CyberAttack – Page 17 – IoT OT Security News

2024年上半期のサイバー脅威レポート：Email 攻撃が 293% 増 – Acronis

2024/08/06 HelpNetSecurity — Acronis の “Cyberthreats Report H1 2024” によると、2024年上半期の電子メール攻撃は、2023年の同時期と比較して 293% も急増した。ランサムウェアの検出数も増加傾向にあり、2023年 Q1〜2024年 Q1 で32% 増加している。

2024年サイバー・リスク調査：セキュリティ戦略を強化する方策を考える – Critical Start

86% of Firms Identify Unknown Cyber-Risks as Top Concern

2024/08/05 InfoSecurity — 8月5日に公開された Critical Start 2024 Cyber Risk Landscape Peer Report によると、回答者であるセキュリティ専門家たちの 86％が、未知のサイバーリスクを最大の懸念事項として挙げているようだ。この、Critical Start と Censuswide との共同レポートで懸念として挙げられているのは、66％の企業がサイバー・リスクのプロファイルに対する見解が乏しいと感じ、65％の経営幹部がサイバーセキュリティ投資とリスク削減の優先順位にズレを感じている点である。

Windows の深刻な脆弱性 “Leaked Wallpaper” CVE-2024-38100：PoC が提供された

CVE-2024-38100: Leaked Wallpaper Exploit Exposes Windows Users to Privilege Escalation Attacks

2024/08/04 SecurityOnline — Microsoft が最新のセキュリティ情報で公表したのは、Windows のファイル・エクスプローラーにおける、深刻な脆弱性を CVE-2024-38100 (CVSS：7.8) の情報である。この脆弱性は、Semperis の Andrea Pierini により発見され、研究者 Michael Zhmaylo により “Leaked Wallpaper” と名付けられた。この特権昇格の脆弱性の悪用に成功した攻撃者は、たとえ低特権アカウントからであっても、管理者権限の取得を達成する。また、どのセッションからでも、他のユーザーの NetNTLM ハッシュの漏洩を可能にする。

SLUBStick クロス・キャッシュ攻撃：Linux Kernel への影響が実証された

Linux kernel impacted by new SLUBStick cross-cache attack

2024/08/04 BleepingComputer — SLUBStick と名付けられた Linux Kernel クロス・キャッシュ攻撃により、影響が限定されるヒープ関連の脆弱性が、任意のメモリ Read／Write 機能に変換されるという。研究者たちによると、それは 99％のレベルで成功しており、特権昇格やコンテナ・エスケープにいたることが実証されているようだ。この発見は、グラーツ工科大学の研究者チームによるものであり、32-Bit と 64-Bit システムで９件の既存の CVE を使用し、Linux Kernel バージョン 5.9／6.2 で攻撃を実証し、高い汎用性を示した。

National Public Data のデータ侵害：30億人の個人情報の流出と集団訴訟

Hackers attempt to sell the personal data of 3 billion people resulting from an April data breach

2024/08/04 SecurityAffairs — National Public Data と連携して活動する Jerico Pictures Inc が、2024年4月に発生したデータ流出インシデントにおいて、約 30億人の個人情報を流出させたと訴える、集団訴訟案が提出された。4月8日のことだが、USDoD と名乗る脅威アクターが、ダークウェブ・フォーラムで National Public Data のデータベースを販売すると発表した。USDoD は29億人分の個人データを販売するとし、$3,500,000 という価格を設定した。

Facebook の偽広告に御用心：600以上の詐欺キャンペーン・サイトが発見された

E-Commerce Fraud Campaign Uses 600+ Fake Sites

2024/08/01 InfoSecurity — 悪意の Facebook 広告を通じて偽の Web ショップへと被害者を誘い込む、巧妙な情報窃取詐欺ネットワークが、Recorded Future のセキュリティ研究者たちにより発見された。このキャンペーンが “Eriakos” と名付けられたのは、脅威アクターが使用する CDN (content delivery network) に由来している。

Cloudflare Tunnel を悪用したマルウェア・キャンペーンが展開されている – Proofpoint

Hackers abuse free TryCloudflare to deliver remote access malware

2024/08/01 BleepingComputer — Cloudflare Tunnel サービスを悪用して RAT (Remote Access Trojans) を配信する、マルウェア・キャンペーンの拡大について、研究者たちが警告を発している。このサイバー犯罪活動は、2024年2月に検出されたものであり、TryCloudflare の無料サービスを悪用することで、AsyncRAT／GuLoader／VenomRAT／Remcos RAT／Xworm などの複数の RAT を配布している。

