CyberAttack – Page 18 – IoT OT Security News

Microsoft Outlook のバグが FIX：セキュリティ誤報が修正された

Microsoft finally fixes Outlook alerts bug caused by December updates

2024/07/16 BleepingComputer — Outlook の 2023年12月のセキュリティ更新プログラムをインストールした後に、Microsoft Outlook Desktop に不正なセキュリティ警告が表示される問題が、昨日になって、ようやく修正された。2月上旬から Microsoft が調査を進めていたのは、ICS (Internet Calendaring and Scheduling) ファイルをダブルクリックすると、予期せぬ警告が表示されるという報告に関するものだ。具体的に言うと、誤ったメッセージである、「この場所は安全でない可能性がある」や、「Microsoft Officeは潜在的なセキュリティ上の懸念を特定した」が表示されると、多数の Microsoft 365 ユーザーから指摘されていたのだ。

Squarespace への侵害：Google Domains から移行したドメインに甚大な被害が

Hackers Exploit Flaw in Squarespace Migration to Hijack Domains

2024/07/16 SecurityWeek — 先週のことだが、Squarespace に登録された複数のドメイン名がハッカーに侵害され、複数の暗号通貨プラットフォームが DNS レコード制御を取り戻すために、奔走する事態となっている。2023年に Squarespace が買収した、Google Domains からの移行ドメインを管理するアカウントに、この 7月9日に始まった侵害の影響は及んでいる。Squarespace は、Google から買収した約 1,000万件のドメイン名のユーザーを移行してきたが、その方式に潜んでいた欠陥を悪用するハッカーにアカウントが乗っ取られ、それらのドメインの DNS レコードが変更されるという事態に陥った。

Microsoft MHTMLの脆弱性 CVE-2024-38112：Void Banshee APT が Atlantida スティーラーの配布に悪用

Void Banshee APT Exploits Microsoft MHTML Flaw to Spread Atlantida Stealer

2024/07/16 TheHackerNews — Void Banshee という APT グループが、最近に公開された Microsoft の MHTML ブラウザ・エンジンのゼロデイ脆弱性 CVE-2024-38112 を悪用し、Atlantida 情報窃取ツールを配信していることが確認された。この活動を 2024年5月中旬に観測したサイバーセキュリティ企業 Trend Micro によると、この脆弱性は、特別に細工されたインターネット・ショートカット (URL) ファイルを使用する、多段階攻撃チェーンの一部として使用されていたという。

WordPress Profile Builder の脆弱性 CVE-2024-6695 が FIX：近々に PoC がリリースされる

CVE-2024-6695 (CVSS 9.8) in Popular WordPress Plugin Exposes 50,000 Sites to Admin Hijacking

2024/07/15 SecurityOnline — WordPress Profile Builder は、5万以上のアクティブなインストールを誇るプラグインだが、そこに存在する深刻な脆弱性 CVE-2024-6695 (CVSS：9.8) が、セキュリティ研究者の John Castro により発見された。この脆弱性の悪用に成功した攻撃者は、ユーザー・アカウントを事前に必要とすることなく、脆弱な Web サイトの管理者権限を取得する可能性を手にする。

Python Setuptools ライブラリの脆弱性 CVE-2024-6345 が FIX：PoC も公開される

Security Flaw CVE-2024-6345 in Setuptools Exposes Python Projects to RCE

2024/07/15 SecurityOnline — Python プロジェクトのパッケージ化／配布／インストールにおいて、広範に使用されるライブラリ Setuptools に、深刻な脆弱性が発見された。この脆弱性 CVE-2024-6345 (CVSS：8.8) は、”package_index” モジュールに存在するものであり、システム上で RCE を引き起こす恐れがある。

Moxa 製品群と Linux Netfilter の脆弱性 CVE-2024-1086：ほぼ FIX の状態

CVE-2024-1086: Linux Kernel Vulnerability Impacts Numerous Moxa Products

2024/07/15 SecurityOnline — Linux Kernel で発見された深刻な脆弱性が、多数の Moxa 産業用ネットワーキング／コンピューティング製品に影響を及ぼすことが判明した。この脆弱性 CVE-2024-1086 (CVSS： 7.8) の悪用に成功した攻撃者は、システム破壊や権限昇格などを達成し、不正アクセスやシステムの乗っ取りにつながる可能性を手にする。

脆弱性 CosmicSting CVE-2024-34102：１時間に 3～5件のペースで侵害される Magento ストア

Critical Magento Flaw Exploited: CosmicSting (CVE-2024-34102) Strikes Global Brands

