000本も販売した、新しいフィッシング・オペレーションを、セキュリティ研究者たちが発見した。Group-IB は、最新のレポート “W3LL Done: Hidden Phishing Ecosystem Driving BEC Attacks” において、W3LL 脅威アクターの存在を明らかにした。
Continue reading “W3LL という PhaaS:フィシング・ツールセットを 10ヶ月で 56,000本も販売”Old vulnerabilities are still a big problem
2023/09/06 HelpNetSecurity — Microsoft Office に存在する、古いリモートコード実行の脆弱性を悪用して、無防備なユーザーに Agent Tesla RAT 配信するィッシングキャンペーンが、つい先日に発見された。Fortinet の研究者である Xiaopeng Zhang は、「脆弱性 CVE-2017-11882/CVE-2018-0802 に対するパッチは、2017年11月と 2018年1月に、Microsoft からリリースされている。しかし、脅威アクターたちにとって、これらは依然として人気の脆弱性であり、5年以上が経過した今でも、まだパッチが適用されていないデバイスが野放しになっていることが示唆される。私たちは、IPS レベルで、1日あたり 3000件の攻撃を観測し、緩和している。観測された脆弱なデバイスの数は、1日あたり約 1300台である」と述べている。
Continue reading “Microsoft Office を攻撃する Agent Tesla RAT:古い脆弱性が悪用されるという現実”Chrome 116 Update Patches High-Severity Vulnerabilities
2023/09/06 SecurityWeek — 9月5日 (火) に Google は、Chrome 116 アップデートをリリースし、外部の研究者たちから報告された4件の深刻度の高い脆弱性を修正した。1つ目の脆弱性 CVE-2023-4761 は、FedCM (Federated Credential Management) API における境界外メモリ・アクセスの問題だと説明されている。境界外メモリ・アクセス・エラーは、プログラムがバッファ境界外のメモリ・アドレスを読み取る際に発生するものであり、サービス拒否 (DoS) 状態を引き起こし、その他の脆弱性との組み合わせによりコード実行にいたる可能性がある。
Continue reading “Chrome 116 の深刻な脆弱性4件が修正:サービス拒否やコード実行にいたる可能性”Researchers Discover Critical Vulnerability in PHPFusion CMS
2023/09/06 DarkReading — PHPFusion に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この人気のオープンソース CMS (Content Management System) には、2つの脆弱性があるという。先日に Synopsys の研究者たちが発見した、1つ目の脆弱性 CVE-2023-2453 は、認証されたローカル・ファイル・インクルージョンの欠陥である。この脆弱性の悪用に成功した攻撃者が、悪意を持って細工した “.php” ファイルをターゲット・システム上の既知のパスにアップロードすると、リモート・コード実行が可能になるという。2つ目の脆弱性 CVE-2023-4480 は、その悪用に成功した攻撃者に対して、システム上のファイルの Read/Write を許すものであり、深刻度は Medium とされている。
Continue reading “PHPFusion CMS にゼロデイ脆弱性 CVE-2023-2453 など:現状ではパッチが無い!”Hackers stole Microsoft signing key from Windows crash dump
2023/09/06 BleepingComputer — 中国人ハッキング・グループ Storm-0558 は、Microsoft のエンジニアの企業アカウントを侵害した後に、Windows のクラッシュダンプから署名キーを盗み出し、政府機関の電子メール・アカウントに侵入していた。攻撃者は盗んだ MSA キーを使って、米国の国務省や商務省など含む、約 20の組織の Exchange Online/Azure Active Directory (AD) アカウントに侵入したとされる。Storm-0558 は、GetAccessTokenForResourceAPI のゼロデイ検証の問題を悪用し、署名されたアクセス・トークンを偽造し、標的である組織内のアカウントになりすましていた。
Continue reading “中国のハッカー Storm-0558:Windows クラッシュダンプから署名キーを窃取と判明”Toyota says filled disk storage halted Japan-based factories
