Aiototsec

VICIdial Contact Center Suite の脆弱性 CVE-2024-8503／8504 が FIX：PoC が提供

Critical Flaws Found in VICIdial Contact Center Suite: CVE-2024-8503 and CVE-2024-8504, PoC Published

2024/09/16 SecurityOnline — OSS のコンタクト・センター・ソリューションとして人気が高く、数多くのコールセンターで使用されている VICIdial に、データ漏洩やシステム全体の侵害につながる可能性のある、脆弱性 CVE-2024-8503／CVE-2024-8504 が発見された。世界中で 14,000 件以上のインストール実績がある、VICIdial プラットフォームに依存する企業は、システムを速やかに更新しない限り、リスクにさらされる可能性が残される。

D-Link WiFi Router 群の複数の深刻な脆弱性が FIX：ただちにアップデートを！

Multiple Critical Vulnerabilities Found in D-Link WiFi Routers: Immediate Firmware Updates Advised

2024/09/16 SecurityOnline — D-Link ルーター製品群に、複数の深刻な脆弱性が存在することが明らかになり、世界中の何百万人ものユーザーに影響がおよび可能性が生じている。台湾のサイバーセキュリティ機関 TWCERT/CC は緊急勧告を発行し、リモートからの乗っ取りを防ぐために、デバイスのファームウェアを直ちに更新するようユーザーに促している。

CISA KEV 警告 24/09/16：Windows の CVE-2024-43461 が情報窃取で悪用

CISA warns of Windows flaw used in infostealer malware attacks

2024/09/16 BleepingComputer — CISA は米国の連邦政府機関に対して、先日に修正された Windows の MSHTML スプーフィング・ゼロデイバグ CVE-2024-43461 から、システムを保護するよう命じた。このバグは、Void Banshee APTハッキング・グループにより悪用されている。この脆弱性 CVE-2024-43461 は、2024年9月の Patch Tuesday 公開されたものだが、その時点では攻撃で悪用されていないものとして、Microsoft は分類していた。しかし、Microsoft は 9月13日 (金) にアドバイザリを更新し、修正される以前から攻撃で悪用されていたことを認めた。

GCP Composer の RCE 脆弱性が FIX：依存関係を撹乱させる CloudImposer とは？

Google Fixes GCP Composer Flaw That Could’ve Led to Remote Code Execution

2024/09/16 TheHackerNews — Google Cloud Platform (GCP) Composer に発見された深刻なセキュリティ脆弱性は、サプライチェーン攻撃の手法である “Dependency Confusion” (依存関係かく乱) により、クラウド・サーバ上でのリモート・コード実行を攻撃者に許すものだ。この脆弱性には、 CloudImposer というコードネームが、Tenable Research により付けられている。Tenable のセキュリティ研究者である Liv Matan は、「この脆弱性の悪用に成功した攻撃者は、Google Cloud Composer の各パイプライン・オーケストレーション・ツールにあらかじめインストールされている、内部ソフトウェアの依存関係を乗っ取りが可能になると推測される」と説明している。

SolarWinds ARM の脆弱性 CVE-2024-28991／28990 が FIX：RCE などが生じる恐れ

SolarWinds fixed critical RCE CVE-2024-28991 in Access Rights Manager

2024/09/16 SecurityAffairs — SolarWinds Access Rights Manager (ARM) に存在する、深刻な脆弱性 CVE-2024-28991 (CVSS：9.0) に対処するための、セキュリティ更新プログラムがリリースされた。この脆弱性は、信頼されていないデータのデシリアライゼーションに起因する、リモート・コード実行の脆弱性であり、ARM 2024.3 以下のバージョンに影響を与える。

Spring Framework の脆弱性 CVE-2024-38816 が FIX：データ漏洩などが生じる恐れ

CVE-2024-38816: Spring Framework Path Traversal Vulnerability Threatens Millions

2024/09/15 SecurityOnline — 人気の Spring Framework に、深刻なセキュリティ脆弱性 CVE-2024-38816 (CVSS 7.5) が発見され、世界中の何百万もの Java アプリケーションに影響を及ぼす可能性が生じている。このパス・トラバーサルの脆弱性により、攻撃者はサーバ上の機密ファイルへの不正アクセスを達成し、データ漏洩やシステム侵害などの深刻な被害をリスクをもたらす可能性を手にする。