2024/07/15 SecurityOnline — Adobe Commerce と Magento を用いるストアへの、深刻な脅威である脆弱性 CVE-2024-34102 (別名：CosmicSting) は、現在も活発に悪用され続けている。セキュリティ企業 Sansec の新たな調査では、攻撃の急増が明らかになり、１時間あたり 3～5件のペースでオンラインストアが侵害されているとのことだ。その被害者には、国際的なブランドも含まれているようだ。

AT&T で発生したデータ侵害：Snowflake データベースからデータが漏えいが原因

AT&T Breach Linked to American Hacker, Telecom Giant Paid $370k Ransom: Reports

2024/07/15 SecurityWeek — 先日に公表された、AT&T で発生したデータ流出は、トルコ在住のアメリカ人ハッカーが関与するものであり、盗まれた情報を確実に削除するために、同社は多額の身代金を支払ったようだ。7月12日に AT&T が公表したのは、同社における、ほぼ全てのワイヤレス顧客に影響が及ぶ、データ漏えいに見舞われたことである。同社によると、ハッキングによりデータが流出したのは、2022年5月1日〜2022年10月31日と、2023年1月2日移行の期間であり、その内容は顧客の call／text のログだという。データの流出元は、AT&T のサードパーティである、Snowflake のクラウド・プラットフォームだとのことだ。

OpenSSH で２番目のバグを発見：Windows への “regreSSHion” の影響は無いと Microsoft が公表

Microsoft Says Windows Not Impacted by regreSSHion as Second OpenSSH Bug Is Found

2024/07/15 SecurityWeek — 先日に報告された、OpenSSH における 2つ目の RCE 脆弱性は、注目を集めている１つ目の脆弱性 “regreSSHion” CVE-2024-6387 の分析中に見つかったものだ。この問題は、Openwall の創設者である、Alexander Peslyak (別名：Solar Designer) により発見されている。なお、Qualys の研究者により発見された “regreSSHion” の脆弱性は、公開された時点において、数百万台の OpenSSH サーバに影響を与える可能性があると考えられていた。

CISA KEV 警告 24/07/15：GeoServer の脆弱性 CVE-2024-36401 を登録：PoC も提供

CVE-2024-36401 (CVSS 9.8): Critical GeoServer Flaw Under Active Attack, PoC Available

2024/07/15 SecurityOnline — 7月15日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、地理空間データ用のオープンソース・ソフトウェア・サーバとして人気の OSGeo GeoServer GeoTools に存在する、脆弱性 CVE-2024-36401 を KEV カタログに追加した。この脆弱性は、脅威アクターたちにより積極的に悪用されており、GeoServerを使用している組織にとって、早急なパッチ適用が最優先事項となっている。

DarkGate マルウェア：Samba と Excel を介して配布されている – Unit 42

Dark Gate Malware Campaign Uses Samba File Shares

2024/07/15 SecurityAffairs — 2024年3月〜4月に展開された、DarkGate マルウェア・キャンペーンに関するレポートを、Palo Alto Networks Unit 42 の研究者たちが公開した。このキャンペーンで用いられた手法は、公開されている SMB ファイル共有から、Microsoft Excel ファイルを介して、悪意のソフトウェア・パッケージをダウンロードさせるというものだった。Unit 42 の研究者たちによると、脅威アクターはマルウェアを配布するために、正規のツールやサービスを巧妙に悪用していたという。

SonicWall SMA100 の２つの脆弱性が FIX：すでに PoC が提供されている！

Critical Vulnerabilities Patched in SonicWall SMA100, PoC Published

2024/07/14 SecurityOnline — SSD Secure Disclosure による最近の脆弱性分析で、SonicWall SMA100 シリーズに２つのセキュリティ欠陥が報告された。SSD Labs Korea の SeongJoon Cho により発見された、これらの脆弱性は、認証前の蓄積型 XSS (Cross-Site Scripting) と、認証後のリモート・コマンド・インジェクションに分類されている。これらの脆弱性の悪用に成功した未認証の攻撃者は、任意のコマンドを実行する可能性を得るため、ユーザーに重大な影響が生じる。