Apache OFBiz の脆弱性 CVE-2024-32113 が FIX：悪意のスキャンと CISA KEV 登録

Actively Exploited Apache OFBiz Flaw Triggers Urgent Security Alert

2024/07/31 SecurityOnline — Apache OFBiz の脆弱性 CVE-2024-32113 に対するスキャン試行が、この数週間で驚くほど増加していることを、セキュリティ研究者たちが確認している。この欠陥は、パス・トラバーサル問題と説明されており、脆弱なバージョンのソフトウェアを実行しているシステムにおいて、攻撃者に悪意のリモート・コード実行を許す可能性があり、重大なリスクをもたらすとされる。

VMware ESXi の脆弱性 CVE-2024-37085：20,000 台以上のサーバが危険に晒されている

VMware ESXi Vulnerability Exposes Thousands of Servers to Ransomware

2024/07/31 SecurityOnline — VMware ESXi の認証バイパスの脆弱性 CVE-2024-37085 について、サイバー犯罪者による積極的な悪用が報じられ、主要なセキュリティ組織から警告が発せられている。しかし、その一方では、依然として数千台のサーバが、ランサムウェア攻撃に対して脆弱な状態を晒し続けている。Shadowserver は、20,275台もの ESXi インスタンスが、CVE-2024-37085 に対して脆弱であると特定している。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムの完全な制御が可能となり、壊滅的なランサムウェア攻撃や大規模なデータ窃取の可能性を手にする。

OpenAM の脆弱性 CVE-2024-41667 が FIX：PoC エクスプロイトも提供

CVE-2024-41667: OpenAM Vulnerability Exposes Authentication Systems to Critical Risk

2024/07/31 SecurityOnline — 包括的なアクセス管理ソリューションである Open Identity Platform の OpenAM に、深刻な脆弱性 CVE-2024-41667 (CVSS：8.8) が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステム上で任意のコードの実行が可能になる。その結果として、OpenAM を活用することで、認証／Single Sign-On (SSO)／認可／フェデレーション／エンタイトルメント／Web サービスなどの、セキュリティに対応している組織にとって重大な脅威が生じる。

Microsoft Azure の新たな問題：DDoS と内部エラーによる大規模障害が発生

Double Trouble: DDoS and Internal Errors Cause Major Microsoft Azure Outage

2024/07/30 SecurityOnline — 7月29日に、クラウド・コンピューティング・サービス Microsoft Azure に障害が発生した。周知のとおり、大量のユーザーを抱える Microsoft 365 も Microsoft Azure 上で稼働しているため、OneDrive／Outlook などの Microsoft 365 の全サービスが、この障害の影響を受けることになった。

Dark Anels ランサムウェア：Fortune 50 企業から過去最高額の身代金 $75M を受領

Dark Angels ransomware receives record-breaking $75 million ransom

2024/07/30 BleepingComputer — ある Fortune 50 企業が、Dark Angels ランサムウェア・グループに対して、これまでの最高額である $75M という身代金を支払ったことが、2024 Zscaler Ransomware Report により明らかになった。Zscaler のレポートには、「2024年の初旬に、Dark Angels に $75M を支払った被害者を発見した。これは、公に知られている、どの金額よりも高額である。したがって、彼らの戦術に興味を持ち、それを採用することで、このような成功を再現しようとする攻撃者が増えていくだろう」と述べている。

GeoServer の RCE 脆弱性 CVE-2024-36401：PoC の公開と活発な悪用

Critical GeoServer RCE Flaw CVE-2024-36401 Actively Exploited, 6,284 Instances Vulnerable

2024/07/30 SecurityOnline — GeoServer の、インターネットに公開されている 6,284 のインスタンスが、リモート・コード実行攻撃に対して脆弱であることを、セキュリティ脅威監視プラットフォーム Shadowserver が明らかにした。この脆弱性 CVE-2024-36401 は、6月30日に公開された以降において、脅威アクターたちにより、活発に悪用されていることが確認されている。