2023/09/06 BleepingComputer — Toyota の発表によると、先日に日本の生産工場で発生した操業停止は、データベース・サーバーのストレージ容量不足が原因だったとのことだ。8月29日に Toyota は、日本の組立工場 14ヶ所のうち 12ヶ所で、原因不明のシステム障害により操業停止を余儀なくされた。BBC の報道によると、世界最大級の自動車メーカーである Toyota は、この事態により 13,000 台/日の生産台数を失い、世界市場への輸出に影響が及ぶ可能性が生じている。
Continue reading “Toyota の国内生産工場で操業停止:ストレージ容量不足が原因”Atlas VPN zero-day vulnerability leaks users’ real IP address
2023/09/05 BleepingComputer — Atlas VPN の Linux クライアントに存在するゼロデイ脆弱性により、Web サイトにアクセスしただけで、ユーザーの実際の IP アドレスが漏えいするという問題が生じている。Atlas VPN とは、WireGuard をベースとした費用対効果の高いソリューションを提供する VPN 製品であり、すべての主要なオペレーティング・システムをサポートしている。ある研究者が Reddit で共有した PoC エクスプロイトにより、Atlas VPN の Linux クライアントにおいて、具体的には最新バージョンである 1.0.3 において、ポート 8076 上で localhost (127.0.0.1) をリッスンする API エンド・ポイントについて、説明が行われている。
Continue reading “Atlas VPN のゼロデイ脆弱性:ユーザーの実際の IP アドレスが漏えいする可能性”ASUS routers vulnerable to critical remote code execution flaws
2023/09/05 BleepingComputer — ASUS の RT-AX55/RT-AX56U_V2/RT-AC86U ルーター群には、3件の深刻なリモートコード実行の脆弱性が存在する。それらに対するセキュリティ更新プログラムがインストールされていない場合に、脆弱性の悪用に成功した脅威アクターにデバイスを乗っ取られる可能性が生じる。これらの3種類の WiFi ルーターは、コンシューマー・ネットワーキング市場で人気のハイエンド・モデルであり、現時点でも ASUS の Web サイトで入手できる。高いパフォーマンスを必要とする、ゲーマーなどのユーザーに支持されている。
Continue reading “ASUS RT ルーター群の3つの RCE 脆弱性が FIX:直ちにアップデートを!”New Python Variant of Chaes Malware Targets Banking and Logistics Industries
2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。
Continue reading “Chaes という新種の Python マルウェア亜種:銀行と物流業界を標的にしている”Spam is up, QR codes emerge as a significant threat vector
2023/09/04 HelpNetSecurity — VIPRE のレポートによると、フィッシング・メールの 85% においては、そのコンテンツに悪意のリンクが隠されており、スパム・メールに関しては、2023年 Q1 から Q2 にかけて 30% も増加しているという。VIPRE の 2023年 Q1 レポートと比較すると、Q2 フィッシングの最大の標的は IT 関連であり、金融機関 (9%) を上回っている。
Continue reading “増加するスパムメール:BEC の増加と QR コード悪用などがトレンド?- VIPRE”Ransomware attacks go beyond just data
2023/09/04 HelpNetSecurity — 2023 Ransomware Preparedness というレポートが、Enterprise Strategy Group (ESG) と Keepit により公表された。それによると、65% のユーザー組織が、自社の存続を脅かす Top-3 の1つとしてランサムウェアを捉え、13% の組織は最大の脅威だと捉えているようだ。
Continue reading “ランサムウェア調査:データ侵害の先には何があるのだろう? ESG/Keepit レポート”Hackers Exploit MinIO Storage System Vulnerabilities to Compromise Servers
2023/09/04 TheHackerNews — MinIO 高性能オブジェクト・ストレージ・システムに存在する、深刻度の高いセキュリティ欠陥を武器にする未知の脅威アクターが、影響を生じているサーバ上で不正なコードを実行していることが確認された。サイバー・セキュリティ企業 Security Joes は、この侵入は MinIO インスタンスをバックドア化するために公開されている、エクスプロイト・チェーンを活用したものだと述べている。このチェーンは、脆弱性 CVE-2023-28432 (CVSS:7.5) と CVE-2023-28434 (CVSS:8.8) で構成されているが、前者に関しては、2023年4月21日に米 CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されている。