PHP の脆弱性 CVE-2024-4577：Mitel 製品群にも影響が及び始めた

Mitel Issues Critical Security Advisory for PHP Argument Injection Vulnerability

2024/07/14 SecurityOnline — ビジネス・コミュニケーションを提供する Mitel が、２つのセキュリティ・アドバイザリ (OBSO-2407-01／24-0018) を公開した。それらは、PHP スクリプト・エンジンの深刻な脆弱性が、Mitel 製品群にも影響を及ぼすと警告するものである。この PHP の脆弱性は、CVE-2024-4577 (CVSS 9.8) として特定されており、Windows システム上で Apache／PHP-CGI を使用しているケースにおける、PHP 8.1.29 未満／8.2.20 未満／8.3.8 未満に影響を及ぼすものである。

PoC の武器化までの時間が短縮：22分後に攻撃に使用されたケースも – Cloudflare

Hackers use PoC exploits in attacks 22 minutes after release

2024/07/13 BleepingComputer — 脅威アクターたちは、利用可能な PoC (proof-of-concept) エクスプロイト・コードを、実際の攻撃で武器化するまでの時間を短縮している。中には、エクスプロイトが公開されてから、22分間で武器化するというケースも発見されている。この動向は、Cloudflare の Application Security report for 2024 で報告されたものだ。同レポートは、2023年5月〜2024年3月までの活動をカバーし、新たな脅威の傾向を浮き彫りにしている。現在、平均で 5,700万件/秒の HTTP リクエストを処理している Cloudflare は、公開された CVE に対するスキャンが、継続して活発化しているのを観測している。そして、コマンド・インジェクションや、利用可能な PoC を武器化しようとする試みが、それに続いているという。

Fabasoft PDF.js ライブラリの脆弱性 CVE-2024-4367 が FIX：PoC エクスプロイトが提供

Fabasoft Tackles PDF.js Vulnerability (CVE-2024-4367), Safeguarding eGovernment and Enterprise Search Solutions

2024/07/13 SecurityOnline — Fabasoft が発表したのは、人気の PDF.js ライブラリに存在する、深刻度の高い脆弱性 CVE-2024-4367 に対処するセキュリティ・アドバイザリである。Codean Labs により発見された、この脆弱性の悪用に成功した攻撃者は、悪意の PDF ファイルをユーザーが開いたときに、その Web ブラウザ内で任意の JavaScript コードを実行する可能性を得る。

AT&T 侵害の現状：Snowflake からダウンロードしたデータの販売を呼びかける脅威アクターたち

Hackers Downloaded Call Logs from Cloud Platform in AT&T Breach

2024/07/12 InfoSecurity — 通信大手の AT&T が明らかにしたのは、脅威アクターにより、顧客データが不正にダウンロードされたことだ。サードパーティのクラウド・プラットフォーム上の AT&T のワークスペースから、ハッカーがデータを不正ダウンロードしたことを、7月12日に発表した声明で同社は認めている。米証券取引委員会 (SEC) への提出書類によると、同社は 2024年4月19日の時点で、通話ログが不正にアクセス／コピーされたことを初めて知ったようだ。

Akira ランサムウェア攻撃：２時間強で LATAM Airline からのデータ窃取を完了

Akira Ransomware: Lightning-Fast Data Exfiltration in 2-ish Hours

2024/07/12 DarkReading — Akira ランサムウェアの攻撃者は、わずか２時間強で被害者のデータを盗み出せるようになった。つまり、サイバー犯罪者が最初のアクセスから情報流出までに要する平均時間に、大きな変化がもたらされている。この動向は、BlackBerry Threat Research and Intelligence Team の発表で明かされたものだ。同チームは 7月11日に、6月に発生した LATAM Airline への Akira ランサムウェア攻撃に関するブログを公開した。BlackBerry の攻撃分析によると、Akira は Secure Shell (SSH)プロトコルを使用して、パッチが適用されていない Veeam バックアップ・サーバーを介したイニシャル・アクセスを獲得し、翌日に Akira ランサムウェアを展開する前に、重要な情報の窃取に成功したという。

AT&T モバイルの大半の call／text ログが盗まれる：2022年に発生していた Snowflake 攻撃とは？

Hackers stole call, text records of “nearly all” of AT&T’s cellular customers

2024/07/12 HelpNetSecurity — 盗まれた Snowflake アカウントの認証情報を悪用するハッカーが、2022年5月〜2022年10月において、ほぼ全ての AT&T 携帯の話顧客の通話とメールのログを、盗み出していることが確認された。その一方で AT&T は、「この盗まれたとされるデータには、通話およびメールの内容や、社会保障番号、生年月日といった、個人を特定できる情報は含まれていない。また、通話やメールのタイムスタンプなどの、利用明細に記載される典型的な情報も含まれていない」と述べている。

