CyberAttack – Page 14 – IoT OT Security News

TeamViewer の脆弱性 CVE-2024-7479／7481：PoC エクスプロイトがリリース

Exploit Releases for TeamViewer Flaws (CVE-2024-7479 & CVE-2024-7481) Let Unprivileged Users Load Arbitrary Kernel Drivers

2024/10/07 SecurityOnline — 人気のリモート・アクセス・ツールである TeamViewer で発見された、２つの深刻度の高い脆弱性 CVE-2024-7479／CVE-2024-7481 (CVSS：8.8) に対する技術的詳細と PoC エクスプロイトコードを、セキュリティ研究者である Peter Gabaldon が公開した。これらの脆弱性の悪用に成功した攻撃者は、Windows ローカル権限昇格を達成し、ドライバーのインストール中に発生する暗号署名の不適切な検証を突いて、システム・レベルのアクセスを取得して任意のコード実行を可能にする。

DMARK のミスコンフィグ：それを狙う北朝鮮の APT グループ Kimsuky

North Korean APT Group Kimsuky Exploits DMARC Misconfigurations for Sophisticated Phishing Attacks

2024/10/07 SecurityOnline — 長い間にわたって、組織をサイバー攻撃から守る上で、メール・セキュリティは重要な柱となっていた。しかし、最近のレポートでは、DMARC (Domain-based Message Authentication, Reporting & Conformance) などの広く信頼されている保護機能でさえ、ミスコンフィグにより悪用される可能性があることが判明している。Barracuda の Senior Director of Product Management である Sheila Hara は、「北朝鮮の APT グループである Kimsuky が、DMARC のミスコンフィグを悪用して、絞り込まれた標的型のスピアフィッシング攻撃を実行し、世界中の民間部門と公共部門を脅かしている」と強調している。

DNS Tunneling キャンペーン：Palo Alto Unit42 が発見した検出回避と攻撃の方式とは？

DNS Tunneling: The Hidden Threat Exploited by Cyberattackers

2024/10/07 SecurityOnline — サイバー攻撃者が用いる DNS トンネリングという手法は、検出を回避しながら悪意の活動を行い、データを盗み出すための隠された戦術である。Palo Alto Networks の最新レポートでは、従来のセキュリティ対策を回避する DNS トンネリング・テクニック用いる、新たな脅威とキャンペーンが取り上げられている。インターネットの要である DNS は監視されないままに放置されることが多く、攻撃者にとっての主要なターゲットとなっている。この Palo Alto Networks のレポートには、「DNS トンネリングは、DNS プロトコルを悪用して、DNS クエリ／レスポンスのデータをエンコードするため、攻撃者は気付かれることなく、セキュリティ・システムを回避していく」と記されている。

Zimbra の脆弱性 CVE-2024-45519 の積極的な悪用を観測：パッチ未適用のシステムは 19K

Active Exploits Target Zimbra Collaboration: Over 19K Systems Vulnerable to CVE-2024-45519

2024/10/06 SecurityOnline — Synacor の Zimbra Collaboration プラットフォームに対する、積極的なエクスプロイトの試みに関して、エンタープライズ・セキュリティ企業 Proofpoint は重大な警告を発している。先日に公開された脆弱性 CVE-2024-45519 は、2024年9月下旬から攻撃を受けており、緊急のパッチ適用が求められている。Zimbra の postjournal サービスに影響を及ぼす、この脆弱性の悪用に成功した未認証の攻撃者は、システムを侵害して任意のコマンド実行を達成するため、Zimbra プラットフォームのグローバル・ユーザーに対して深刻な脅威をもたらす。

Ruby-SAML／GitLab の脆弱性 CVE-2024-45409 が FIX：認証バイパス PoC が登場

Researchers Detail Ruby-SAML/GitLab Flaw (CVE-2024-45409) Allows SAML Authentication Bypass

2024/10/06 SecurityOnline — GitLab の認証システムに不可欠な、Ruby-SAML／OmniAuth-SAML ライブラリに存在する深刻な脆弱性 CVE-2024-45409 が、ProjectDiscovery の Harsh Jaiswal と Rahul Maini による最近の調査で明らかになった。この脆弱性の悪用に成功した攻撃者は、SAML レスポンス検証の弱点を用いて SAML 認証をバイパスし、不正アクセスを取得する可能性を手にする。

Salt Typhoon という中国由来の脅威アクター：Verizon／AT&T などのブロードバンド・プロバイダーに侵入

China-linked group Salt Typhoon hacked US broadband providers and breached wiretap systems