CISA KEV 警告 24/07/30：VMware ESXi の脆弱性 CVE-2024-37085 を登録

CISA Adds Vmware Esxi Bug To Its Known Exploited Vulnerabilities Catalog

2024/07/30 SecurityAffairs — 米国の CISA は、VMware ESXi に存在する認証バイパスの脆弱性 CVE-2024-37085 (CVSS：6.8) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。その一方で、7月29日に Microsoft が公表したのは、先日にパッチ適用された VMware ESXi の脆弱性 CVE-2024-37085 を、複数のランサムウェア・グループが悪用しているという警告である。

Google Authenticator の偽広告に御用心：マルウェアを拡散する悪質なキャンペーンが発覚

Fake Google Authenticator Ads Spread Malware Through Google Search

2024/07/30 SecurityOnline — Google を装う脅威アクターたちが、Google Authenticator の偽広告を通じてマルウェアを拡散するという悪質なキャンペーンを、Malwarebytes Labs のサイバー・セキュリティ研究者が発見した。

OpenSSH の脆弱性 regreSSHion CVE-2024-6387：macOS ユーザーにも危険が迫っている

Critical OpenSSH Vulnerability “regreSSHion” Threatens macOS Users

2024/07/29 SecurityOnline — Apple が認めたのは、regreSSHion (CVE-2024-6387) と呼ばれる深刻な OpenSSH の脆弱性が、macOS システムにも存在することだ。この、認証を必要としないリモートコード実行 (RCE) の脆弱性を悪用する攻撃者は、標的とするサーバへの完全なルート・アクセスを取得し、深刻なセキュリティ・リスクをもたらす可能性を手にする。

ImageMagick AppImage の脆弱性が FIX：PoC エクスプロイトも提供

ImageMagick AppImage Vulnerability Opens Door to Arbitrary Code Execution

2024/07/29 SecurityOnline — 幅広い業界で使用されているイメージ処理ライブラリ ImageMagick は、その AppImage バージョンで発見された脆弱性について、ユーザーにセキュリティ勧告を発している。この脆弱性の悪用に成功した攻撃者は、標的とするシステム上で任意のコード実行を可能にし、データ漏洩／システム侵害などの、悪意の行為を引き起こす可能性を得る。

CISA KEV 警告 24/07/29：ServiceNow／Acronis Cyber Infrastructure の脆弱性を登録

Actively Exploited ServiceNow and Acronis Vulnerabilities Pose Significant Threats to Government and Private Sectors

2024/07/29 SecurityOnline — 米国 CISA は、KEV (Known Exploited Vulnerabilities) カタログに、３件の脆弱性 (CVE-2024-4879／CVE-2024-5217／CVE-2023-45249) を追加した。これらの脆弱性は、ServiceNow Now Platform と Acronis Cyber Infrastructure (ACI) サーバに存在するものであり、政府機関と民間企業の両方に重大なリスクをもたらしている。

VMware ESXi への認証バイパスの攻撃：複数のランサムウェアが悪用 – Microsoft

Microsoft: Ransomware gangs exploit VMware ESXi auth bypass in attacks

2024/07/29 BleepingComputer — VMware ESXi の認証バイパスの脆弱性を悪用するランサムウェア集団が、積極的な攻撃を展開していると、Microsoft が警告している。この Medium レベルの脆弱性 CVE-2024-37085 は、Microsoft のセキュリティ研究者である Edan Zwick／Danielle Kuznets Nohi／Meitar Pinto により発見され、6月25日にリリースされた ESXi 8.0 U3 で修正されている。このバグを悪用する攻撃者は、ESX Admins グループを作成し、新規ユーザーの追加を可能にするものであり、それらのユーザーに対しては、ESXi ハイパーバイザー上の完全な管理者権限が自動的に割り当てられるという。

Proofpoint の脆弱性 EchoSpoofing：フィッシング・キャンペーンに悪用されている

Phishing Campaign Exploited Proofpoint Email Protections for Spoofing

2024/07/29 SecurityWeek — Proofpoint のメール保護サービスの脆弱性を悪用し、有名企業に成りすますフィッシング・キャンペーンが展開されていることが、Guardio Labs のレポートにより明らかになった。このキャンペーンでは、１日あたり数百万通のフィッシング・メッセージが配信されている。攻撃者たちは、Proofpoint を悪王することで、フィッシング・メッセージが本物であるように見せかけている。彼らは、過剰なアクセス許可を与えるという、Proofpoint のミス・コンフィグを悪用することで、電子メールのセキュリティ保護を回避しているという。