Ivanti EPM の脆弱性 CVE-2024-29847 (CVSS 10)：PoC エクスプロイトが提供

PoC Exploit Released for Ivanti EPM Flaw CVE-2024-29847 (CVSS 10)

2024/09/15 SecurityOnline — Ivanti Endpoint Management (EPM) ソフトウェアの重大な脆弱性 CVE-2024-29847 (CVSS：10) に関する、技術的な詳細と PoC エクスプロイト・コードが、Horizon3.ai のセキュリティ研究者である James Horseman から公開された。この脆弱性は、エージェント・ポータルにおける信頼されていないデータのデシリアライゼーションに起因するものであり、悪用に成功した攻撃者は、コア・サーバへの不正アクセスを実行する可能性を手にする。

NixOS の脆弱性 CVE-2024-45593 が FIX：不正なファイル操作が生じる恐れ

Critical Flaw in NixOS Package Manager: CVE-2024-45593 Allows Arbitrary File Write with Root Permissions

2024/09/15 SecurityOnline — Linux／Unix ベース・システムで人気のパッケージ・マネージャ Nix に、深刻度の高い脆弱性が発見された。脆弱性 CVE-2024-45593 (CVSS：9.1) の悪用に成功した攻撃者は、NAR のアンパック・プロセスを介して、任意のファイル・システムへの書き込みを可能にするという。その結果として、重大な脅威が発生する恐れがある。

Medusa の活動が拡大：Fortinet CVE-2023-48788 の悪用と OSINT を装うサービスの展開

Medusa Exploits Fortinet Flaw (CVE-2023-48788) for Stealthy Ransomware Attacks

2024/09/14 SecurityOnline — Medusa ランサムウェア・グループは、執拗な攻撃を継続しているだけではなく、ダークウェブ／サーフェスウェブの双方において独自の基盤を確立していると、Bitdefender の最新のレポートが指摘している。他のランサムウェア・グループに対する Medusa の相違点は、サーフェスウェブ上で Name and Shame (名指し非難) ブログを運営するところにある。そのブログには、従来のダークウェブのリークサイトと同様に、被害者に関する情報が投稿されている。

CISA KEV 警告 24/09/13：Ivanti CSA の脆弱性 CVE-2024-8190 を登録

CISA & Ivanti Warn of Active Exploitation Cloud Services Appliance Flaw CVE-2024-8190

2024/09/13 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Cloud Services Appliance (CSA) における脆弱性 CVE-2024-8190 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性は OS コマンド・インジェクションの欠陥として分類されており、管理者権限を持つ攻撃者にリモートコード実行をゆるすものだ。

FileSender の脆弱性 CVE-2024-45186 が FIX：認証情報の漏えいなどが生じる恐れ

CVE-2024-45186: FileSender Vulnerability Poses Risk to User Credentials, Immediate Action Required

2024/09/13 SecurityOnline — 大容量ファイルを安全に送信するための機能を、認証済みのユーザーに提供する Web アプリ FileSender に、深刻なセキュリティ上の欠陥が確認された。このサーバ・サイド・テンプレート・インジェクションの脆弱性 CVE-2024-45186 の悪用に成功した未認証の攻撃者は、サーバの認証情報の取得を達成し、機密データやシステムを危険にさらす可能性を手にする。なお、この脆弱性は、セキュリティ研究者の Jonathan Bouman により発見されたものだ。

Citrix Workspace App の脆弱性 CVE-2024-7889／7890 が FIX：権限昇格が生じる恐れ

Citrix Workspace App Users Urged to Update Following Two Privilege Escalation Flaws

2024/09/13 SecurityOnline — Citrix Workspace App for Windows に影響を及ぼす、２つの脆弱性 CVE-2024-7889／CVE-2024-7890 に関するセキュリティ勧告が、Cloud Software Group から公表された。これらの脆弱性の悪用に成功した、低レベルのアクセス権を持つ攻撃者は、権限を最高レベル (SYSTEM) に昇格させ、侵害したシステムを完全に制御する可能性を手にする。

CrowdStrike 障害の余波：Windows カーネル連携方法の再設計を Microsoft が発表

Post-CrowdStrike Fallout: Microsoft Redesigning EDR Vendor Access to Windows Kernel