2024/10/06 SecurityAffairs — Verizon／AT&T／Lumen Technologies などの米国のブロードバンド・プロバイダーに侵入した、中国由来の APT グループ Salt Typhoon (別名 FamousSparrow／GhostEmperor) が、米政府のためのデータ盗聴システムにアクセスした可能性があるという。このニュースを独占的に報じた Wall Street Journal によると、このセキュリティ侵害は、きわめて大きなリスクをもたらすものとなる。それにより、国家安全保障に影響が生じる可能性もあるため、侵害の内容は公表されていないと、WSJ は述べている。専門家たちは、この脅威アクターの目的は情報収集にあると捉えている。

MS SQL Server に対する新たな攻撃キャンペーン：GotoHTTP でリモート・アクセスを狙っている

New MS-SQL Server Attack Campaign Leverages GotoHTTP for Remote Access

2024/10/05 SecurityOnline — セキュリティ保護されていないアカウントと脆弱なパスワードを狙う、MS SQL Server に対する新しい攻撃が、AhnLab Security Intelligence Center (ASEC) の専門家たちにより発見された。この悪意のキャンペーンで攻撃者は、正規のリモート管理ツール GotoHTTP を使用しているが、この種のオペレーターでが悪用されるのは、きわめて稀なツールである。

Okta が対処した CVE 採番前の脆弱性：セキュリティ対策の回避が生じる

Okta Patches Vulnerability Allowing Unauthorized Access

2024/10/04 SecurityOnline — 先日に Identity／Access 管理の大手 Okta は、有効な認証情報を持つ攻撃者に対して、重要なセキュリティ対策の回避を許してしまう脆弱性に対処した。この脆弱性は、Okta Classic 内の特定のコンフィグレーションに存在するものである。2024年7月のリリースに起因しているが、特定されたのは 9月27日である。

Foxit Reader の Use-After-Free の脆弱性 CVE-2024-28888 が FIX：PoC も公開

Critical Use-After-Free Vulnerability Discovered in Foxit Reader (CVE-2024-28888)

2024/10/04 SecurityOnline — Foxit Reader バージョン 2024.1.0.23997 に、深刻なセキュリティ脆弱性 CVE-2024-28888 (CVSS：8.8) が発見された。この use-after-free の脆弱性の悪用に成功した攻撃者は、被害者のシステム上での任意のコード実行の可能性を手にする。この脆弱性は、Cisco Talos のセキュリティ研究者 KPC により発見されものであり、その悪用を実証する PoC エクスプロイト・コードも公開されている。

Perfctl という洗練された Linux マルウェアを検出：Polkit の CVE-2021-4043 を悪用？

New Linux Malware ‘Perfctl’ Targets Millions by Mimicking System Files

2024/10/03 HackRead — Linux における 20,000 を超えるミスコンフィグを悪用して、世界中で数百万人を標的にする新たなマルウェアが、Aqua Nautilus のサイバー・セキュリティ研究者たちにより発見された。しばらくの間、このマルウェアは潜伏していたようだが、最近になって Nautilus のハニーポットを攻撃したことで、あらゆる Linux サーバを危険にさらす可能性の脅威として検出され、調査の機会が生まれた。

CISA KEV 警告 24/10/02：Ivanti EPM の CVE-2024-29824 の登録と PoC の提供

CVE-2024-29824: Critical Vulnerability in Ivanti Endpoint Manager Actively Exploited, PoC Published

2024/10/02 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Windows／macOS／Chrome OS／IoT などの環境の、クライアント・デバイス管理において広く使用されているプラットフォーム Ivanti Endpoint Manager (EPM) で、深刻な脆弱性が積極的に悪用されているとして緊急アラートを発行した。この脆弱性 CVE-2024-29824 (CVSS：9.6) により、Ivanti ソリューションに依存している組織に対して潜在的な脅威をもたらされる。

Vesta Control Panel ハッキング：ブルートフォースで Admin アカウントを侵害する PoC とは？

Vulnerability in Vesta Control Panel Exposes Admin Accounts

2024/10/02 SecurityOnline — Linux サーバの管理で多用される Web ベースのインターフェースである、Vesta Control Panel に深刻な脆弱性が存在することが、Fortbridge の Cloud Application Security Consultant である Adrian Tiron により判明した。この脆弱性の悪用に成功した攻撃者は、Bash の $RANDOM 変数のシード・エントロピー低下を介してで、管理者アカウントの乗っ取りを達成するという。

