Exploit – Page 10 – IoT OT Security News

Citrix NetScaler に対するブルートフォースの急増：CVE-2024-8534／8535 に注意

Citrix NetScaler Under Siege: Significant Increase in Brute Force Attacks Observed

2024/12/12 SecurityOnline — Citrix NetScaler デバイスを狙うブルートフォース攻撃の、ドイツでの大幅な増加が確認されている。それらの NetScaler デバイスは、サポーが切れた古いものや、ミスコンフィグされているものだと、CERT Germany や BSI (German Federal Office for Information Security ) が警告している。これまでにも、Citrix NetScaler デバイスは、サイバー犯罪者が多用する標的となっている。2024年初頭に、NetScaler ADC／NetScaler Gateway において、２件のゼロデイ脆弱性が明らかになっている。最近のブルートフォース攻撃の急増は、それらの脆弱性の悪用により発生しており、このプラットフォームが攻撃を受けやすいことを示している。

Cleo の脆弱性 CVE-2024-50623 が標的：洗練された Java バックドアを検出

Modular Java Backdoor Emerges in Cleo Exploitation Campaign (CVE-2024-50623)

2024/12/12 SecurityOnline — Cleo ファイル転送ソフトウェアを標的とする多段階攻撃で展開された、洗練されたモジュール型の Java ベース RAT の存在を、Rapid7 Labs の MDR) チームが発見した。すでに問題視されている、脆弱性 CVE-2024-50623 を悪用するキャンペーンが示唆するのは、いまの脅威アクターたちの能力の、大幅な向上である。

WordPress の Hunk Companion プラグインの脆弱性 CVE-2024-11972 が FIX：ただちにパッチを！

Hunk Companion WordPress plugin exploited to install vulnerable plugins

2024/12/11 BleepingComputer — WordPress – Hunk Companion プラグインの深刻な脆弱性 CVE-2024-11972 を悪用する攻撃者たちが、WordPress.org リポジトリかた他のプラグインをダイレクトにインストールし、アクティブ化している。それらのプラグインは、既知の脆弱性を持つ古いものであり、また、エクスプロイトが可能なものであるため、そこから攻撃が拡大していく。

Windows UI Framework を悪用する新たな脅威：EDR ツールを回避する可能性

New Malware Technique Could Exploit Windows UI Framework to Evade EDR Tools

2024/12/11 TheHackerNews — Akamai の研究者が発見した新たなマルウェア手法は、UIA (UI Automation)と呼ばれる Windows のアクセシビリティ・フレームワークを悪用し、EDR (endpoint detection and response) ソリューションに検知されることなく、広範な悪意のアクティビティを可能にするものだ。同社のセキュリティ研究者である Tomer Peled は、「この手法を悪用する攻撃者は、UI Automation を使用するプログラムの実行を、ユーザーに事前に承諾させる必要がある。そうすることで、ステルス・コマンドの実行が可能となり、機密データの収集／フィッシング・サイトへのリダイレクトなどが試行されていく」と、The Hacker News に共有されたレポートで述べている。

Windows Installer を悪用する DCOM 攻撃：バックドアをステルス展開

New DCOM Attack Exploits Windows Installer for Backdoor Access

2024/12/11 HackRead — Microsoft の DCOM (Distributed Component Object Model) を悪用し、標的の Windows システムにバックドアをステルス展開するという新たな強力な攻撃手法が、Deep Instinct のサイバーセキュリティ研究者たちにより発見された。この攻撃手法は、Windows Installer サービスを悪用して、カスタム DLL をリモートで書き込み、アクティブなサービス内にロードし、任意のパラメータで実行するというものだ。なお、DLL (Dynamic Link Library) とは、複数のプログラムで共有されるコード／データ／リソースを含む Windows ファイルである。

Windows CLFS のゼロデイ脆弱性 CVE-2024-49138 が FIX：悪用も確認

Microsoft fixes exploited zero-day (CVE-2024-49138)

2024/12/10 HelpNetSecurity — Microsoft December 2024 Patch Tuesday では、同社の製品に存在する 71件の脆弱性が修正されたが、その中には、悪用が確認されているゼロデイ脆弱性 CVE-2024-49138 が含まれている。この脆弱性は、Windows CLFS (Common Log File System) ドライバのヒープバッファ・オーバーフローに起因する。Microsoft の指摘は、この脆弱性の悪用に成功した攻撃者は、ターゲット・ホストにおける権限を、SYSTEM に昇格させる可能性を手にするというものだ。