D-Link DIR-823x の脆弱性 CVE-2024-39202：パッチ未適用で PoC が登場

CVE-2024-39202: RCE Flaw Found in D-Link DIR-823X Firmware, Patch in Development

2024/07/11 SecurityOnline — D-Link DIR-823X AX3000 デュアルバンド・ギガビット無線ルーターに、脆弱性 CVE-2024-39202 が発見され、ユーザーに重大なリスクをもたらすことが判明した。この脆弱性は、2024年7月7日に、サードパーティのセキュリティ研究者 Adesh Kolte から D-Link に報告されたものだ。

PHP の脆弱性 CVE-2024-4577：脅威アクターたちが悪用してマルウェアを配布 – Akamai

Multiple Threat Actors Exploit PHP Flaw Cve-2024-4577 To Deliver Malware

2024/07/11 SecurityAffairs — PHP の脆弱性 CVE-2024-4577 を悪用する脅威アクターたちが、Gh0st RAT／RedTail cryptominers／XMRig などの多様なマルウェア・ファミリーを配信していると、Akamai の Security Intelligence Response Team (SIRT) が警告している。Akamai は、「新たな CVE-2024-4577 を迅速に悪用した脅威アクターたちは、脆弱性情報の公開から悪用までの時間が、短縮されているという傾向を維持している。Akamai のハニーポット・ネットワークでは、この PHP の欠陥を標的とする悪用の試みが、公開から 24時間以内に確認されている」と述べている。

北朝鮮のハッカー Kimsuky が日本の組織を標的にしている – JPCERT/CC

Japan warns of attacks linked to North Korean Kimsuky hackers

2024/07/10 BleepingComputer — 北朝鮮の脅威アクターである Kimsuky が、日本の組織を攻撃の標的にしていると、JPCERT/CC (Japan’s Computer Emergency Response Team Coordination Center) が警告している。この Kimsuky は、北朝鮮の APT (advanced persistent threat) グループだと米国政府は位置づけている。同グループは、北朝鮮政府にとって関心のある情報を収集するために、世界中の標的に対して攻撃を行っている。

Microsoft SharePoint Server に３つの脆弱性： RCE の PoCも公開

RCE Vulnerabilities in Microsoft SharePoint Server: PoC Exploit Code Published

2024/07/10 SecurityOnline — Microsoft SharePoint Server に存在する、３つの脆弱性 (CVE-2024-38023／CVE-2024-38024／CVE-2024-38094) に対する PoC エクスプロイトが、セキュリティ研究者である Janggggg により公開された。現時点で、詳細な技術情報は開示されていないが、これらの脆弱性に関連する潜在的なリスクは、提供された PoC エクスプロイト・コードにより十分に証明される。これらの脆弱性は、すべて RCE の脆弱性に分類され、特権昇格された攻撃者は、影響を受けるシステムを乗っ取る可能性を手にする。

EstateRansomware という新たなランサムウェア：Veeam Backup & Replication の脆弱性を悪用

New Ransomware Group Exploiting Veeam Backup Software Vulnerability

2024/07/10 TheHackerNews — Veeam Backup & Replication ソフトウェアの、すでにパッチが適用されているセキュリティ欠陥が、EstateRansomware という新たなランサムウェアに悪用されている。この脅威を 2024年4月初旬に発見したのは、シンガポールに本社を置く Group-IB であり、その悪質な活動は CVE-2023-27532 (CVSS：7.5) を悪用して行われたと述べている。ターゲットの環境へのイニシャル・アクセスは、Fortinet FortiGate firewall SSL VPN アプライアンスの、休眠アカウントを使用して確立されていた。

Windows の脆弱性 CVE-2024-38112：悪意の “.url” を IE に開かせる可能性 – Check Point

Check Point Research Details 0-Day Flaw (CVE-2024-38112), Threatens Windows Users

2024/07/09 SecurityOnline — 無害に見える Windows Internet Shortcut ファイル (.url) を武器にして、無防備なユーザーを狙う新たなゼロデイ攻撃を、Check Point Research のサイバーセキュリティ研究者たちが発見した。この、脆弱性 CVE-2024-38112 を悪用する巧妙な攻撃は、長らく使われていなかった Internet Explorer (IE) ブラウザを復活させことで、最新の Windows 10／11 の OS 上であっても、悪意のコードを実行させる可能性を持つものだ。