Continue reading “MinIO ストレージ・サーバ侵害:脆弱性 CVE-2023-28432/CVE-2023-28434 の悪用”2023/09/04 SecurityAffairs — これまでの郵便事業に対するサイバー攻撃の事例では、英国/ポーランド/スウェーデン/イタリア/インドネシア/日本などの国々で被害が発生している。この犯罪グループは Royal Mail/New Zealand Postal Service (NZPOST)/Correos (Spain)/Postnord/Poste Italiane/Italian Revenue Service (Agenzia delle Entrate) になりすましていた。また、以前においても、Fedex や UPS を狙うという同様の詐欺が確認されている。
Continue reading “Smishing Triad というスミッシング・キャンペーン:米国市民を標的に展開されている”Microsoft reminds users Windows will disable insecure TLS soon
2023/09/03 BleepingComputer — セキュアではない Transport Layer Security (TLS) 1.0/1.1 プロトコルが、今後の Windows リリースのおいて間もなく無効になることを、Microsoft はユーザーに再告知した。TLS 通信プロトコルは、クライアント/サーバ・アプリケーションを通じて、インターネットにアクセスする際や、そこで情報を交換する際に、盗聴/改竄/メッセージ偽造からユーザを守るために作られたものである。オリジナルの TLS 1.0 仕様は 1999 年に、その後継である TLS 1.1 は 2006 年に発表されており、すでに 20年近く使用されている。
Continue reading “Microsoft Windows の TLS 1.0/1.1 プロトコルがまもなく無効化に”Chrome extensions can steal plaintext passwords from websites
2023/09/02 BleepingComputer — Chrome Web Store にアップロードされた PoC エクステンションは、Web サイトのソースコードから平文のパスワードを盗むためのものであり、ウィスコンシン大学マディソン校の研究チームが作成したものである。Web ブラウザのテキスト入力フィールドを調査した結果として、Chrome エクステンションを支える粗視化 (coarse-grained) 許可モデルが、最小特権と完全仲介の原則に違反していることが明らかになったという。さらに研究者たちは、Google や Cloudflare のポータルなど含む多数の Web サイトにおいて、数百万人のビジターたちが、Web ページの HTML ソースコード内にパスワードを平文で保存していることを発見した。そして、それらの情報の不正な取得が、悪意のエクステンションを介して可能なことが判明した。
Continue reading “Chrome エクステンションによる平文パスワードの窃取:大量の Web サイトが脆弱な状態”Social Engineering Attacks Target Okta Customers To Achieve A Highly Privileged Role
2023/09/02 SecurityAffairs — Okta が顧客に発している警告は、この数週間で観察されている、管理者権限への昇格を目的としたソーシャル・エンジニアリング攻撃に関するものだ。この攻撃は、IT サービス・デスクのスタッフを騙して、高度な権限を持つユーザーが登録した、すべての多要素認証 (MFA) 要素をリセットするよう促すものである。なお、現時点において同社は、この攻撃を実施した脅威アクターを特定していない。Okta の顧客組織 (テナント) において、高度な特権ロールを獲得した脅威アクターは、横方向への移動を行い、また、防御回避の斬新な手法を採用している。
Continue reading “Okta ユーザーを欺くソーシャル・エンジニアリング:Super Admin アカウントが狙われている”Threat Actors Targeting Microsoft SQL Servers to Deploy FreeWorld Ransomware