AWS のミスコンフィグを狙うハッカーたち：分業化された犯罪シンジケートの存在

Hackers Exploit AWS Misconfigurations in Massive Data Breach

2024/12/10 InfoSecurity — ハッキング・グループ Nemesis／ShinyHunters と関連付けられる大規模なサイバー攻撃は、不適切にコンフィグレーションされた公開 Web サイトの脆弱性を悪用するものであり、顧客情報／インフラの認証情報／独自のソースコードといった、機密データの漏洩につながっている。独立系サイバー・セキュリティ研究者である Noam Rotem と Ran Locar によると、Amazon Web Services (AWS) の IP レンジ内で攻撃者たちは、脆弱なエンドポイントを標的とする大規模なインターネット・スキャンを組織化していたという。

Microsoft 2024-12 月例アップデート：１件のゼロデイを含む 71件の脆弱性に対応

Microsoft December 2024 Patch Tuesday fixes 1 exploited zero-day, 71 flaws

2024/12/10 BleepingComputer — 今日は、Microsoft の December 2024 Patch Tuesday の日である。今月の Patch Tuesday では、71件の脆弱性に対するセキュリティ更新が提供されたが、その中には、公開された１件のゼロデイ脆弱性が含まれている。なお、今回の Patch Tuesday では、16件のリモート・コード実行の脆弱性が修正されている。

Cleo 製品群の脆弱性 CVE-2024-50623 の積極的な悪用：Huntress が PoC を公開

CVE-2024-50623: Critical Vulnerability in Cleo Software Actively Exploited in the Wild

2024/12/10 SecurityOnline — ファイル転送の管理ツール Cleo Harmony／VLTrader／LexiCom に存在する、脆弱性 CVE-2024-50623 が積極的に悪用されていると、Huntress Labs が警告している。脅威アクターたちは、数多くの組織を一斉に標的にしており、物流／配送／消費者製品などの業界で深刻な影響が生じている。

PyPI における Ultralytics AI の悪用：ビルド環境の侵害と XMRig マルウェアの展開

Ultralytics AI Library with 60M Downloads Compromised for Cryptomining

2024/12/09 HackRead — PyPI (Python Package Index) で人気を博す、Ultralytics AI ライブラリに悪意のコードを注入して、暗号通貨のマイニングを行うという攻撃が、ReversingLabs のサイバーセキュリティ研究者たちにより発見された。

Windows の脆弱性 CVE-2024-38193 (CVSS：7.8)： PoC エクスプロイトが提供

Windows Zero-Day Vulnerability CVE-2024-38193 Exploited in the Wild: PoC Published

2024/12/08 SecurityOnline — Windows の解放済みメモリの使用の脆弱性 CVE-2024-38193 (CVSS：7.8) が、ドライバ afd.sys において発見された。この脆弱性を悪用する攻撃者は、特権を昇格させて任意のコードを実行することで、Windows システムに重大な脅威をもたらす可能性を手にする。Exodus Intelligence のセキュリティ研究者である Luca Ginex は、この脆弱性に関する詳細な分析を行い、悪用のプロセスについて貴重な洞察を提供している。

DLL サイドローディングをエミュレート：Eclipse でコンテキスト・ハイジャック

Activation Context Hijacking: “Eclipse” PoC Weaponizes Trusted Processes

2024/12/08 SecurityOnline — BlackArrow のレッドチーム・オペレーターである、Kurosh Dabbagh Escalante が発表したのは、Eclipse という名の PoC ツールである。この Eclipse は、Activation Contexts ハイジャックと呼ばれる手法をエミュレートするものであり、ターゲット・プロセス内での任意の DLL のロード／実行を達成する。Escalante は、このツールを “DLL サイドローディング + DLL プロキシのより柔軟な代替手段” と表現し、信頼されたプロセスに任意のコードを挿入するという点で、幅広い用途があると述べている。