WordPress Modern Events Calendar の脆弱性 CVE-2024-5441 が FIX：15万サイトが標的に！

Hackers target WordPress calendar plugin used by 150,000 sites

2024/07/09 BleepingComputer — WordPress Modern Events Calendar は、15万以上の Web サイトで利用される人気のプラグインである。このプラグインの脆弱性を悪用するハッカーによりたちが、標的とするサイトに任意ファイルをアップロードし、リモート・コード実行を試みている。Webnus が開発した Modern Events Calendar は、リアル／バーチャル／ハイブリッドのイベントを組織し、管理するために使用されるプラグインである。

BlastRADIUS の脆弱性 CVE-2024-3596 が FIX：PoC と防御策を解説する

BlastRADIUS Vulnerability (CVE-2024-3596): Flaw in RADIUS Protocol Exposes Networks to Attack

2024/07/09 SecurityOnline — RADIUS プロトコルで新たに発見された、”BlastRADIUS” と呼ばれる脆弱性 CVE-2024-3596 が、ネットワーク・セキュリティに深刻なリスクをもたらしている。カリフォルニア大学サンディエゴ校の研究者たちは、この脆弱性に対する実用的なエクスプロイトを発表し、RADIUS プロトコルに対する攻撃が初めて証明された。すでに FreeRADIUS は、ガイダンスとアップデートを公開し、この深刻な脅威を軽減している。

Windows Hyper-V の権限昇格の脆弱性 CVE-2024-38080：悪用が検出されている

Microsoft Warns of Windows Hyper-V Zero-Day Being Exploited

2024/07/09 SecurityWeek — 今日は Microsoft の July 2024 Patch Tuesday であり、４件のゼロデイ脆弱性を含む、142件の脆弱性に対するセキュリティ更新プログラムがリリースされた。その中でも、Windows Hyper-V の権限昇格の脆弱性 CVE-2024-38080 (CVSS：7.8) が、攻撃者に悪用されているという。同社は、「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を獲得する可能性がある」と警告している。

Microsoft 2024-07 月例アップデート：４件のゼロデイと 142件の脆弱性に対応

Microsoft July 2024 Patch Tuesday fixes 142 flaws, 4 zero-days

2024/07/09 BleepingComputer — 今日は Microsoft の July 2024 Patch Tuesday であり、積極的に悪用されている２件の欠陥と、公表されている２件のゼロデイを含む、全体で 142件の脆弱性対するセキュリティ・アップデートが提供された。今回の Patch Tuesday では、５件の深刻な脆弱性が修正されたが、そのすべてがリモート・コード実行の不具合である。

VMware vCenter Server の RCE 脆弱性 CVE-2024-22274：PoC エクスプロイトが提供される

VMware vCenter Server RCE (CVE-2024-22274): PoC Exposes Systems to Remote Takeover

2024/07/08 SecurityOnline — VMware vCenter Server の深刻な脆弱性 CVE-2024-22274 には、すでにパッチが適用されているが、その悪用を証明する PoC エクスプロイトがリリースされた。この脆弱性の CVSS スコアが 7.2 であり、管理者権限を持つ攻撃者による悪用が成功すると、基盤となるオペレーティング・システム上で任意のコマンド実行が可能となり、仮想インフラ全体が危険にさらされる恐れがある。

CISA KEV 警告 24/07/02：Cisco NX-OS の脆弱性を悪用する中国由来の Velvet Ant

CISA Adds Cisco Nx-Os Command Injection Bug To Its Known Exploited Vulnerabilities Catalog

2024/07/08 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco NX-OS コマンド・インジェクション脆弱性 CVE-2024-20399 を、KEV カタログに追加した。今週に Cisco は、NX-OS のゼロデイ脆弱性 CVE-2024-20399 (CVSS：6.0) 対処している。この脆弱性を悪用する中国由来の Velvet Ant が、root として未知のマルウェアを展開するために、脆弱なスイッチを悪用している。

パスワード 100億件がハッキング・フォーラムで流出 – Cybernews

10 Billion Passwords Leaked on Hacking Forum

2024/7/8 InfoSecurity — 100億近いユニークなパスワードがサイバー犯罪フォーラムに流出し、世界中のオンライン・ユーザーがアカウント漏洩の危険にさらされていることが、Cybernews の調査により判明した。7月4日に、Cybernews の研究者たちは、史上最大規模のパスワード・コンパイルと思われる 994万件の平文パスワードが、人気のハッキング・フォーラムに投稿されているのを発見した。

Ghostscript の脆弱性 CVE-2024-29510 の悪用が観測された：直ちにアップデートを！

Critical Ghostscript Flaw Exploited In The Wild. Patch It Now!