OAuth と XSS のコンボ攻撃：数百万人の Web ユーザーをアカウント乗っ取りで脅かす

OAuth+XSS Attack Threatens Millions of Web Users With Account Takeover

2024/07/29 DarkReading — Web ユーザーの行動を追跡／記録するサービスの Hotjar と、人気のニュース・サイト Business Insider の API に、重大なセキュリティ欠陥が存在することが判明した。最新の認証規格が悪用され、長年の脆弱性が復活させられたことで、数百万人のユーザーがアカウント乗っ取りの危険にさらされている。API のセキュリティ会社である Salt Security の Salt Labs が、7月29日に公開したブログによると、認証規格の OAuth と、２つのサイトの XSS (cross-site scripting) の欠陥を組み合わせることで、攻撃者は機密データの窃取が可能になり、100万以上の Web サイトの正規ユーザーを装う悪質な活動の可能性が生じているという。

Raspberry Pi RaspAP の脆弱性 CVE-2024-41637 が FIX：PoC が提供

RaspAP Vulnerability: Root Access at Risk for Raspberry Pi Users

2024/07/29 SecurityOnline — Raspberry Pi デバイスを無線アクセス・ポイントにする人気のオープンソース・ツール RaspAP に、重大な脆弱性 CVE-2024-41637 が存在することが、セキュリティ研究者の Zonifer により発見された。この脆弱性の悪用に成功したローカルの攻撃者は、標準ユーザーから root ユーザーへの権限の昇格が可能になり、Raspberry Pi の完全な制御を奪う可能性を得る。

Apache Superset の脆弱性 CVE-2024-34693 が FIX：PoC エクスプロイトも提供

CVE-2024-34693: Apache Superset Arbitrary File Read Vulnerability, PoC Published

2024/07/28 SecurityOnline — Apache Software Foundation は、Apache Superset に存在する任意ファイル読み取りの脆弱性 CVE-2024-34693 に対処する、セキュリティ更新プログラムをリリースした。この脆弱性は、Apache Superset 内の MariaDB プロトコル実装における不適切な入力検証に起因し、バージョン 3.1.3 未満/4.0.0 に影響を及ぼすものだ。攻撃者は、local_infile パラメータを有効化し、MariaDB 接続を作成することで、この脆弱性の悪用を試行できる。

Cisco 製品の RADIUS プロトコルの脆弱性：PoC の提供と迅速なパッチ適用の必要性！

Cisco Confirms Critical RADIUS Protocol Vulnerability in Multi Products: Patch Now!

2024/07/28 SecurityOnline — Cisco が公表したのは、ネットワーク・アクセス用の認証／認可フレームワークとして広く使用されている、RADIUS プロトコルに存在する重大な脆弱性 CVE-2024-3596 のセキュリティ・アドバイザリである。この脆弱性により、攻撃者は多要素認証 (MFA：multi-factor authentication) をバイパスし、ネットワークに不正にアクセスする可能性を得る。

サイバー攻撃 2024 Q2 調査：BEC 攻撃とランサムウェアがトップの脅威に

Cyberattacks Soar in Q2 2024: BEC and Ransomware Dominate

2024/07/28 SecurityOnline — Cisco Talos Incident Response (TalosIR) のレポートによると、2024年 Q2 はサイバー攻撃が急増し、ビジネス・メール侵害 (BEC：Business email compromise) とランサムウェアが主要な脅威として浮上している。この２種類の攻撃は、記録されたインシデント全体の 60％を占めている。BEC 攻撃の件数は、2024年 Q1 よりも減少してはいるが、依然として大きな脅威であることに変わりはない。その一方で、ランサムウェア攻撃は若干増加し、以前から知られている Black Basta や BlackSuit に加えて、Mallox や Underground Team が出現した。