Web ブラウザの分離技術を回避：QR コード C2 通信のための PoC ツールとは？

QR codes bypass browser isolation for malicious C2 communication

2024/12/08 BleepingComputer — Mandiant が特定したのは、ブラウザの分離技術を回避し、QR コードを通じて Command and Control (C2) 操作を実現する、新しい方法である。このブラウザの分離技術とは、クラウド環境または仮想マシンでホストされるリモート Web ブラウザを介して、すべてのローカル Web ブラウザ・リクエストをルーティングするセキュリティ技術のことであり、日増しに普及するという状況にある。

Apache ActiveMQ の脆弱性 CVE-2023-46604：Mauri ランサムウェアが悪用

Mauri Ransomware Exploits Apache ActiveMQ Flaw (CVE-2023-46604)

2024/12/08 SecurityOnline — AhnLab Security Intelligence Response Center (ASEC) が明らかにしたのは、Apache ActiveMQ の深刻な脆弱性 CVE-2023-46604 を悪用する脅威アクターが、攻撃において Mauri ランサムウェアを展開し始めたことである。この脆弱性の悪用に成功した攻撃者は、パッチ未適用のサーバ上で、悪意のリモート・コマンドの実行を達成し、データ漏洩／システム侵害／ランサムウェア展開などを引き起こす可能性を手にする。

CISA KEV 警告 24/12/04：CyberPanel の脆弱性 CVE-2024-51378 を登録

CVE-2024-51378 (CVSS 10): Critical CyberPanel Flaw Under Active Attack, CISA Warns

2024/12/04 SecurityOnline — CISA は、CyberPanel の脆弱性 CVE-2024-51378 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この OSS の Web ホスティング・コントロールパネル CyberPanel に存在する、脆弱性 CVE-2024-51378 を積極的に悪用する攻撃者たちが、PSAUX／C3RB3R／Babuk などのランサムウェア亜種を展開していることが確認されている。

WhatsUp Gold の RCE 脆弱性 CVE-2024-8785：PoC エクスプロイトが提供

Exploit released for critical WhatsUp Gold RCE flaw, patch now

2024/12/03 BleepingComputer — Progress WhatsUp Gold に存在する、深刻な RCE 脆弱性 CVE-2024-8785 (CVSS v3.1：9.8) に対する、PoC エクスプロイト・コードが公開された。ユーザーに対して推奨されるのは、最新のセキュリティ・アップデートを、可能な限り早急にインストールすることだ。この脆弱性は、WhatsUp Gold 2023.1.0〜24.0.1 未満の NmAPI.exe プロセスに存在するものであり、2024年8月中旬の時点で Tenable により発見されたものだ。

CISA KEV 警告 24/12/03：Proself／ProjectSend／Zyxel の３件の脆弱性を登録

CISA Flags Three Actively Exploited Vulnerabilities in Critical Systems

2024/12/03 SecurityOnline — CISA が KEV カタログに追加したのは、実環境で積極的に悪用されている、Proself／ProjectSend／Zyxel の深刻なセキュリティ脆弱性である。組織および個人に対して求められるのは、潜在的な侵害を防ぐための、早急な対応である。

Zabbix の脆弱性 CVE-2024-42327 (CVSS：9.9)：PoCエクスプロイトが登場

PoC Exploit Releases for Critical Zabbix Vulnerability – CVE-2024-42327 (CVSS 9.9)

2024/12/03 SecurityOnline — Zabbix に影響を及ぼす深刻な SQL インジェクションの脆弱性 CVE-2024-42327 (CVSSv3：9.9) に対する、詳細な技術分析と PoC エクスプロイトコードが公開された。この脆弱性に対する PoC の登場により、広く利用されているエンタープライズ・ネットワーク／アプリケーション監視のための OSS プラットフォームである Zabbix の、デプロイメントに深刻な影響が及ぶ可能性が生じている。

TP-Link Archer AXE75 の脆弱性 CVE-2024-53375 が FIX：PoC エクスプロイトが提供

PoC Confirms Root Privilege Exploit in TP-Link Archer AXE75 Vulnerability (CVE-2024-53375)