Microsoft Office の脆弱性 CVE-2024-38200：NTLMv2 ハッシュ・キャプチャの PoC が提供

0-Day Flaw CVE-2024-38200 in Microsoft Office Exposes NTLMv2 Hashes: PoC Exploit Released

2024/10/02 SecurityOnline — 2024年8月にゼロデイとして発見された脆弱性により、Microsoft Office ユーザーが危険にさらされている。先日に、Microsoft Office の深刻な情報漏えいの脆弱性 CVE-2024-38200 に関する、技術的な詳細と概念実証 (PoC) エクスプロイトが、セキュリティ研究者の Metin Yunus Kandemir により公開された。この脆弱性は、Office 2016／Office 2019／Office LTSC 2021／Microsoft 365 Apps for Enterprise など複数バージョンに影響を及ぼす。その悪用に成功した権限のない脅威アクターが、保護されている情報への不正アクセスを達成する可能性が生じており、セキュリティ専門家の間で懸念が高まっている。

Adobe Commerce／Magento の脆弱性 CosmicSting による被害：オンラインストアの５％が侵害

Thousands of Adobe Commerce e-stores hacked by exploiting the CosmicSting bug

2024/10/02 SecurityAffairs — Adobe Commerce の脆弱性 CosmicSting CVE-2024-34102 (CVSS：9.8) を悪用する複数の脅威アクターが、この３ヶ月間で 4,000 以上のオンライン・ストアを侵害したと、Sansec の研究者が報告している。この脆弱性は、XML External Entity Reference (XXE) の不適切な制限に起因し、任意のコード実行につながる恐れが生じる。細工された XML ドキュメントを送信し、そこから外部エンティティを参照する撃者は、この問題を悪用する可能性を手にする。さらに、この問題の悪用において、ユーザーの操作は必要ないと、専門家たちが指摘している。

Cloudflare が大規模 DDoS 攻撃を阻止：これまでの最大である 3.8 Tbps を記録

Cloudflare mitigated new record-breaking DDoS attack of 3.8 Tbps

2024/10/02 SecurityAffairs — Cloudflare の報告は、9月初旬から現在までの間に、100件以上の大規模な L3/4 DDoS 攻撃を緩和したというものだ。その攻撃の多くは、20億pps／3 Tbps を超え、ピーク時で 3.8 Tbps に達している。この値は、これまでに公表された中で最高値である。

Zimbra の脆弱性 CVE-2024-45519 への攻撃を確認：PoC 公開と CISA KEV 登録

Zimbra RCE Vuln Under Attack Needs Immediate Patching

2024/10/02 DarkReading — 先日に Zimbra が公表したのは、同社の SMTP サーバに存在する深刻なリモート・コード実行の脆弱性が、攻撃者により積極的に標的されている問題である。影響を受ける組織は、脆弱なインスタンスに対して、直ちにパッチを適用する必要がある。この脆弱性 CVE-2024-45519 は、電子メールのジャーナリングとアーカイブを操作する、Zimbra の postjournal service コンポーネントに存在する。このバグにより、認証されていないリモートの攻撃者は、脆弱性のあるシステム上で任意のコマンドを実行し、そのシステムを制御することが可能になる。先週に Zimbra は、影響を受けるバージョンのアップデートをリリースしたが、今のところ、この脆弱性の詳細については公表していない。

Visual Studio Code を悪用する攻撃を検出：Remote-Tunnels エクステンションで C2 通信

Stealthy Cyberattack Turns Visual Studio Code into a Remote Access Tool

2024/10/01 SecurityOnline — Visual Studio Code (VSCode) を悪用して、被害者のシステムに不正なリモートアクセスを確立する高度なサイバー攻撃を、Cyble Research and Intelligence Labs (CRIL) が発見した。この攻撃は、一般的な検出メカニズムを回避し、信頼できるソフトウェアを悪用することで、悪意のアクションを実行するという、高度なステルス性を発揮している。

CISA KEV 警告 24/09/30：D-Link／DrayTek／Motion Spell／SAP を追加

CISA Adds Four Actively Exploited Vulnerabilities to KEV Catalog

2024/09/30 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに４つのセキュリティ脆弱性を登録し、警鐘を鳴らしている。それが強調するのは、連邦政府機関における緊急性であり、積極的なサイバー脅威から身を守るために、パッチ適用と緩和策の優先を促すものだ。

Nintendo Mario Kart 8 Deluxe に脆弱性 CVE-2024-45200 (KartLANPwn)：PoC も提供

KartLANPwn (CVE-2024-45200) Exploits Mario Kart 8 Deluxe LAN Play Feature for RCE