2024/09/13 SecurityWeek — Microsoft が発表した計画は、CrowdStrike のアップデートの不具合により、7月に発生した世界的な IT 障害に対応するものであり、Windows カーネルとマルウェア対策製品との連携方法を再設計するものである。現時点においては、この再設計に関する技術的な詳細は公表されていない。しかし Microsoft は、セキュリティ・ベンダーが “outside of kernel mode” を活用するための、新たなプラットフォームとしての機能を Windows 11 に搭載し、ソフトウェアの信頼性を確保する予定だとしている。

Oracle Weblogic を悪用する Linux マルウェア・キャンペーン：暗号通貨マイナーを展開

New Linux Malware Campaign Exploits Oracle Weblogic to Mine Cryptocurrency

2024/09/13 TheHackerNews — Linux 環境を標的にして、不正な暗号通貨マイニングを実行する、新たなマルウェア・キャンペーンが発見された。クラウドセキュリティ企業 Aqua によると、特に Oracle Weblogic サーバを標的とするアクティビティは、Hadooken と呼ばれるマルウェアを配信するようだ。Aqua のセキュリティ研究者である Assaf Moran は、「Hadooken が実行されると、Tsunami マルウェアがドロップされ、暗号マイナーが展開される」と説明している。

Docker Desktop の RCE 脆弱性 CVE-2024-8695／8696 が FIX：CVSS 値は 9.8

CVE-2024-8695 & CVE-2024-8696: Two Critical RCE Flaws Discovered in Docker Desktop

2024/09/12 SecurityOnline — コンテナ化されたアプリケーション開発に最適な Docker Desktop に、リモート・コード実行 (RCE) 攻撃を可能にする２つの重大なセキュリティ脆弱性 CVE-2024-8695／CVE-2024-8696 が発見された。

Apache OFBiz の RCE 脆弱性 CVE-2024-45195：PoC リリース後の積極的な攻撃を観測

Hackers target Apache OFBiz RCE flaw CVE-2024-45195 after PoC exploit released

2024/09/12 SecurityOnline — Apache OFBiz の脆弱性 CVE-2024-45195 が明らかになった以降において、4,000 の固有サイトを標的とする、25,000 件を超える悪意のあるリクエストが検出されたと、Imperva のレポートが指摘している。これらの攻撃は、主に金融サービス業界 (FSI) とビジネス部門を標的としており、悪意のボットと Go で書かれたカスタムのエクスプロイト・ツールで脆弱なシステムを探った後に、脆弱性を悪用しているとのことだ。この脆弱性の悪用に成功した攻撃者は、マルウェアの展開や機密データの窃取などを達成し、業務を妨害している。

HTTP Response Header を悪用するフィッシング・キャンペーン：危険性が高まる理由は何処に？

Beyond HTML: The Hidden Danger of Phishing in HTTP Response Headers

2024/09/12 SecurityOnline — Palo Alto Networks – Unit 42 の研究者たちは、あまり知られていない手法である、HTTP リフレッシュ・レスポンス・ヘッダーを通じて配信される、フィッシング・ページによる大規模なフィッシング・キャンペーンを発見しました。従来からの、悪意のHTML コンテンツに依存するフィッシング戦術とは異なり、この手法は、サーバから送信されたレスポンス・ヘッダーを使用して、HTML コンテンツが処理される前に、ユーザーを不正なサイトへとリダイレクトするものだ。2024年5月〜7月に、研究者たちが検出した悪意の URL は、１日あたり 2,000 件に達しており、この手法が広く使用されていることを示している。

Remcos RAT のファイルレス攻撃：脆弱性 CVE-2017-0199 の悪用を日本でも観測

Fileless Remcos RAT Campaign Leverages CVE-2017-0199 Flaw

2024/09/12 SecurityOnline — 新たに発見された高度なマルウェア攻撃では、複雑なファイルレスのアプローチが用いられ、無害に見える Excel ドキュメントが攻撃ベクターとなり、Remcos RAT が配信されている。Trellix の研究者たちが分析した攻撃では、従来から痕跡とされてきた悪意のファイルを残すことなく、サイバー犯罪者が検出を回避してシステムへと侵入する戦術を、改良し続けていることが判明した。

Chrome の Safety Check がアップグレード：より安全な Web サイト閲覧のために

New Chrome Features Protect Users Against Threats, Provide More Control Over Personal Data

2024/09/12 SecurityWeek — Google が発表したは Chrome の新しい機能セットは、インターネット閲覧中のユーザーの保護を強化し、データに対する制御の強化を目的とするものだ。今日の Google によると、この新たな機能セットにより、バックグラウンドで自動的に実行される、プロアクティブな保護機能である Safety Check がアップグレードされている。さらに、ユーザーがアクセスしなくなった Web サイトの権限の取り消しや、不要と思われる通知にフラグ付けする通知などもサポートされるという。