2024/12/03 SecurityOnline — TP-Link Archer AXE75 ルーターで発見された、脆弱性 CVE-2024-53375 を悪用するリモートの攻撃者は、デバイス上での任意のコマンド実行の可能性を手にする。この深刻な欠陥により、HomeShield 機能に影響が生じることが判明している。また、ファームウェアバージョン 1.2.2 (ビルド 20240827) において、この悪用が可能であることが確認されている。

Cisco ASA の脆弱性 CVE-2014-2120：いまも積極的に悪用されている

The ASA flaw CVE-2014-2120 is being actively exploited in the wild

2024/12/03 SecurityAffairs — Cisco が発表したのは、10年前に発生した ASA の脆弱性 CVE-2014-2120 が、現実の攻撃で積極的に悪用されていると警告するものであり、更新されたアドバイザリを確認するようユーザーに促している。この脆弱性は、Cisco Adaptive Security Appliance (ASA) ソフトウェアの、WebVPN ログイン・ページに存在するものだ。この脆弱性を悪用する未認証のリモート攻撃者が、Cisco ASA 上の WebVPN ユーザーに対して、クロス・サイト・スクリプティング (XSS) 攻撃を仕掛ける可能性が懸念されている。

Windows Task Scheduler のゼロデイ CVE-2024-49039：PoC の公開と RomCom による悪用

Zero-Day Exploit Code Released for Windows Task Scheduler Flaw (CVE-2024-49039), Actively Exploited by RomCom Group

2024/12/02 SecurityOnline — Windows タスク・スケジューラに存在する、ゼロデイ脆弱性 CVE-2024-49039 (CVSS：8.8) に対する PoC エクスプロイト・コードが公開され、攻撃の増加が懸念されている。この脆弱性の悪用に成功した攻撃者は、特権を昇格させ、より高い整合性レベルでコードを実行することが可能になる。

Linux 標的のブートキット Bootkitty が登場：UEFI の脆弱性 LogoFAIL CVE-2023-40238 を悪用

Security Alert: Bootkitty Bootkit Targets Linux via UEFI Vulnerability (CVE-2023-40238)

2024/12/01 SecurityOnline — Bootkitty という、史上で初めて Linux システムを標的にする UEFI ブートキットが、Binarly と ESET のセキュリティ研究者たちにより発見された。この新たな脅威は、UEFI ファームウェアの欠陥である LogoFAIL と命名された脆弱性 CVE-2023-40238 を悪用するものであり、Secure Boot の保護をバイパスし、悪意のペイロードを注入する。

北朝鮮ハッカー RedAnt による Code on Toast 攻撃：IE のゼロデイ CVE-2024-38178 を悪用

Operation “Code on Toast”: A Deep Dive into TA-RedAnt’s Exploitation of Zero-Day Flaw (CVE-2024-38178)

2024/12/01 SecurityOnline — Operation Code on Toast と呼ばれる、高度で大規模なサイバー攻撃が、北朝鮮ハッカーの TA-RedAnt により展開されている。Internet Explorer の新たな脆弱性を悪用する攻撃の仕組みと、それに続くマルウェアの展開に関するレポートが、韓国の NCSC ( National Cyber Security Center) と AhnLab のセキュリティ研究者により公開されている。

Magento Checkout Pages が標的：動的なクレジットカード・スキマーとは？

Credit Card Skimmer Malware Uncovered: Targeting Magento Checkout Pages

2024/11/28 SecurityOnline — 大手 e コマース・プラットフォームでMagento が、いつものように、巧妙なサイバー犯罪者の攻撃の標的になっている。先日に、Sucuri のセキュリティ・アナリスト Puja Srivastava が報告したのは、Magento で稼働している Web サイトを侵害する、悪意の JavaScript インジェクションに関する情報である。この新しいマルウェアは、チェックアウトページをターゲットにして、支払いに関する情報機密のを、密かに盗み出しているという。

Zyxel の脆弱性 CVE-2024-11667：Helldown ランサムウェア展開での悪用を検出

CVE-2024-11667: Critical Vulnerability in Zyxel Firewalls Actively Exploited

2024/11/28 SecurityOnline — Zyxel ファイアウォールに存在する、深刻な脆弱性 CVE-2024-11667 が積極的に悪用されている状況を、CERT Germany (CERT-Bund) と Zyxel が観測し、警告している。この脆弱性は、Helldown ランサムウェアの展開に悪用されており、少なくとも５つのドイツの組織が侵害されたことが、一連の報告の初期段階で判明している。