2024/09/30 SecurityOnline — 大人気の Nintendo ゲーム “Mario Kart 8 Deluxe” に、深刻な脆弱性 CVE-2024-45200 (通称 KartLANPwn) が存在することが判明した。この脆弱性により、マルチプレイ・セッション中の何百万人ものプレイヤーが、リモート・コード実行 (RCE) のリスクにさらされる可能性が生じる。

JPCERT/CC：Windows Event Log からランサムウェアの痕跡を探すヒントを提供

JPCERT shares Windows Event Log tips to detect ransomware attacks

2024/09/30 BleepingComputer — Japan Computer Emergency Response Center (JPCERT/CC) が共有したのは、Windows Event Logs のエントリをベースにして、各種のランサムウェア撃を検出するためのヒントであり、それにより、進行中の攻撃がネットワークに拡散する前のタイムリーな検出を目指している。JPCERT/CC によると、この手法はランサムウェア攻撃に対応する際に有益であり、さまざまな可能性の中から攻撃ベクターを特定することで、タイムリーな緩和を支援するという。

新規の脅威アクター Storm-0501：オンプレからクラウドに侵入して Microsoft 365 アカウントを狙う

Ransomware attackers hop from on-premises systems to cloud to compromise Microsoft 365 accounts

2024/09/30 HelpNetSecurity — RaaS (ransomware-as-a-service) 組織の１つである Storm-0501 が、標的のクラウドとオンプレミスの環境を侵害していることが確認された。9月26日に公開したブログで Microsoft は、「最新の脅威アクターである Storm-0501 は、企業のオンプレミス環境からクラウド環境へと移動するために、脆弱な認証情報や過剰な特権のアカウントを悪用していることが確認された。彼らは認証情報を盗み、それを使ってネットワークを制御し、最終的にクラウド環境への持続的なバックドア・アクセスを確立する。そして、オンプレミスにランサムウェアを展開していた」と詳述している。

Linux Kernel の脆弱性 CVE-2024-26808 が FIX：PoC エクスプロイトも提供

CVE-2024-26808: PoC Exploit Shows Local Privilege Escalation Risk in Linux

2024/09/29 SecurityOnline — Linux kernel に存在する、新たな脆弱性 CVE-2024-26808 の技術的詳細と、PoC エクスプロイト・コードが公開された。この脆弱性は、Linux Kernel のバージョン v5.9〜v6.6 に影響を及ぼすものであり、先日のカーネル・コードベースへのコミットで対処されている。

イスラエル軍のサイバー攻撃：ベイルート空港管制塔の通信ネットワークをハッキング

Israel army hacked the communication network of the Beirut Airport control tower

2024/09/29 SecurityAffairs — 9月28日にイスラエルのサイバー軍は、ベイルートのラフィク・ハリリ国際空港の管制塔をハッキングした。MiddleEastMonitor が報じたところによると、イスラエル国防軍は管制塔の通信ネットワークに侵入し、着陸しようとしていたイランの民間機を脅迫したという。

英仏議会職員のデータが漏えい：約 3,191 人分の個人情報がダークウェブで販売

Data of 3,191 congressional staffers leaked in the dark web

2024/09/26 SecurityAffairs — インターネットセキュリティ企業 Proton と Constella Intelligence の最新調査によると、約 3,191 人の議会職員の個人情報がダーク・ウェブに漏洩したようだ。それらの漏洩したデータに含まれるものには、パスワード／IP アドレス／ソーシャル・メディア情報などがあるという。この情報を最初に報じた The Washington Times は、研究者たちが発見した 1,800 件以上のパスワードは議会職員が使用しているものとし、それらがダーク・ウェブで入手可能であるとしている。議会職員の5人に１人の個人情報がダーク・ウェブに漏洩したことになる。そして、10件を超える各種のインシデントで、約 300人の職員のデータが侵害されている。

GitLab の SAML 脆弱性 CVE-2024-45409：セキュリティ修正を拡張

GitLab backports fix for CVE-2024-45409 to older versions

2024/09/25 SecurityOnline — GitLab が 9月25日にリリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)／Enterprise Edition(EE) の全バージョンに影響を与える、深刻な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。セルフマネージド・インストールの管理者に対して強く推奨されるのは、新たにパッチが適用されたバージョン (16.10.10／16.9.11／16.8.10／16.7.10／16.6.10／16.5.10／16.4.7／16.3.9／16.2.11／16.1.8／16.0.10) へと直ちにアップグレードすることだ。これらのバージョンに含まれるのは、9月17日に GitLab バージョン 17.x.x/16.11.10 向けにリリースされたセキュリティ修正である。