Selenium Grid サーバのミス・コンフィグ：Monero マイニングに悪用されている

Misconfigured Selenium Grid servers abused for Monero mining

2024/07/28 BleepingComputer — 人気の Web アプリのテスト・フレームワークである、Selenium Grid のミスコンフィグを悪用する脅威アクターたちが、改ざんされた XMRig ツールを展開し、Monero 暗号通貨を不正マイニングしている。Selenium Grid はオープンソースであり、複数のマシンやブラウザにわたってテストを自動化する環境を、開発者に提供するものだ。クラウド環境で使用され、Docker Hub では１億以上のプルがある。

lr-utils-lib という悪意の PyPI パッケージ：macOS 開発者から Google Cloud の認証情報を窃取

Targeted PyPi Package Steals Google Cloud Credentials from macOS Devs

2024/07/27 DarkReading — macOS ユーザーの一部から Google Cloud Platform の認証情報を盗み出す、かなり奇妙な悪意の Python コードのパッケージを、研究者たちが発見した。Checkmarx の 7月26日のブログによると、このパッケージ “lr-utils-lib” は、6月初旬の時点で Python Package Index (PyPI) にアップロードされたものだが、セットアップ・ファイルに悪意のコードを隠し持っていた。そのコードは、macOS システム上で実行されていることをチェックし、続いて、システムの IOPlatformUUID をチェックする。この値は、特定の Mac コンピュータを識別するために使用されるものである。

Acronis の脆弱性 CVE-2023-45249 が FIX：ユーザー操作を必要としない攻撃が発生

Acronis warns of Cyber Infrastructure default password abused in attacks

2024/07/26 BleepingComputer — Acronis が顧客に発している警告は、インフラストラクチャの重要なセキュリティ上の欠陥に、パッチを適用するよう促すものである。デフォルトの認証情報を用いる攻撃者が、この脆弱性 CVE-2023-45249 の悪用に成功すると、欠陥のあるサーバの認証がバイパスされることになる。Acronis Cyber Protect (ACI) は、マルチテナント型の統合プラットフォームであり、リモート・エンドポイント管理／バックアップ／仮想化機能などを連携させるものだ。さらに、ディザスタ・リカバリのワークロードを実行し、企業のバックアップ・データを安全に保存する。

CrowdStrike への侵入に成功した：ハクティビスト集団 USDoD の主張の信憑性は？

CrowdStrike Data Leak Claims Spark Concern, Hacktivist Credibility Questioned

2024/07/25 SecurityOnline — 2024年7月24日に、ハクティビスト集団の USDoD が、大手サイバー・セキュリティ企業 CrowdStrike への侵入に成功したと、サイバー犯罪フォーラム BreachForums を通じて発表した。USDoD は、CrowdStrike が保有する “全脅威アクター・リスト” と、それに付随する “侵害指標（IOC）” を流出させたと主張し、さらなる公開を近日中に行うとしている。

ServiceNow の脆弱性 CVE-2024-4879：PoC を利用する脅威アクターたちの標的に！

Critical ServiceNow RCE flaws actively exploited to steal credentials

2024/07/25 BleepingComputer — ServiceNow の公開されているエクスプロイトを悪用して連鎖させ、政府機関や民間企業に侵入してデータを盗む攻撃を、脅威アクターたちが展開している。この悪質な活動は Resecurity により報告され、１週間の監視期間を経た結果、政府機関／データセンター／エネルギー／プロバイダー／ソフトウェア開発企業など、複数の被害者が存在することが特定された。2024年7月10日に ServiceNow から、この脆弱性に対するセキュリティ・アップデートがリリースされたが、数万台のシステムが攻撃に対して、潜在的に脆弱な状況を引きずっている。

Microsoft SmartScreen の脆弱性 CVE-2024-21412：マルウェア拡散に悪用されている

Hackers Exploit Microsoft Defender Smartscreen Bug CVE-2024-21412 To Deliver Acr, Lumma, And Meduza Stealers

2024/07/25 SecurityAffairs — 脆弱性 CVE-2024-21412 (CVSS：8.1) を悪用して、ACR Stealer／Lumma／Meduza などの情報スティーラーを拡散するマルウェア・キャンペーンが、Fortinet FortiGuard Labs の研究者たちにより発見された。悪用が観測された CVE-2024-21412 は、Microsoft Windows SmartScreen に存在する脆弱性であり、インターネット・ショートカット・ファイルのセキュリティ機能バイパスの欠陥だとされる。