75% の確率でアプリは壊れる：依存関係のある OSS のアップデートが及ぼす影響 – Endor Labs

Open Source Updates Have 75% Chance of Breaking Apps

2024/09/12 InfoSecurity — Endor Labs の調査によると、オープンソース・ソフトウェアのバージョン・アップグレードにおいては、ほぼ全て (95%) の確率で他のコンポーネントの動作を妨げる、少なくとも１つの変更が含まれているという。そのため、パッチを適用すると、75%の確率で動作に支障をきたす可能性が生じる。この調査結果は、Endor Labs の第３回目の年次報告書 “2024 Dependency Management Report” で発表されたものであり、同社における脆弱性および顧客のデータと、Open Source Vulnerabilities(OSV) データベースの情報に加えて、Java ARchives (JARs) に関連するオープンソース依存関係 Top-15 を基に作成されている。

Progress WhatsUp Gold を狙う RCE 攻撃：脆弱性 CVE-2024-6670／6671 を悪用して展開

WhatsUp Gold Under Attack: New RCE Vulnerabilities Exploited

2024/09/12 SecurityOnline — Progress WhatsUp Gold を標的とする、リモート・コード実行 (RCE：remote code execution) 攻撃が、Trend Micro により発見された。同社の WhatsUp Gold に存在する、脆弱性 CVE-2024-6670／CVE-2024-6671 を悪用することで、一連の攻撃が展開されている。攻撃が観測された 2024年8月30日より前の 8月16日に、これらの脆弱性に対してパッチが適用されているが、PoC エクスプロイト・コードの公開により、急速な攻撃の波が引き起こされている。それが浮き彫りにするのは、ユーザー組織におけるパッチ管理により、常に最新の状態に保つことの重要性である。

Fortinet のデータ侵害：Fortibitch が 440GB のファイルを盗んだと主張

Fortinet confirms data breach after hacker claims to steal 440GB of files

20224/09/12 BleepingComputer — Fortinet の Microsoft Sharepoint サーバから、脅威アクターが 440GB のファイルを盗んだと主張したことを受けて、同社はデータ侵害の発生を認めた。Fortinet は、ファイアウォール／ルーター／VPN デバイスなどのセキュアなネットワーク製品を販売しており、SIEM／ネットワーク管理／EDR および XDRソリューション／コンサルティング・サービスなども提供している。

Kaspersky の TDSKiller ツール：RansomHub が EDR の無効化で悪用

RansomHub ransomware gang relies on Kaspersky TDSKiller tool to disable EDR

2024/09/11 SecurityAffairs — TDSSKiller ツールを悪用するランサムウェア・グループ RansomHub が、EDR (endpoint detection and response) システムを無効化していることが、Malwarebytes ThreatDown の調査により判明した。サイバーセキュリティ企業 Kaspersky が開発する TDSSKiller は、ルートキットを削除するための正規ツールである。しかし、このツールを悪用することで、コマンドライン・スクリプトやバッチファイルを通じて、EDR ソリューションを無効化することも可能になる。さらに、RansomHub は、認証情報を収集するために、オープンソースのパスワード復旧ツールである、LaZagne も悪用していることが判明した。

Cisco IOS XR／NSO／Optical Site Manager などの脆弱性が FIX：直ちにアップデートを！

Cisco Issues Security Advisories: Critical Vulnerabilities Impact Multiple Products

2024/09/11 SecurityOnline — 9月11日に Cisco が発表したセキュリティ・アドバイザリは、IOS XR／Crosswork Network Services Orchestrator (NSO)／Optical Site Manager／RV340 Dual WAN Gigabit VPN ルーターなどに影響を及ぼす、９件の脆弱性に関するものである。これらの脆弱性の深刻度には幅があるが、その中には、未認証の攻撃者によるサービス拒否 (DoS) 攻撃や、任意のリモート・コード実行を許すものもある。

WordPress LearnPress の脆弱性 CVE-2024-8522／8529 が FIX：CVSS 値は 10.0

CVE-2024-8522 & CVE-2024-8529 (CVSS 10): LearnPress SQLi Flaw Leaves 90K+ WordPress Sites at Risk