SolarWinds WHD の脆弱性 CVE-2024-28987：PoC エクスプロイトが提供

PoC for critical SolarWinds Web Help Desk vulnerability released (CVE-2024-28987)

2024/09/26 HelpNetSecurity — SolarWinds Web Help Desk (WHD) の CVE-2024-28987 に関する詳細と PoC エクスプロイト・コードが公開された。この脆弱性は 2024年8月に修正されているが、その悪用に成功した攻撃者は認証を必要とすることなく、すべてのヘルプデスク・チケットの詳細をリモートで読み取り、変更する可能性を手にする。

Chrome の App-Bound 暗号化を回避：わずか２ヶ月で達成したインフォ・スティーラー群とは？

Infostealers Overcome Chrome’s App-Bound Encryption, Threatening User Data Security

2024/09/24 SecurityOnline — 悪名高いインフォ・スティーラーの開発者が、Chrome バージョン 127 で導入された App-Bound 暗号化機能の回避に成功したと発表し、サイバー・セキュリティにおける懸念が示されている。つまり、これらの悪意のあるツールは、以前は暗号化により保護されていた認証 Cookie を収集できるようになり、ユーザー・データのプライバシーに対する新たな脅威を生じている。

Ivanti vTM の脆弱性 CVE-2024-7593：CISA KEV への登録と PoC の悪用？

Critical Ivanti vTM auth bypass bug now exploited in attacks

2024/09/24 BleepingComputer — Ivanti に存在する別の重大なセキュリティ脆弱性に対して、CISA は新たにタグ付けした。この脆弱性の悪用に成功した攻撃者は、 Virtual Traffic Manager (vTM) アプライアンス上で不正な管理者ユーザーを作成できるため、積極的な攻撃において悪用されている。この認証バイパスの脆弱性 CVE-2024-7593 は、認証アルゴリズムの誤った実装により発生し、インターネットに公開されている vTM 管理パネル上において、リモート攻撃者による認証の回避を許すものだ。

AsyncRAT マルウェア：AI が生成する PowerShell スクリプトで配信

Hackers deploy AI-written malware in targeted attacks

2024/09/24 BleepingComputer — フランス語圏のユーザーを標的とするメール・キャンペーンで発見された、AsyncRAT マルウェアを配信する悪意のコードは、生成 AI サービスで作成されたと考えられている。生成 AI 技術は、サイバー犯罪者らにより、説得力のあるメールの作成に悪用されてきた。しかし、ベンダーが実装した保護策や制限にもかかわらず、AI ツールは悪意のソフトウェアの作成に悪用されていると、複数の政府機関が警告を発している。

イスラエルのレバノン侵攻と情報戦：以前から通信ネットワークに侵入していた？ – Al Jazeera

Did Israel infiltrate Lebanese telecoms networks?

2024/09/24 SecurityAffairs — 全面攻撃が差し迫っていることを理由にするイスラエルは、レバノン国民に対して、国内の特定地域から避難するよう警告するために、テキスト／ボイス・メッセージを送信し、無線ネットワークのハッキングを行っている。これらの警告の後に、レバノン南部と東部で大規模な爆撃があり、270人以上が犠牲となった。Al Jazeera によると、イスラエルの諜報機関は、長年にわたりレバノン国民のデータを収集してきたという。専門家たちは、イスラエルのサイバー軍が、レバノン全土の人々の、プライベートな通信の詳細にアクセスした可能性もあると推測している。

Google Play に潜む Necro というトロイの木馬：著名なアプリを感染させてユーザーを狙う

Necro Trojan Infects Google Play Apps With Millions of Downloads

2024/09/23 SecurityWeek — マルウェア対策ベンダーの Kaspersky の報告で判明したのは、公式 Google Play ストアにおいて、合計約1,100 万回もダウンロードされた２つのアプリが、トロイの木馬 Necro に感染していることだ。2019 年の時点でマルチステージ・ローダー Necro は、Google Play で１億回以上ダウンロードされた Phone PDF 作成アプリ CamScanner に感染し、その後に発見されている。