2024/07/08 SecurityAffairs — Ghostscript の脆弱性 CVE-2024-29510 が、積極的に悪用されていることが判明した。この脆弱性の悪用に成功した攻撃者は、-dSAFER サンドボックスをエスケープし、リモート・コード実行の可能性を手にする。Ghostscript とは、GNU プロジェクトとして提供される、PostScript 言語および PDF ファイルのインタープリタであり、これらの形式のドキュメントの処理／レンダリングに使用されている。

OpenSSH の脆弱性 regreSSHion CVE-2024-6387：Cisco 製品群への影響が判明

Cisco Confirms Critical OpenSSH regreSSHion (CVE-2024-6387) Flaw in Multiple Products

2024/07/07 SecurityOnline — 先日に Cisco が公開したのは、”regreSSHion” と命名された深刻度の高い脆弱性 CVE-2024-6387 (CVSS：8.1) が、Cisco 製品群およびクラウド・サービスの OpenSSH サーバー・コンポーネントに、影響を及ぼすと警告するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、無許可のリモートの攻撃者は、影響を受けるシステム上で任意のコード実行が可能となり、システムの完全な侵害を達成する手がかりを得る。

Microsoft SmartScreen の脆弱性 CVE-2024-21412：情報窃取マルウェアの展開に悪用されている

Cybercriminals Escalate Attacks Exploiting Microsoft SmartScreen Flaw (CVE-2024-21412)

2024/07/07 SecurityOnline — Microsoft Defender SmartScreen の脆弱性 CVE-2024-21412 を悪用するサイバー攻撃が急増していることが、Cyble Research and Intelligence Labs (CRIL) が公開したレポートにより明らかになった。この脆弱性に対しては、すでにパッチが適用されているが、以前にも DarkGate や Water Hydra などの脅威グループのキャンペーンで悪用されていた。しかし、現在では、Lumma や MeduzaStealer といった情報窃取マルウェアを展開する、サイバー犯罪者たちにより広く悪用されている。

Jenkins サーバのミスコンフィグ：クリプトジャッキング攻撃に悪用されている

Misconfigured Jenkins Servers Targeted in Cryptojacking Attacks

2024/07/06 SecurityOnline — Jenkins サーバのミスコンフィグを標的とする攻撃が相次いでいることを、サイバー・セキュリティの世界のリーダー Trend Micro が警告している。脅威アクターたちは、Jenkins Script Console の脆弱性を悪用して、暗号通貨マイニング・ソフトウェアを不正にインストール／運用し、無防備な組織から計算リソースを抜き取っている。

Logsign Unified SecOps Platform の脆弱性 CVE-2024-5716／5717 が FIX：直ちにアップデートを！

Logsign Unified SecOps Platform Urgent Update Addresses Critical RCE Vulnerabilities

2024/07/04 SecurityOnline — セキュリティ運用のための包括的なソフトウェア・ソリューションである、Logsign の Unified SecOps Platform に、２つの脆弱性 CVE-2024-5716／CVE-2024-5717 が発見された。これらの脆弱性を組み合わせると、HTTP リクエストを介して Web サーバ上で認証なしで、リモート・コードの実行が可能になる。それにより、リモートの攻撃者がシステムに不正にアクセス／コントロールする可能性が生じる。

SnailLoad という TCP の脆弱性 CVE-2024-39920：PoC エクスプロイトが提供

SnailLoad (CVE-2024-39920): New Side-Channel Attack Exposes Your Web Activity

2024/07/03 SecurityOnline — グラーツ工科大学のセキュリティ研究者は、新しい脆弱性 CVE-2024-39920 を発表し、SnailLoad と命名した。このサイド・チャネル攻撃は TCP (Transmission Control Protocol) の脆弱性を悪用するものであり、ユーザーによる Web サイトへの訪問や、ストリーミング・ビデオの参照などのアクティビティが、リモートの攻撃者により監視される可能性が生じる。