20224/09/11 SecurityOnline — オンライン・コースの作成／管理ツールとして人気の WordPress LearnPress plugin に、２件の SQL インジェクション脆弱性 CVE-2024-8522／CVE-2024-8529 が発見された。これらの脆弱性は、CVSS スコアが最大値の 10.0 と評価されており、未認証の攻撃者に悪意の SQL クエリを許し、WordPress データベースに保存されている機密情報へのアクセスが生じるという。

Ruby-SAML の脆弱性 CVE-2024-45409 (CVSS 10.0) がFIX：認証バイパスの恐れ

CVE-2024-45409 (CVSS 10): Critical Ruby-SAML Flaw Leaves User Accounts Exposed

2024/09/11 SecurityOnline — クライアント側の SAML (Security Assertion Markup Language) 認証を実装するためのツール Ruby-SAML ライブラリに、深刻なセキュリティ脆弱性 CVE-2024-45409 (CVSS：10.0) が確認された。この脆弱性の悪用に成功した攻撃者は、Ruby-SAML を使用しているシステムの認証をバイパスし、ユーザー・アカウントへの不正アクセスの可能性を手にする。

Palo Alto PAN-OS の脆弱性 CVE-2024-8686 などが FIX：不正アクセスなどが生じる恐れ

PAN-OS Vulnerabilities: Command Injection (CVE-2024-8686) and GlobalProtect Exposure (CVE-2024-8687)

2024/09/11 SecurityOnline — 9月12日に Palo Alto Networks が公開した６件のセキュリティ・アドバイザリは、同社製品に発見された複数の脆弱性に対処する、緊急の措置を顧客に促すものだ。これらの脆弱性が悪用されると、不正アクセス／データ漏洩／サービスの中断などを招く可能性が生じる。

GitLab CE/EE の脆弱性 CVE-2024-6678 などが FIX：直ちにアップデートを！

Urgent: GitLab Patches Critical Flaw Allowing Unauthorized Pipeline Job Execution

2024/09/11 TheHackerNews — 9月11日に GitLab がリリースしたのは、17件のセキュリティ脆弱性に対処するためのセキュリティ・アップデートである。その中には、任意のユーザーである攻撃者が、パイプライン・ジョブを実行できる、深刻な脆弱性 CVE-2024-6678 (CVSS：9.9) も含まれている。

Twig の脆弱性 CVE-2024-45411 が FIX：データ漏洩などが生じる恐れ

CVE-2024-45411: Twig Sandbox Bypass Vulnerability Puts PHP Applications at Risk

2024/09/10 SecurityOnline — 広く使用されている PHP テンプレート・エンジン Twig に、深刻なセキュリティ脆弱性 CVE-2024-45411 (CVSS：8.5) が発見された。この脆弱性の悪用に成功した攻撃者は、サンドボックスの制限を回避し、悪意のコード実行を可能にする。テンプレート・レンダリングにおいて、Twig を使用している Web アプリケーションにとっては、深刻な影響が生じる可能性がある。

HPE HP-UX の脆弱性 CVE-2024-42500 (CVSS 9.3) が FIX：直ちにアップデートを！

CVE-2024-42500 (CVSS 9.3): Critical HPE HP-UX Vulnerability Demands Immediate Action

2024/09/10 SecurityOnline — HPE HP-UX の Network File System (NFSv4) に脆弱性 CVE-2024-42500 (CVSS：9.3) が発見され、影響を受けるシステムへのサービス拒否 (DoS) 攻撃の可能性が生じている。この脆弱性の悪用に成功したリモートの攻撃者に、NFS サービスを妨害され、重大な運用障害にいたる恐れがある。

Windows のゼロデイ LNK Stomping CVE-2024-38217 が FIX：直ちにアップデートを！

LNK Stomping (CVE-2024-38217): Microsoft Patches Years-Old Zero-Day Flaw

2024/09/10 SecurityOnline — Microsoft の 2024年9月のセキュリティ更新プログラムにより、Smart App Control と SmartScreen に影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38217 が対処された。この LNK stomping と命名された脆弱性は、重要なセキュリティ警告を回避する、悪意のファイルの存在を許すものであり、遅くとも2018年から悪用が確認されている。

SPIP の脆弱性 CVE-2024-8517 (CVSS 9.8) が FIX：PoC エクスプロイトも提供

CVE-2024-8517: Critical SPIP Flaw Leaves Websites Vulnerable to Remote Attacks, PoC Published