2023/09/01 TheHackerNews — Microsoft SQL サーバのセキュリティの低さを悪用する脅威アクターが、Cobalt Strike を配信した上で、FreeWorldと呼ばれるランサムウェアを展開している。サイバー・セキュリティ企業 Securonix は、このキャンペーンを DB#JAMMER と名付け、そのツールセットとインフラの使用方法が際立っていると述べている。セキュリティ研究者である Den Iuzvyk と Tim Peck と Oleg Kolesnikov は、「これらのツールの中には、列挙ソフトウェア/RAT ペイロード/クレデンシャル窃盗のためのソフトウェアおよび、ランサムウェアのペイロードが含まれている。ここで選択されたランサムウェアのペイロードは、FreeWorld と呼ばれる Mimic ランサムウェアの新たな亜種だと思われる」と技術的な詳細の中で述べている。
Continue reading “Microsoft SQL がターゲット:FreeWorld ランサムウェアを展開する脅威アクターたち”Exploit released for critical VMware SSH auth bypass vulnerability
2023/09/01 BleepingComputer — VMware の Aria Operations for Networks 分析ツール (旧 vRealize Network Insight) に存在する SSH 認証バイパスの脆弱性について、PoC エクスプロイト・コードが公開された。この脆弱性 CVE-2023-34039 は、ProjectDiscovery Research のセキュリティ・アナリストにより発見され、その報告を受けた VMware は、8月30日 (水) にリリースしたバージョン 6.11 でパッチを適用した。
Continue reading “VMware の SSH 認証バイパスの脆弱性 CVE-2023-34039:PoC エクスプロイトが登場”SapphireStealer Malware: A Gateway to Espionage and Ransomware Operations
2023/08/31 TheHackerNews — .NET ベースのオープンソース情報窃取マルウェア SapphireStealer だが、その機能が強化されたことで、複数のエンティティにより悪用され、独自の亜種を生み出している。Cisco Talos の研究者である Edmund Brumaghin は、「SapphireStealer のような情報窃取マルウェアは、企業における認証情報などの機密情報を取得するために使用される可能性がある。また、そのアクセスが他の攻撃者に転売され、スパイ行為や恐喝型ランサムウェアなどが行われることも多々ある」と、The Hacker News に語っている。
Continue reading “SapphireStealer という .NET 情報スティーラー:スパイ/ランサムウェア活動の入口に”North Korean hackers behind malicious VMConnect PyPI campaign
2023/08/31 BleepingComputer — PyPI (Python Package Index) リポジトリに対して、悪意のパッケージをアップロードする VMConnect キャンペーンの背後には、北朝鮮の国家に支援を受けたハッカーたちが存在し、その中には VMware vSphere の正規のコネクタ・モジュール vConnector を模倣するものがある。この、VMConnect という名前の悪意のパッケージは8月初旬にアップロードされ、仮想化ツールを求める IT スペシャリストを標的としている。すでに、PyPI プラットフォームからは削除されているが、その時点で VMConnect は 237回もダウンロードされている。
Continue reading “北朝鮮の APT グループ Labyrinth Chollima:偽の VMConnect PyPI キャンペーンを実施”Splunk Patches High-Severity Flaws in Enterprise, IT Service Intelligence
2023/08/31 SecurityWeek — 8月30日 (水) に Splunk が発表したのは、Splunk Enterprise および IT Service Intelligence に存在する、複数の深刻度の高い脆弱性 (サードパーティ製パッケージの欠陥を含む) に対するパッチである。今月に Splunk Enterprise が解決したバグの中で、最も深刻な脆弱性は CVE-2023-40595 (CVSS:8.8) であり、細工されたクエリを介した、リモート・コード実行の問題だと説明されている。
Continue reading “Splunk Enterprise/IT Service Intelligence の深刻な RCE 脆弱性 CVE-2023-40595 などが FIX”Hackers Can Exploit Windows Container Isolation Framework to Bypass Endpoint Security