Twilio Authy の API に脆弱性：3,300万件の電話番号を含むユーザー情報が流出

Hackers abused API to verify millions of Authy MFA phone numbers

2024/07/03 BleepingComputer — Twilio が認めたのは、数百万人の Authy 多要素認証ユーザーの電話番号を確認できる脅威アクターたちが、SMS フィッシングや SIM スワッピングなどの攻撃を仕掛けてくる可能性があることだ。Authy は、MFA をサポートしている Web サイトにおいて、多要素認証コードを生成するモバイル・アプリだが、その API エンドポイントの安全性が欠如していた。2024年6月下旬に、ShinyHunters という脅威アクターが流出させた CSV ファイルには、Authy サービスに登録された 3,300万件の電話番号を含まれていた。

Microsoft MSHTML の脆弱性 CVE-2021-40444：スパイウェア MerkSpy の配布で悪用

Microsoft MSHTML Flaw Exploited to Deliver MerkSpy Spyware Tool

2024/07/03 TheHackerNews — Microsoft MSHTML の脆弱性 CVE-2021-40444 を悪用して、MerkSpy という監視ツールを配信する、未知の脅威アクターが発見された。このキャンペーンでは、カナダ／インド／ポーランド／米国のユーザーが、主要ターゲットにされているという。Fortinet FortiGuard Labs の研究者である Cara Lin は、「MerkSpy は、ユーザーの活動を密かに監視して、機密情報を取得することに加えて、侵害したシステム上で永続性を確立するよう設計されている」と、先週に公開されたレポートで述べている。

Juniper SRX の脆弱性 CVE-2024-21586 が FIX：DoS 攻撃の恐れ

CVE-2024-21586: Juniper SRX Vulnerability Leaves Networks Open to Attack

2024/07/03 SecurityOnline — Juniper Networks が公表したのは、同社の SRX Series ファイアウォールに存在する、深刻な脆弱性のセキュリティ・アドバイザリである。この脆弱性 CVE-2024-21586 (CVSSv4 8.7) の悪用に成功した未認証の攻撃者は、リモートでパケット転送エンジン (PFE) をクラッシュさせ、サービス拒否 (DoS) 状態を引き起こす可能性を手にする。

ProxyLogon／ProxyShell の脆弱性が復活：政府機関の電子メールが侵害される

ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached

2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約３年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア／ヨーロッパ／南米などの、複数の地域の政府機関に影響を及ぼしている。

Linux Netfilter の脆弱性 CVE-2024-1085：PoC エクスプロイトが提供される

Linux Flaw: CVE-2024-1085 PoC Exploit Exposes Privilege Escalation Risk

2024/07/01 SecurityOnline — Linux Kernel に存在する、深刻度の高い脆弱性 CVE-2024-1085 を標的とする PoC エクスプロイトでｓ・コードが、あるセキュリティ研究者により公開された。この脆弱性は、Netfilter サブシステムの nftables コンポーネントに存在し、影響を受けるシステム上で悪用に成功したローカルの認証済み攻撃者が、昇格した特権を不正に獲得する可能性が生じるこの脆弱性の CVSS 値は 7.8 であり、深刻度が高いことが示唆される。この脆弱性を悪用する前提としてローカル認証が必要となるが、悪用に成功した攻撃者は、システムを大幅に制御できるようになるため、深刻なセキュリティ・リスクが生じる。

Prudential のセキュリティ侵害と ALPHV の犯行声明：250万人以上の顧客情報が流出

Prudential Financial now says 2.5 million impacted by data breach

2024/07/01 BleepingComputer — 世界的な金融サービス企業である Prudential Financial は、2024年2月に発生したデータ侵害の影響により、250万人以上の個人情報が漏洩したことを明らかにした。Prudential が米国証券取引委員会 (SEC) に提出した Form 8-K によると、サイバー犯罪グループと思われる攻撃者が同社のシステムに侵入し、管理者およびユーザーのデータや、従業員および契約者のアカウントにアクセスしたという。そして、侵害の翌日である 2月5日に、この事件を検知したという。

Cisco NX-OS のゼロデイ悪用が発見される：カスタム・マルウェアの展開を警告

Cisco warns of NX-OS zero-day exploited to deploy custom malware

2024/07/01 BleepingComputer — Cisco が公表したのは、脆弱なスイッチに root 権限で未知のマルウェアをインストールするという、2024年4月の攻撃で悪用された、NX-OS のゼロデイ脆弱性 CVE-2024-20399 に対する修正である。サイバー・セキュリティ企業の Sygnia は、このインシデントを Cisco に報告し、同社が追跡している脅威アクター “Velvet Ant” による攻撃と関連付けた。Sygnia のインシデント対応の担当ディレクターである Amnon Kushnir は、「Velvet Ant として追跡している、中国由来のサイバー・スパイ・グループに関する大規模なフォレンジック調査中に、この悪用を検出した」と、 BleepingComputer に語っている。