Windows Hello for Business に脆弱性：導入方法の弱点を突く PoC が公開

Critical Vulnerability in Windows Hello for Business Discovered by Researcher

2024/07/24 SecurityOnline — Microsoft の Windows Hello for Business (WHfB) 認証システムに存在する深刻な脆弱性を、研究者である Yehuda Smirnov が発見した。これまで、無敵と考えられていたバイオメトリック・セキュリティの信頼性に対して、彼の発見は疑問を投げかけるものだ。WHfB とは、2016年の時点で Windows 10 の商用／企業バージョンに導入されたものであり、フィッシング攻撃に対する防波堤として設計されている。このシステムは、コンピュータの TPM (Trusted Platform Module) に埋め込まれた暗号キーを採用し、生体認証または暗証番号により起動するものだ。しかし、Accenture の倫理的ハッカーで構成される Red Team の一員である Yehuda Smirnov が、認証要求のパラメーターを変更することで、この防御の回避が可能になることを発見した。

GitHub 上の 3,000以上の偽アカウントで構成される DaaS：マルウェア配布で成功している

Over 3,000 GitHub accounts used by malware distribution service

2024/07/24 BleepingComputer — Stargazer Goblin として知られる脅威アクターが作成したのは、GitHub 上の 3,000以上の偽アカウントで構成される Distribution-as-a-Service (DaaS) であり、そこから情報スティーラー・マルウェアをプッシュしているという。このマルウェア配信サービスは Stargazers Ghost Network と呼ばれ、GitHub リポジトリと侵害済みの WordPress サイトを利用して、パスワード保護されたアーカイブを配布するが、その中にマルウェアが含まれている。ほとんどのケースにおいて、そこから配布されるマルウェアは、RedLine／Lumma Stealer／Rhadamanthys／RisePro／Atlantida Stealer などのインフォ・スティーラーである。

CISA KEV 警告 24/07/23：Internet Explorer と Twilio Authy の脆弱性を登録

U.S. CISA Adds Microsoft Internet Explorer And Twilio Authy Bugs To Its Known Exploited Vulnerabilities Catalog

2024/07/24 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、以下の脆弱性を Known Exploited Vulnerabilities（KEV）カタログに追加した：

CVE-2012-4792：Microsoft Internet Explorer の Use-After-Free 脆弱性
CVE-2024-39891：Twilio Authy 情報漏洩の脆弱性

1Panel に SQLi の脆弱性 CVE-2024-39911 (CVSS:10) が FIX：早急なパッチ適用を

1Panel Users Urged to Patch After Critical SQLi Flaws (CVE-2024-39911, CVSS 10) Discovered

2024/07/22 SecurityOnline — OSS のサーバー管理ツール 1Panel に、SQL インジェクションの致命的な脆弱性 CVE-2024-39911 が見つかり、世界中の数百万台の Linux サーバが危険に直面している。この脆弱性の CVSS スコアは 10.0 と評価されており、容易に悪用される可能性が高いと示唆される。

Cloudflare WARP トラフィックへの信頼：regreSSHion CVE-2024-6387 を悪用するシナリオも

Cloudflare WARP Abused to Hijack Cloud Services, Cado Security Report Reveals

2024/07/22 SecurityOnline — Cloudflare の WARP サービスを悪用して、脆弱なインターネット向けサービスを攻撃する複数のキャンペーンについて、先日に Cado Security の研究者が情報を公開した。WARP は無料の VPN サービスであり、また、ユーザー・トラフィックを最適化するために設計されている。その一方で、この VPN サービスを悪用する攻撃者が、真の出所を隠蔽し、セキュリティ対策を回避している。

Telegam ゼロデイ脆弱性：ビデオを装いながら悪意の Android APK を配信

Telegram zero-day allowed sending malicious Android APKs as videos

2024/07/22 BleepingComputer — EvilVideo と呼ばれる Telegram for Android のゼロデイ脆弱性により、攻撃者は動画ファイルに偽装した悪意のある Android APK ペイロードを送信できるようになった。ロシア語圏の XSS ハッキング・フォーラムで、2024年6月6日に脅威アクター Ancryno は、この欠脆弱性 Telegram v10.14.4 以下に存在すると投稿し、Telegram のゼロデイ・エクスプロイトの販売を開始した。

FFI という新たな脆弱性：Windows Code Integrity を回避する恐れ

New ‘False File Immutability’ Vulnerability Poses Significant Threat to Windows Security