2024/09/10 SecurityOnline — 人気の CMS である SPIP に発見された CVE-2024-8517 (CVSS：9.8) は、未認証の攻撃者に対して、サーバ上での悪意のコード実行を許す可能性があるものだ。この脆弱性は、BigUp プラグインのコマンド・インジェクションの欠陥に起因する。

Adobe の 2024年9月アップデート：Acrobat／ColdFusion／Photoshop などの脆弱性を修正

Adobe Patches Critical, Code Execution Flaws in Multiple Products

2024/09/10 SecurityWeek — 9月10日に Adobe は、複数の製品に存在する 28件のセキュリティ脆弱性に対する修正プログラムを公開し、コード実行攻撃の危険に、Windows／macOS ユーザーが直面していると警告した。最も緊急性の高いものは、Acrobat／PDF Reader の２件のメモリ破壊の脆弱性 CVE-2024-45112 (CVSS：8.6)／CVE-2024-41869 (CVSS：7.8) である。同社はアドバイザリで、これらの脆弱性は攻撃者に任意のコード実行を許し、特権を昇格させる可能性があるため、より高いリスクをもたらすと警告している。

Ivanti EPM の脆弱性 CVE-2024-29847 などが FIX：RCE が生じる恐れ

Ivanti fixes maximum severity RCE bug in Endpoint Management software

2024/09/10 BleepingComputer — Ivanti が公表したのは、同社の Endpoint Management (EPM) に存在する、深刻な脆弱性 CVE-2024-29847 を修正である。この脆弱性が、認証されていない攻撃者に悪用されると、コア・サーバ上でリモート・コード実行を許す可能性が生じるという。Ivanti EPM は、各種のプラットフォームを実行するために用いられる、クライアント・デバイス Windows／macOS／Chrome OS／IoT オペレーティング・システムなどを管理するためのツールである。脆弱性 CVE-2024-29847 は、エージェント・ポータルの信頼できないデータのデシリアライズの欠点に起因するものだが、Ivanti EPM 2024 HotPatch と、Ivanti EPM 2022 Service Update 6 (SU6) で対処されている。

Windows Downdate の脆弱性 CVE-2024-43491 が FIX：すでに悪用が観測されている

Microsoft Says Windows Update Zero-Day Being Exploited to Undo Security Fixes

2024/09/10 SecurityWeek — 9月10日 (火) に Microsoft は、Windows Update の深刻な脆弱性の悪用について公表し、Windows の特定のバージョンにおいて、セキュリティ修正がロールバックされていると警告した。この積極的な悪用が観測されている脆弱性 CVE-2024-43491 の、CVSS スコアは 9.8 であり、Critical と評価されている。現時点において Microsoft は、公開された悪用に関する情報や、感染の兆候の検出に有効な IOC (indicators of compromise) などのデータを公開していない。同社によると、この問題は匿名で報告されたという。

Microsoft 2024-09 月例アップデート：４件のゼロデイを含む 79件の脆弱性に対応

Microsoft September 2024 Patch Tuesday fixes 4 zero-days, 79 flaws

2024/09/10 BleepingComputer — 今日は、Microsoft の September 2024 Patch Tuesday の日であり、79件の脆弱性に対するセキュリティ更新プログラムが提供されたが、その中には、現時点で悪用されている４件のゼロデイ脆弱性が含まれるが、そのうちの１件は公開済みのものである。また、今月の Patch Tuesday では、リモート・コード実行や権限昇格の脆弱性である、７件の Critical 脆弱性が修正された。

CISA KEV 警告 24/09/09：ImageMagick／Linux Kernel／SonicWall の脆弱性を登録

CISA Alerts on Active Exploitation of Flaws in ImageMagick, Linux Kernel, and SonicWall

2024/09/09 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ImageMagick／Linux Kernel／SonicWall の３件の脆弱性を、KEV (Known Exploited Vulnerabilities) カタログに追加した。同庁は、連邦民間行政機関 (FCEB) に対して、潜在的なサイバー攻撃から身を守るために、2024年9月30日までにシステムにパッチを当てるよう求めている。

Zyxel NAS 326／542 の脆弱性 CVE-2024-6342 が FIX：直ちに Hotfix の適用を！

CVE-2024-6342: Critical Command Injection Flaw in Zyxel NAS Devices, Hotfixes Released for End-of-Support Products