Linux Kernel の権限昇格の脆弱性 CVE-2024-0193：技術的詳細と PoC が提供される

PoC Exploit Published for Linux Kernel Privilege Escalation Flaw (CVE-2024-0193)

2024/06/30 SecurityOnline — Linux Kernel の Netfilter サブシステムに存在する、脆弱性 CVE-2024-0193 (CVSS：7.8) の技術的詳細と PoC エクスプロイト・コードが、あるセキュリティ研究者により公開された。この脆弱性の悪用に成功したローカルの攻撃者は、権限を昇格させて任意のコードを実行し、カーネルに壊滅的なパニックをもたらす可能性を手にする。

Oracle WebLogic の古い脆弱性を悪用：暗号マイナーを展開する Water Sigbin とは？

Water Sigbin Threat Actor Targets Oracle WebLogic Servers to Deploy XMRig Cryptominer

2024/06/30 SecurityOnline — Oracle WebLogic サーバを標的とし、XMRig 暗号通貨マイナーを展開する Water Sigbin という脅威アクター (別名 8220 Gang) による巧妙なキャンペーンが、Trend Micro の研究者たちにより発見された。このグループが主として狙っているのは、暗号マイニング・マルウェアの展開であり、Oracle WebLogic Server の脆弱性 CVE-2017-3506／CVE-2023-21839 などを悪用して、多段攻撃を開始していることが判明している。

D-Link DIR-859 ルーターの脆弱性 CVE-2024-0769：EoL に PoC という状況

Hackers exploit critical D-Link DIR-859 router flaw to steal passwords

2024/06/29 BleepingComputer — D-Link DIR-859 WiFi ルーターの深刻な脆弱性を悪用するハッカーたちが、アカウント情報をデバイスから収集しているが、その中にはパスワードも含まれるという。なお、この脆弱性 CVE-2024-0769 (CVSS：9.8) は、2024年1月に公開されたものだ。

Midnight Blizzard による Microsoft 侵害：顧客のＥメール流出も判明

Microsoft Alerts More Customers to Email Theft in Expanding Midnight Blizzard Hack

2024/06/28 SecurityWeek — ロシアのハッキング・グループ Midnight Blizzard による、Microsoft の企業インフラへのハッキングの衝撃が、さらなる広がりを見せている。Microsoft とユーザー企業間のメールも盗まれていたという、顧客に対する新たな通知が発行されたのだ。この、2024年1月に発生した大規模な侵害で、Microsoft のソースコードとＥメールが流出したことで、同社に対する米国政府の調査とセキュリティ慣行の大幅な見直し要求へと発展した。しかし、新たに発見された侵害の内容により、より広範なユーザー企業にも被害が及んでいたことが判明した。

Ticketmaster がデータ侵害通知書を提出：さらに広がる Snowflake インシデント

Ticketmaster sends notifications about recent massive data breach

2024/06/28 BleepingComputer — Ticketmaster が開始した通知は、数百万人分のデータを取り込んだ同社の Snowflake データベースから、ハッカーが盗み出しデータにより影響を受けた、顧客に対するものである。メイン州司法長官事務所に提出された、Ticketmaster からのデータ侵害通知書には、「先日に、サードパーティであるデータサービス・プロバイダーがホストするクラウド・データベースから、権限のない第三者が情報を窃取したことを発見した」と、記されている。

悪意の Chrome エクステンション TRANSLATEXT：機密データを窃取する北朝鮮 Kimsuky の手口とは？

Kimsuky Using TRANSLATEXT Chrome Extension to Steal Sensitive Data

2024/06/28 TheHackerNews — 北朝鮮の脅威アクター Kimsuky が、機密情報を盗むように設計された、新たな悪意の Google Chrome エクステンションを使用して、情報収集活動を展開している。この活動を 2024年3月初旬に観測した Zscaler ThreatLabz は、このエクステンションのコードネームを TRANSLATEXT とし、電子メールアドレス／ユーザー名／パスワード／クッキー／ブラウザのスクリーン・ショットなどを、収集する機能を持つと指摘している。この標的型キャンペーンは、韓国の学術界を狙うものであり、特に北朝鮮の政治問題に関連するアカウントを標的にしたものだと見られている。