2024/07/22 SecurityOnline — False File Immutability (FFI) と呼ばれる新たに発見された脆弱性クラスにより、重要なセキュリティ・メカニズムである Windows Code Integrity (CI) 回避の可能性が生じるため、サイバーセキュリティ・コミュニティ内で深刻な懸念を引き起こしている。この脆弱性については、発見者である Elastic Security の Gabriel Landau から詳細が公開されており、書き込み権限なしにオープンされたファイルは変更できないという、大前提の欠陥が突かれるものだという。

Linux 版ランサムウェア Play の新種が登場：VMware ESXi システムを狙っている

New Linux Variant of Play Ransomware Targeting VMware ESXi Systems

2024/07/22 TheHackerNews — VMware ESXi 環境を標的とするように設計された、Play (別名：Balloonfly／PlayCrypt) というランサムウェアの Linux 亜種が、サイバーセキュリティ研究者たちにより発見された。Trend Micro の研究者たちは、7月19日に公開されたレポートの中で、「この動向は、グループの攻撃対象が Linux プラットフォーム全体に広がっている可能性を示唆している。それにより Play は、被害者の拡大と身代金交渉の成功を得ている」と述べている。

1Panel の SQLi 脆弱性 CVE-2024-39907 (CVSS 9.8) が FIX：PoC も提供されている

CVE-2024-39907 (CVSS 9.8): SQLi Flaw Exposes 1Panel Users to Remote Takeover, PoC Published

2024/07/22 SecurityOnline — OSS Web ベースのサーバー管理コントロール・パネル 1Panel に、深刻な脆弱性 CVE-2024-39907 が発見された。この SQL インジェクションの欠陥は、CVSS スコアが 9.8 と高く、悪用されると深刻な影響を与える可能性があることが示唆されている。

CrowdStrike 障害：混乱に乗じてマルウェアやデータ・ワイパーが配布されている

Fake CrowdStrike updates target companies with malware, data wipers

2024/07/21 BleepingComputer — 金曜日に CrowdStrike が引き起こした、アップデートの不具合による大規模なビジネスの混乱を悪用し、データ・ワイパーやリモート・アクセス・ツールを使って組織を狙っている脅威アクターたちがいるようだ。組織が影響を受けた Windows ホストを修正するために、誰もがサポートを求めている最中に、研究者や政府機関などが発見したのは、この状況を悪用するするフィッシング・メールの増加である。

新たな E-commerce Skimming 戦術：Megento サイトで発見されたスワップ・ファイルの悪用とは？

Cybercriminals Exploit Swap Files: New E-commerce Skimming Tactic

2024/07/20 SecurityOnline — Sucuri のセキュリティ・アナリストたちが発見したのは、スワップ・ファイルを悪用するサイバー犯罪者がクレジット・カード・スキマーを永続的に維持し、電子商取引サイトを標的とする新たな攻撃手法である。この形態のインシデントは Magentoサイトで発生し、チェックアウト・ページに埋め込まれた悪意のスクリプトにより、機密性の高い顧客データが不正に取得される。

Citrix NetScaler デバイスの脆弱性 CVE-2023-6548：NHS England が悪用を確認と警告

NHS England Issues Cyber Alert for Exploited CVE-2023-6548 Vulnerability in NetScaler Devices

2024/07/19 SecurityOnline — 現時点において Citrix の NetScaler Gateway／NetScaler ADC デバイスの脆弱性 CVE-2023-6548 が悪用されているという、CrowdStrike からの新たな情報をもとに、NHS England National Cyber Security Operations Centre (CSOC) がサイバー・アラートを発表している。当初、この脆弱性は深刻度が低いと評価されていたが、現在では再評価され、リモートの未認証の攻撃者が、ユーザー特権を必要とせずに任意のコード実行を可能にすることから、Critical に分類されている。

中国由来の APT41 が復活：世界のロジスティクスやテクノロジーなどの産業を狙っている – Mandiant

Chinese Hacking Group APT41 Infiltrates Global Shipping and Tech Sectors, Mandiant Warns

2024/07/18 SecurityWeek — ヨーロッパとアジアの海運／ロジスティクス／テクノロジー／自動車産業の組織に侵入したとして摘発された、中国政府が支援する多発ハッキング・チーム APT41 によるマルウェア攻撃が、大規模なレベルで復活していることを、Mandiant の研究者たちが指摘している。Mandiant の警告によると、侵入された組織の大部分は英国／イタリア／スペイン／トルコ／タイ／台湾にあるという。これらの組織に侵入した APT41 は、遅くとも 2023年以降において、不正アクセスを長期にわたって維持することに成功しているようだ。