Tor Project がピンチ？ドイツの法執行機関が主張する匿名性剥奪の手法とは？

Tor Project responded to claims that law enforcement can de-anonymize Tor users

2024/09/20 SecurityAffairs — ドイツの法執行機関が主張する、ユーザーの匿名性を剥奪する手法の考案に対して、Tor プロジェクトのメンテナたちが反応している。ドイツのメディアによると、同国の法執行機関は匿名化ネットワークに侵入し、少なくとも１件のケースで犯罪者の正体を暴いたという。このドイツの法執行機関は、独自のサーバを運用することで、数ヶ月にわたり Tor ネットワークを監視してきた。ARD のPanorama と STRG_F が実施した調査では、監視中に収集されたデータは統計的手法を介して処理され、Tor の匿名性を事実上破っていることが明らかになった。

Ivanti CSA 4.6 の脆弱性 CVE-2024-8963：EoL へのパッチ提供と CISA KEV 登録

Critical Flaw in Ivanti CSA 4.6: CVE-2024-8963 Actively Exploited, Urgent Upgrade Required

2024/09/19 SecurityOnline — Ivanti が公表したのは、Ivanti Connect Secure Appliance (CSA) 4.6 に存在する重大な脆弱性のアドバイザリである。この脆弱性 CVE-2024-8963 (CVSS：9.4) に関しては、すでに積極的な悪用が確認されており、Ivanti CSA の EOL (End-of-Life) バージョンのユーザーに対して重大なリスクをもたらしている。

Veeam の脆弱性 CVE-2023-27532 を悪用：Phobos ランサムウェアがナイジェリアを攻撃

Ransomware Groups Exploit Veeam Flaw CVE-2023-27532 in Nigerian Cyber Infrastructure

2024/09/19 SecurityOnline —

ナイジェリアの Computer Emergency Response Team (ngCERT) が、9月13日に緊急アドバイザリを公開した。この勧告は、ナイジェリア全土の重要なシステムを標的にするランサムウェア・グループに関するものであり、Veeam Backup and Replication (VBR) の深刻度の高い脆弱性 CVE-2023-27532 (CVSS 7.5) に焦点を当てたものとなっている。この脆弱性は、ナイジェリアのサイバー空間における最近のランサムウェア攻撃において、すでに悪用が確認されており、その中には Phobos ランサムウェア・グループによる巧妙なインシデントも含まれる。

Fortinet EMS の脆弱性 CVE-2023-48788：悪用に関する詳細が公開 – Darktrace

CVE-2023-48788 Exploited: Researcher Details Cyberattacks on Fortinet EMS

2024/09/19 SecurityOnline — Fortinet FortiClient EMS の脆弱性に対する、サイバー犯罪者による悪用を詳述するレポートが、Darktrace のサイバーセキュリティ研究者から発表された。同レポートでは、特に CVE-2023-48788 という重大な脆弱性に焦点を当て、さまざまな環境で観測された巧妙な攻撃チェーンと悪用後の戦術の概要が詳述されている。エンドポイント・セキュリティの集中管理に広く使用されている、FortiClient EMS に存在する SQLインジェクション脆弱性 CVE-2023-48788 は、は、CVSS スコア 9.8 と評価されている。

Ivanti CSA の脆弱性 CVE-2024-8190 と PoC の提供：CISA KEV にも登録

PoC Exploit Releases for Exploited Vulnerability CVE-2024-8190 in Ivanti Cloud Services Appliance

2024/09/19 SecurityOnline — Ivanti Cloud Services Appliance に存在する、OS コマンド・インジェクションの脆弱性 CVE-2024-8190 に対する PoC エクスプロイト・コードが公開され、デバイスのアップデートが急務となっている。 PoC エクスプロイトを公開した Horizon3.ai のセキュリティ研究者である Zach Hanley は、この脆弱性を詳細に調査し、ミスコンフィグされたネットワークが、組織に重大なリスクをもたらす可能性があることを明らかにした。

Earth Baxia サイバー・スパイ：GeoServer の CVE-2024-36401 を武器にして APAC を狙う

Sophisticated Cyber Espionage: Earth Baxia Uses CVE-2024-36401 and Cobalt Strike to Infiltrate APAC

2024/09/19 SecurityOnline — サイバースパイ集団 Earth Baxia が、洗練されたスピアフィッシング攻撃と、GeoServer の脆弱性 CVE-2024-36401 の悪用を通じて、台湾の政府機関や APAC 諸国を標的にしていることが、最近の Trend Micro のレポートにより判明した。この攻撃は、通信／電力／政府などの主要セクターに侵入する、従来からの継続的な取り組みの一環だとされる。