2024/09/09 SecurityOnline — Zyxel は、すでに脆弱性サポートが終了している NAS326／NAS542 の２つの NAS 製品に対して、重要な Hotfix をリリースした。これらのデバイスは、コマンド・インジェクションの脆弱性 CVE-2024-6342 (CVSS：9.8) の影響を受けやすく重大な脅威となっている。

Google が推進する Rust 化：レガシー・ファームウェアをメモリ・セーフに！

Google Pushes Rust in Legacy Firmware to Tackle Memory Safety Flaws

2024/09/09 SecurityWeek — Google が推進しているのは、メモリ関連のセキュリティ対策の一環としての、既存の低レベル・ファームウェア・コードベースへの Rust の導入である。Google のソフトウェア・エンジニアである Ivan Lozano と Dominik Maier の最新ドキュメントによると、C や C++ で書かれたレガシー・ファームウェアのコードベースは、OS 以下の繊細なレイヤーでメモリ安全性を保証するために、“drop-in Rust replacements” を利用できるという。

Windows のゼロデイ脆弱性 CVE-2024-30051：QakBot マルウェアの展開と PoC の公開

CVE-2024-30051: Windows Elevation of Privilege Flaw Exploited by QakBot Malware, PoC Published

2024/09/09 SecurityOnline — Windows のゼロデイ脆弱性 CVE-2024-30051 (CVSS：7.8) に対する、技術的な詳細と PoC エクスプロイト・コードが、セキュリティ研究者たちにより公開された。この深刻なな脆弱性は、Desktop Window Manager (DWM) コア・ライブラリのヒープバッファ・オーバーフローにより引き起こされる。この脆弱性の悪用に成功した攻撃者は、SYSTEM レベルの特権で任意のコードを実行し、QakBot などのペイロード展開と、マルウェア攻撃を仕掛ける可能性を手にする。

FreeBSD の脆弱性 CVE-2024-43102 (CVSS 10)：パッチ適用までの期間に行うべきことは？

FreeBSD Issues Urgent Security Advisory for CVE-2024-43102 (CVSS 10)

2024/09/09 SecurityOnline — FreeBSD プロジェクトが発行したのは、複数バージョンのオペレーティング・システムに影響を及ぼす、深刻な脆弱性 CVE-2024-43102 (CVSS：10.0) に関するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した攻撃者は、カーネル・パニックのトリガー／任意のコード実行などを達成し、システムの完全な侵害を引き起こす可能性を手にする。

Slim CD から 170万人分のクレカ情報が流出：決済ゲートウェイが遭遇した侵害とは？

Payment gateway data breach affects 1.7 million credit card owners

2024/09/09 BleepingComputer — 決済ゲートウェイ・プロバイダーである Slim CD は、約 170万人分のクレジットカード情報と個人データが奪われるという、データ侵害について明らかにした。同社は、影響を受けた顧客に送付した通知の中で、2023年8月〜2024年6月の１年近くにわたってハッカーがネットワークにアクセスしていたと述べている。Slim CD は、決済処理ソリューションのプロバイダーであり、Web／モバイル／デスクトップのアプリを介して、ユーザー企業に対して電子決済やカード決済を提供している。

セキュリティ・ツール導入の問題点：CrowdStrike の失敗から得るものは？

One More Tool Will Do It? Reflecting on the CrowdStrike Fallout

2024/09/09 TheHackerNews — サイバーセキュリティ・ツールの利用は、セキュリティ保護に対する過剰な期待を生み出しかねない。セキュリティ・ツールを利用するユーザー組織は、ファイアウォール／アンチウイルス・ソフトウェア／侵入検知システム／ID 脅威検知・対応ツールなどの導入により、自分たちは十分に保護されていると考える。しかし、このアプローチは、攻撃対象領域という根本的な問題に対処していないだけはでなく、危険なサードパーティ・リスクをも混在させることになる。

Kibana の深刻な脆弱性 CVE-2024-37288／37285 が FIX：任意のコード実行の恐れ

Critical Kibana Flaws (CVE-2024-37288, CVE-2024-37285) Expose Systems to Arbitrary Code Execution

2024/09/08 SecurityOnline — データの視覚化／分析のプラットフォームとして人気を博す、OSS プラットフォームの Kibana を開発する Elastic が発行したアドバイザリは、ユーザーに対してバージョン 8.15.1 への即時アップデートを促す重要なものである。２つの脆弱性 CVE-2024-37288／CVE-2024-37285 の悪用に成功した攻撃者は、影響を受けるシステムで任意のコードを実行し、システムが完全に侵害する可能性を手にする。