SonicWall SonicOS の IPSec VPN における未認証 DoS 脆弱性 CVE-2024-40764 が FIX

SonicWall Patches Unauthenticated DoS Flaw (CVE-2024-40764) in SonicOS IPSec VPN

2024/07/18 SecurityOnline — SonicWall が発表したのは、同社の SonicOS に存在するヒープベース・バッファオーバーフローの脆弱性に対処するセキュリティ・パッチである。この脆弱性 CVE-2024-40764 (CVSS：7.5) の悪用に成功した未認証の攻撃者により、脆弱なデバイスに対してサービス拒否 (DoS) 攻撃が仕掛けられる可能性が生じる。

米国のデータ漏洩被害者数が前年比で 1170％の急増 – ITRC 調査

US Data Breach Victim Numbers Surge 1170% Annually

2024/07/18 InfoSecurity — この３ヶ月間におけるインシデント発生数は 12％減であるが、2024年 Q2 における米国のデータ漏えいの被害者数は、前年同期比で 100倍以上も増加していることが、Identity Theft Resource Center (ITRC) の調査により判明した。NPO 組織である ITRC は、米国で公に報告された侵害事例から、H1 2024 Data Breach Analysis 分析を実施した。

Splunk Enterprise の深刻な脆弱性 CVE-2024-36991 が FIX：PoC も提供されている

Critical Splunk flaw can be exploited to grab passwords (CVE-2024-36991)

2024/07/18 HelpNetSecurity — 先日に修正された、Windows 上の Splunk Enterprise に影響を及ぼす脆弱性 CVE-2024-36991 について、「当初に考えられていたよりも深刻なものだ」と、SonicWall の脅威リサーチャーたちが指摘している。IT コンサルタントの Mohamed Nabil Ali により公開された、いくつかの PoC エクスプロイトは、インターネットに面した脆弱なエンドポイントの、一括スキャンが可能なことを証明し、”/etc/passwd” ファイルの読み取りなども達成している。

ロシアの FIN7 ギャング：セキュリティ回避ツール AvNeutralizer を販売していた

Notorious FIN7 hackers sell EDR killer to other threat actors

2024/07/17 BleepingComputer — 悪名高いハッキング・グループ FIN7 が、企業ネットワーク上のエンドポイント保護ソフトウェアを破壊して検知を回避するための、カスタム・ツール AvNeutralizer を販売していることが発見された。FIN7 はロシアのハッキング・グループと考えられており、その活動が観測され始めた 2013年頃は金融詐欺に注力しており、組織をハッキングしてデビットカードやクレジットカード情報を窃取してきた。同グループは、やがてランサムウェアの分野にも進出し、DarkSide／BlackMatter などの RaaS (ransomware-as-a-service) を使用し始めた。最近では、2024年3月頃に発生した、UnitedHealth からの身代金を持ち逃げるという BlackCat ランサムウェアの活動にも、FIN7 が関係している可能性が高いと見られている。

CISA KEV 警告 24/07/17：Adobe／SolarWinds／VMware の脆弱性を登録

CISA Adds Three New Vulnerabilities to Known Exploited Vulnerabilities Catalog

2024/07/17 SecurityOnline — 米国 CISA は、KEV (Known Exploited Vulnerabilities) カタログに、積極的に悪用されている３件の脆弱性 (CVE-2024-34102／CVE-2024-28995／CVE-2022-22948) を追加した。サイバー犯罪者たちは、これらの脆弱性を積極的に悪用して不正アクセスを行い、データを盗み、重要なインフラを麻痺させる可能性を持つ。ユーザー組織に対しては、システムに直ちにパッチを適用することが求められている。

Apache HugeGraph の脆弱性 CVE-2024-27348：悪用の試みが観測されている

Critical Apache HugeGraph Vulnerability Under Attack – Patch ASAP

2024/07/17 TheHackerNews — 最近に公開された Apache HugeGraph-Server の RCE 脆弱性 CVE-2024-27348 (CVSS：9.8) を悪用する、脅威アクターたちの動きが活発化している。この脆弱性は、HugeGraph の Gremlin Traversal Language Interface に存在し、リモート・コマンド実行につながる欠陥だと説明されており、HugeGraph 1.3.0 未満の全てのバージョンに影響を及ぼすものだ。