ヒズボラの通信デバイスを爆発させた組織：その驚異的な諜報能力とは？ – 元 NSA 長官

Device detonations reveal ‘incredible’ intelligence abilities: ex-NSA chief

2024/09/19 NextGov — ヒズボラの数千台ものデバイスが爆発したことについて、9月19日 (水) に元 NSA 長官が語ったことは、イスラエルの驚くべき情報収集能力を示すと同時に、世界のサプライチェーンが抱える潜在的な脆弱性を浮き彫りにするものだ。National Security Agency 局長と、U.S. Cyber Command 指揮官を歴任してきた Paul Nakasone は、「犯人たちは、標的を定めて情報収集する驚くべき能力を持ち、実際にデバイスのシリアル番号を把握し、それを保有する人物と、それが使用される周期を掌握していた」と語っている。

Windows MSI Installers の脆弱性 CVE-2024-38014 が FIX：以前からの積極的な悪用とは？

Researchers Detail CVE-2024-38014 0-Day Vulnerability in Windows MSI Installers Exploited in the Wild

2024/09/18 SecurityOnline — Microsoft Windows MSI インストーラーに影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38014 が発見され、パッチ未適用のバージョンが悪用されていると、SEC Consult Vulnerability Lab のセキュリティ研究者 Michael Baer は分析している。この重大な脆弱性の悪用に成功した攻撃者は、SYSTEM 権限への昇格を達成する。また、この脆弱性は、MSI インストーラーの修復機能に関係しており、最近の修正プログラムが Microsoft から公開される以前において、積極的に悪用されていたという。

Chrome V8 JavaScript のゼロデイ脆弱性 CVE-2024-7965：PoC エクスプロイトが提供

PoC Exploit Released for CVE-2024-7965 Zero-Day Chrome Vulnerability

2024/09/18 SecurityOnline — 先日に発見された Chrome V8 JavaScript エンジンのゼロデイ脆弱性 CVE-2024-7965 に対する、技術的な詳細と PoC エクスプロイトが公開された。BI.ZONE の専門家が分析したところ、この重大な欠陥は、特に Android スマートフォンと macOS ラップトップにとって、深刻な脅威になり得るという。

CISA KEV 警告 24/09/18：Apache／Microsoft／Oracle の脆弱性を登録

CISA Warns of Actively Exploited Apache, Microsoft, and Oracle Vulnerabilities

2024/09/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、世界中の政府の機関／組織に対して警告を発している。新たに特定された、それらの５つ脆弱性は、悪意の攻撃者により積極的に悪用されているものだ。CISA の KEV カタログに追加された脆弱性は、一般的なソフトウェアに対する悪用が確認されたものであり、パッチが適用されていないシステムに深刻なリスクをもたらす。

CISA／FBI の共同アラート：XSS バグの排除へ向けたアドバイスを公開

CISA Issues Advice to Help Eliminate XSS Bugs

2024/09/18 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と FBI は、最も一般的なソフトウェア脆弱性の１つを排除するコーディングの、ベスト・プラクティスに関する認識を高めることを目的とした、共同の Secure by Design Alert を公開した。9月18日に公開された、同アラート “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” は、ソフトウェアに現れる XSS (cross-site scripting )バグの数を減らすことを目的としている。

macOS カレンダーのゼロクリック RCE 脆弱性：連鎖により iCloud データが流出

Zero-Click RCE Bug in macOS Calendar Exposes iCloud Data

2024/09/18 DarkReading — macOS に存在する、複数のゼロクリック脆弱性を連鎖させることに成功した攻撃者は、 macOS のセキュリティ保護を弱体化させ、被害者の iCloud データへの侵害を可能にすることが判明した。この一連の攻撃は、カレンダーのイベントに添付されたファイルの、サニタイズ処理の欠如から始まる。そこから、攻撃者は標的のシステム上でリモート・コード実行 (RCE) を達成し、機密データにアクセスできることが、研究者の Mikko Kenttala により発見された。

GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX：直ちにアップデートを！

GitLab releases fix for critical SAML authentication bypass flaw

2024/09/18 BleepingComputer — GitLab リリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)／Enterprise Edition(EE) のセルフマネージド・インストールに影響を与える、重大な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。SAML (Security Assertion Markup Language) とは、ユーザーが同じ認証情報を使用して異なるサービスにログインするための、SSO (Single Sign-On) 認証プロトコルである。脆弱性 CVE-2024-45409 は、GitLab が SAML ベースの認証を処理するために使用している、OmniAuth-SAML／Ruby-SAML ライブラリの問題に起因する。

Veeam Backup & Replication の RCE 脆弱性 CVE-2024-40711：PoC エクスプロイトが提供

PoC Exploit Releases for Unauthenticated RCE CVE-2024-40711 in Veeam Backup & Replication