HAProxy の脆弱性 CVE-2024-45506 が FIX：１件の悪用を確認

HAProxy Vulnerability CVE-2024-45506 Under Active Exploit: Urgent Patching Required

2024/09/08 SecurityOnline — ロード・バランシングとプロキシの機能を提供する、人気のソフトウェアである HAProxy にいおいて、脆弱性 CVE-2024-45506 (CVSS：7.5) が悪用されていることが判明した。この脆弱性は、HAProxy の HTTP/2 マルチプレクサに影響するものであり、特定の条件下において無限ループを引き起こし、システム・クラッシュやリモート・サービス拒否 (DoS) 攻撃にいたる恐れがある。この欠陥は、Enterprise／ALOHA／Kubernetes Ingress Controller などの、複数の HAProxy 製品に影響を与えるものだ。

Windows Telephony の権限昇格の脆弱性 CVE-2024-26230：PoC が提供される

PoC Exploit Releases for Windows Elevation of Privilege Vulnerability CVE-2024-26230

2024/09/08 SecurityOnline — Windows Telephony サービスに存在する、パッチ適用済みの権限昇格の脆弱性 CVE-2024-26230 (CVSS：7.8) に対する、技術的な詳細と概念実証 PoC エクスプロイトを、セキュリティ研究者が公開した。この Telephony サービスの、use-after-free の脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で SYSTEM 権限を取得できるようになる。

SonicWall SonicOS の脆弱性 CVE-2024-40766：Akira ランサムウェアによる悪用を確認

Akira Ransomware Exploits SonicWall SSLVPN Flaw (CVE-2024-40766)

2024/09/08 SecurityOnline — SonicOS のパッチ未適応のシステムにおいて、脆弱性 CVE-2024-40766 の活発な悪用が確認されたと、SonicWall が警告を発した。この脆弱性が発表された当初は、SonicOS の管理アクセスのみに影響すると考えられていたが、現在ではファイアウォールの SSLVPN 機能にも影響することが確認されており、状況はさらに深刻なものとなっている。

MindsDB の脆弱性 CVE-2024-24759 が FIX：PoC エクスプロイトも提供

MindsDB Fixes Critical CVE-2024-24759: DNS Rebinding Attack Bypasses Security Protections

2024/09/07 SecurityOnline — AI アプリを構築するための OSS プラットフォームとして人気の MindsDB は、セキュリティ対策のバイパスを許してしまう深刻な脆弱性に対してパッチを適用した。この脆弱性 CVE-2024-24759 (CVSS：9.3) の悪用に成功した攻撃者は、DNS リバインディング攻撃を用いて、SSRF (Server-Side Request Forgery) 対策をバイパスする可能性を手にする。

GeoServer の脆弱性 CVE-2024-36401 が FIX：マルウェアの展開などに悪用されている

Critical GeoServer Vulnerability Exploited in Global Malware Campaign

2024/09/06 HackRead — GeoServer に発見された致命的な脆弱性 CVE-2024-36401 (CVSS：9.8) だが、その悪用に成功した攻撃者に対して、マルウェアの展開／クリプトジャッキング／ボットネット攻撃のためのにステム制御を許すものとして懸念されている。ユーザーに対して推奨されるのは、GeoServer を最新バージョンに更新し、保護を維持することである。FortiGuard Labs の Threat Research チームが発見したのは、GeoServer の 2.23.6／2.24.4／2.25.2 未満に存在する脆弱性 CVE-2024-36401 が、攻撃者たちに積極的に悪用されているという状況である。この深刻な脆弱性を悪用する攻撃者たちは、脆弱なシステムをリモートから制御し、さまざまな悪意のアクションを実行する可能性を手にする。

IBM webMethods の脆弱性 CVE-2024-45076 などが FIX：データ漏洩などの恐れ

CVE-2024-45076 (CVSS 9.9): Critical Flaw in IBM webMethods Integration Demand Immediate Action

2024/09/06 SecurityOnline — IBM が発表したのは、同社の webMethods Integration Server に関するセキュリティ・アドバイザリである。そこで明らかにされた複数の脆弱性の中には、任意のコマンドの実行／権限の昇格／機密ファイルへのアクセスなどを、認証された攻撃者に対して許すものもある。なお、一連の脆弱性は、バージョン 10.15 に影響を及ぼす。