3023/08/30 TheHackerNews — マルウェア検出回避テクニックを活用する脅威アクターたちが、Windows Container Isolation Framework を操作することで、エンドポイント・セキュリティ・ソリューションを回避できる可能性が、新たな調査により判明した。この調査結果は、Deep Instinct のセキュリティ研究者である Daniel Avinoam が、8月の初めに開催された DEF CON セキュリティ・カンファレンスで発表したものだ。Microsoft のコンテナ・アーキテクチャ (Windows Sandbox) は、動的に生成されるイメージと呼ばれるものを用いて、それぞれのコンテナとホストの間でファイル・システムを分離し、また、システム・ファイルの重複を回避するものだ。
Continue reading “Windows Container Isolation Framework を悪用したエンドポイント・セキュリティの回避”Malicious npm Packages Aim to Target Developers for Source Code Theft
2023/08/30 TheHackerNews — 悪意の npm パッケージを用いる未知の脅威アクターが、被害者のマシンからソースコードや設定ファイルを盗む目的で開発者を標的にするという、オープンソース・リポジトリにおける脅威が消え去らない状況が示唆されている。ソフトウェア・サプライチェーン・セキュリティ企業 Checkmarx は、「このキャンペーンの背後にいる脅威アクターの活動は、2021年ころから発生している。それ以来、彼らは継続的に、悪意のパッケージを公開している」と、The Hacker News と共有したレポートで述べている。
Continue reading “npm に悪意のパッケージ:特定のディレクトリからソースコードと機密情報を採取”Hacking campaign bruteforces Cisco VPNs to breach networks
2023/08/30 BleepingComputer — Cisco Adaptive Security Appliance (ASA) の SSL VPN を標的とし、多要素認証 (MFA) 未実施などのセキュリティ防御の不備を利用した、クレデンシャル・スタッフィング攻撃やブルートフォース攻撃が、ハッカーたちにより行われている。先週に BleepingComputer は、Akira ランサムウェア・ギャングがイニシャル・ネットワーク・アクセスのために、Cisco VPN を突破していることを報告した。
Continue reading “Akira ランサムウェア:Cisco ASA の SSL VPN へのブルートフォース攻撃を展開”Japan’s JPCERT Warns of New ‘Maldoc In Pdf’ Attack Technique
2023/08/29 SecurityAffairs — 先日に、日本の JPCERT/CC (computer emergency response team) が、悪意の Word ファイルを PDF ファイルに埋め込むことで検知を回避する、MalDoc in PDF と呼ばれる新たな攻撃手法を観測した。研究者たちは、MalDoc in PDF で作成されたファイルは、PDF の magic numbers and file 構造を持っているが、Wordで開くことができると説明している。このファイルに悪意のマクロが含まれていれば、ファイルを開くことで悪意のコードが実行される。JPCERT/CC が観測した攻撃では、脅威アクターはファイル拡張子 “.doc” を使用していたという。
Continue reading “日本の JPCERT/CC が新たな攻撃手法について警告:Maldoc In PDF とは?”2023/08/29 SecurityAffairs — 日本の National Center of Incident Readiness and Strategy for Cybersecurity (NISC) に、脅威アクターが9カ月も侵入していたことが判明した。Financial Time が報じたところによると、この中国につながるハッカーにより、機密データがアクセスした可能性があるという。
Continue reading “日本の NISC におけるデータ侵害:2022年の秋から侵入されていた?”Easy-to-exploit Skype vulnerability reveals users’ IP address
2023/08/29 HelpNetSecurity — Skype モバイル・アプリの脆弱性が攻撃者に悪用され、ユーザーの IP アドレスが判明するという可能性が生じている。このセキュリティ脆弱性は、Yossi というセキュリティ研究者により発見されたものであり、彼から Microsoft への報告が行われ、ジャーナリストである Joseph Cox が効果的な悪用を証明した。現時点ではパッチが適用されていないため、脆弱性の詳細は公表されていないが、Joseph Cox は、「悪用は非常に簡単であり、リンクに関連する特定のパラメータを変更により実現できる」と述べている。
Continue reading “Skype に悪用が容易な脆弱性:ユーザーの IP アドレスが暴露される”New Ransomware Campaign Targets Citrix NetScaler Flaw