2024/09/17 SecurityOnline — Veeam Backup & Replication の脆弱性 CVE-2024-40711 (CVSS：9.8) に対する分析と PoC エクスプロイト・コードが、watchTowr のセキュリティ研究者である Sina Kheirkhah (@SinSinology) から公開された。この脆弱性は、リモート・コード実行 (RCE) の脆弱性と説明されており、Veeam Backup & Replication 12.1.2.172 以下を実行しているユーザー企業の環境に、深刻な脅威をもたらすものだ。

AutoGPT の脆弱性 CVE-2024-6091 (CVSS 9.8) が FIX：PoC エクスプロイトが提供

166k+ Projects at Risk: AutoGPT’s Critical Vulnerability Explained – CVE-2024-6091 (CVSS 9.8)

2024/09/16 SecurityOnline — インテリジェント・エージェントによるタスク自動化を目的に設計された、パワフルな AI ツール AutoGPT に、重大なセキュリティ脆弱性が発見された。AutoGPT は、その複雑な操作を効率化する機能で高い評価を得ており、GitHub では 166,000 件以上のスターを獲得している。しかし、CVSS スコア 9.8 という、きわめて深刻な OS コマンドインジェクション脆弱性 CVE-2024-6091 が報告され、シェルコマンド実行機能に関するセキュリティ上の懸念が浮上している。

CISA KEV 警告 24/09/16：Windows の CVE-2024-43461 が情報窃取で悪用

CISA warns of Windows flaw used in infostealer malware attacks

2024/09/16 BleepingComputer — CISA は米国の連邦政府機関に対して、先日に修正された Windows の MSHTML スプーフィング・ゼロデイバグ CVE-2024-43461 から、システムを保護するよう命じた。このバグは、Void Banshee APTハッキング・グループにより悪用されている。この脆弱性 CVE-2024-43461 は、2024年9月の Patch Tuesday 公開されたものだが、その時点では攻撃で悪用されていないものとして、Microsoft は分類していた。しかし、Microsoft は 9月13日 (金) にアドバイザリを更新し、修正される以前から攻撃で悪用されていたことを認めた。

Medusa の活動が拡大：Fortinet CVE-2023-48788 の悪用と OSINT を装うサービスの展開

Medusa Exploits Fortinet Flaw (CVE-2023-48788) for Stealthy Ransomware Attacks

2024/09/14 SecurityOnline — Medusa ランサムウェア・グループは、執拗な攻撃を継続しているだけではなく、ダークウェブ／サーフェスウェブの双方において独自の基盤を確立していると、Bitdefender の最新のレポートが指摘している。他のランサムウェア・グループに対する Medusa の相違点は、サーフェスウェブ上で Name and Shame (名指し非難) ブログを運営するところにある。そのブログには、従来のダークウェブのリークサイトと同様に、被害者に関する情報が投稿されている。

Oracle Weblogic を悪用する Linux マルウェア・キャンペーン：暗号通貨マイナーを展開

New Linux Malware Campaign Exploits Oracle Weblogic to Mine Cryptocurrency

2024/09/13 TheHackerNews — Linux 環境を標的にして、不正な暗号通貨マイニングを実行する、新たなマルウェア・キャンペーンが発見された。クラウドセキュリティ企業 Aqua によると、特に Oracle Weblogic サーバを標的とするアクティビティは、Hadooken と呼ばれるマルウェアを配信するようだ。Aqua のセキュリティ研究者である Assaf Moran は、「Hadooken が実行されると、Tsunami マルウェアがドロップされ、暗号マイナーが展開される」と説明している。

Apache OFBiz の RCE 脆弱性 CVE-2024-45195：PoC リリース後の積極的な攻撃を観測

Hackers target Apache OFBiz RCE flaw CVE-2024-45195 after PoC exploit released

2024/09/12 SecurityOnline — Apache OFBiz の脆弱性 CVE-2024-45195 が明らかになった以降において、4,000 の固有サイトを標的とする、25,000 件を超える悪意のあるリクエストが検出されたと、Imperva のレポートが指摘している。これらの攻撃は、主に金融サービス業界 (FSI) とビジネス部門を標的としており、悪意のボットと Go で書かれたカスタムのエクスプロイト・ツールで脆弱なシステムを探った後に、脆弱性を悪用しているとのことだ。この脆弱性の悪用に成功した攻撃者は、マルウェアの展開や機密データの窃取などを達成し、業務を妨害している。