2023/08/29 InfoSecurity — Citrix NetScaler の、インターネットに公開されているパッチ未適用の システムを標的とする一連の攻撃を、Sophos X-Ops のサイバー・セキュリティ専門家たちが発見した。8月25日 (金) の X (Twitter) で共有された、この悪意あるキャンペーンに関する説明では、深刻なリモートコード実行の脆弱性 CVE-2023-3519 が悪用され、その結果として脅威アクターがシステムに侵入し、ドメインを覆う規模での攻撃キャンペーンが発生していると、セキュリティ研究者たちは述べている。
Continue reading “Citrix NetScaler の RCE 脆弱性 CVE-2023-3519:新たなランサムウェアが悪用”VMware Patches Major Security Flaws in Network Monitoring Product
2023/08/29 SecurityWeek — 8月29日 (火) に VMware は、Aria Operations for Networks 製品ラインに存在する、2件の深刻な脆弱性を修正するため、大規模なセキュリティ・アップデートを配布した。VMware は緊急アドバイザリにおいて、これらの脆弱性の悪用に成功した脅威アクターは SSH 認証をバイパスし、Aria Operations for Networks のコマンドライン・インターフェイスにアクセスする可能性があると述べている。VMware は、このネットワーク認証バイパスの脆弱性 CVE-2023-34039 について、CVSS 値 9.8 と評価している。
Continue reading “VMware の Network Monitoring 製品の脆弱性が FIX:直ちにパッチを!”Phishing-as-a-Service Gets Smarter: Microsoft Sounds Alarm on AiTM Attacks
2023/08/29 TheHackerNews — Phishing-as-a-Service (PhaaS) サイバー犯罪モデルの一部として、Adversary-in-The-Middle 攻撃が広まっていると、Microsoft が警告している。AiTM に対応した PhaaS プラットフォームの増加に加えて、PerSwaysion のような既存のフィッシング・サービスも、この AiTM 機能を組み込んでいると、同社は指摘している。Microsoft Threat Intelligence チームは、「この、PhaaS エコシステムにおける進化により、MFA 保護の回避を試みるフィッシング・キャンペーンを、攻撃者は大規模に展開できるようになる」と X (Twitter) への投稿で述べている。
Continue reading “Phishing-as-a-Service の進化が止まらない:Microsoft が AiTM 攻撃を警告”Hackers exploit critical Juniper RCE bug chain after PoC release
2023/08/29 BleepingComputer — エクスプロイト・チェーンを悪用するハッカーたちが、インターネット上に公開されている J-Web 設定インターフェースを介して、Juniper の EX Switch/SRX Firewall を標的にしている。この脆弱性の悪用に成功した未認証の攻撃者には、パッチが適用されていないデバイス上での、リモートからのコード実行が許されてしまう。Juniper は、「認証を必要としない特定のリクエストを介して、攻撃者たちは J-Web 経由で、任意のファイルをアップロードできる。それにより、ファイル・システムの特定部分で整合性が失われ、他の脆弱性に連鎖する可能性が生じる」と述べている。
Continue reading “Juniper EX Switch/SRX Firewall の脆弱性:PoC リリース直後から悪用が始まっている”Microsoft will enable Exchange Extended Protection by default this fall
2023/08/28 BleepingComputer — 今日、Microsoft が発表したのは、Exchange Server 2019 を実行しているサーバにおける、Windows EP (Extended Protection) のデフォルトでの有効化についてだ。この秋に、2023 H2 Cumulative Update (CU14) がインストールされた後から、この試みはスタートする。EP (Extended Protection) とは、Windows Server の認証機能を強化し、認証リレー攻撃/中間者 (MitM) 攻撃を軽減する機能のことである。
Continue reading “Microsoft Exchange:2023年秋から Extended Protection がデフォルトで有効化”3 Malware Loaders Detected in 80% of Attacks: Security Firm
2023/08/28 SecurityWeek — サイバー犯罪者たちの間で最も人気のマルウェア・ローダーは、QakBot/SocGholish/Raspberry Robin の3つであり、観測された攻撃の 80% を占めていると、サイバー・セキュリティ企業 ReliaQuest が報告している。2023年1月1日〜7月31日で観測されたインシデントのうち、QakBot 30%/SocGholish 27%/Raspberry Robin 23% を占めるという状況になっている。同社によると、観測されたインシデントの全てが、ネットワークの侵害につながったわけではなく、問題を引き起こす前に検出/停止されたローダーもあるとのことだ。
Continue reading “マルウェア・ローダー Top-3 による寡占化:QakBot/SocGholish/Raspberry Robin”Exploit released for Juniper firewall bugs allowing RCE attacks
2023/08/28 BleepingComputer — Juniper SRX Firewall の脆弱性に関する PoC エクスプロイト・コードが公開された。一連の脆弱性が連鎖すると、パッチを未適用の Juniper JunOS において、未認証の攻撃者によるリモート・コード実行へといたる可能性がある。2週間前に Juniper は、同社の EX Switche と SRX Firewall に、4件の Medium レベル脆弱性が存在することを公表し、セキュリティ・パッチをリリースした。それらの脆弱性は、管理者がネットワーク上の Juniper デバイスを管理/設定するために使用する、PHP ベースの J-Web インターフェースに存在するものだ。
Continue reading “Juniper SRX Firewall の脆弱性 CVE-2023-36846/CVE-2023-36845:PoC エクスプロイトが公開”Experts Uncover How Cybercriminals Could Exploit Microsoft Entra ID for Elevated Privilege
2023/08/28 TheHackerNews — Microsoft Entra ID (旧 Azure Active Directory) アプリケーションに関連する問題として、放棄された返信 URL の悪用により特権昇格が生じるケースがあることを、サイバー・セキュリティ研究者たちが発見した。Secureworks の CTU (Counter Threat Unit) は、「この放棄された URL の悪用に成功した攻撃者は、認証コードを自分自身にリダイレクトし、不正に入手した認証コードをアクセストークンと交換できる。その後に攻撃者は、中間層のサービスを介して Power Platform API を呼び出し、昇格した権限を取得する」と、先週に発表したテクニカル・レポートの中で述べている。
Continue reading “Microsoft Entra ID (Azure AD) で権限を昇格させる方法:専門家たちが手口を解明”LockBit 3.0 Ransomware Builder Leak Gives Rise to Hundreds of New Variants
2023/08/26 TheHackerNews — 昨年に発生した、LockBit 3.0 ランサムウェア・ビルダーの流出により、このツールを悪用する脅威アクターたちが、新たな亜種を生み出している。ロシアのサイバー・セキュリティ企業である Kaspersky は、LockBit の亜種を展開するランサムウェアの侵入を検出したが、身代金要求の手順が著しく異なっていたと述べている。Kaspersky のセキュリティ研究者である Eduardo Ovalle と Francesco Figurelli は、「このインシデントを操る攻撃者は、NATIONAL HAZARD AGENCY と呼ばれる、新たなグループに関連する見出しを持つ、新たな身代金メモを使用している」と述べている。
Continue reading “LockBit 3.0 Builder のリークと影響:312種類もの亜種が量産されている”Kroll Suffers Data Breach: Employee Falls Victim to SIM Swapping Attack
2023/08/26 TheHackerNews — Risk and Financial のアドバイザリー・ソリューションを提供する Kroll だが、8月25日 (金) に明らかにしたのは、同社の従業員の一人が高度に洗練された SIM スワッピング攻撃の被害に遭ったことである。このインシデントは、2023年8月19日に発生し、従業員の T-Mobile アカウントが標的にされたという。
Continue reading “Kroll でデータ侵害が発生: 社員が SIM スワッピング攻撃のターゲットに”
IoT OT Security News 
You must be logged in to post a comment.