Active Directory CS のゼロデイ CVE-2024-49019：PoC エクスプロイトが提供

Zero-Day in Active Directory Certificate Services: Researcher Exposes CVE-2024-49019 with PoC

2024/11/28 SecurityOnline — Active Directory Certificate Services (AD CS) に存在する、深刻なゼロデイ脆弱性 CVE-2024-49019 (CVSS：7.8) が、TrustedSec のセキュリティ研究者により発見された。この脆弱性は、証明書テンプレート version 1 の機能を悪用するものであり、登録権限を持つ攻撃者に対して、大幅な特権昇格を許す可能性が生じる。この脆弱性は、Microsoft の November Patch Tuesday で修正されたが、その潜在的な影響については、より詳細に調査する必要があるだろう。

Windows Driver の整数オーバーフローの脆弱性 CVE-N/A： PoC エクスプロイトが登場

Integer Overflow Vulnerability in Windows Driver Enables Privilege Escalation, PoC Published

2024/11/28 SecurityOnline — Windows オペレーティング・システムの ksthunk.sys ドライバーは、32 Bit から 64 Bit へのプロセス通信を容易にする機能を持つが、このコンポーネントに存在する深刻な脆弱性が、SSD Secure Disclosure の研究者により発見された。ローカル攻撃者に権限昇格を許す、この整数オーバーフローの脆弱性は、権威ある TyphoonPWN 2024 イベントで実証され、２位を獲得するほど注目されている。

RDP の脆弱性 CVE-2020-1472 がターゲット：Elpaco ランサムウェアの活動が捕捉された

Elpaco Ransomware: A New Threat Actor Leverages CVE-2020-1472 for Global Attacks

2024/11/27 SecurityOnline — 洗練されたランサムウェアの亜種 Elpaco が、Mimic ランサムウェア・ファミリーの進化形とし登場したことを、Kaspersky Labs が発表した。この高度なマルウェアは、多数のカスタマイズ機能を備えており、既知の脆弱性と正規のソフトウェア・ツールを悪用しながら密かに操作を実行し、世界中の被害者をターゲットにしている。

Salt Typhoon の武器庫を探査する：破壊力を静かに維持し続ける秘密は？

Salt Typhoon Builds Out Malware Arsenal With GhostSpider

2024/11/27 DarkReading — 中国由来の脅威アクター Salt Typhoon は、数年前から政府や通信などの重要組織をスパイしてきたが、新しいバックドア・マルウェアである GhostSpider もリリースしている。Salt Typhoon (別名 Earth Estries／FamousSparrow／GhostEmperor／UNC2286) は、中華人民共和国における最も選定的な APT の１つである。そのキャンペーンを、2023 年にまで遡ると、20 を超える組織を侵害してきたことが分かる。それらの標的となった組織には、世界中の最高レベルの組織という傾向があり、何年にもわたって侵害が検出されていないケースもある。最近の標的としては、米国の T-Mobile USA などの通信会社や、北米の ISP などが挙げられる。

NachoVPN という攻撃シミュレーター：Palo Alto／SonicWall の脆弱性を攻略

New VPN Attack Demonstrated Against Palo Alto Networks, SonicWall Products

2024/11/27 SecurityWeek — 各種の企業において用いられる VPN クライアントを、攻撃するための新たな手口の詳細が、サイバー・ソリューション・プロバイダー AmberWolf の研究者たちにより公開された。セキュアなリモート・アクセスのために多用される VPN だが、それにより生じる攻撃対象領域は無視できないと、AmberWolf の研究者たちは示唆している。

ProjectSend の脆弱性 CVE-2024-11680 (CVSS 9.8)：大量の未パッチ・インスタンスと PoC エクスプロイト

CVE-2024-11680 (CVSS 9.8): Critical ProjectSend Vulnerability Actively Exploited, PoC Published

2024/11/27 SecurityOnline — ProjectSend の深刻な脆弱性 CVE-2024-11680 (CVSS：9.8) が、積極的に悪用されていると、VulnCheck がレポートしている。この OSS のファイル共有 Web アプリケーションに対しては、2023年5月の時点でパッチが提供されているが驚くべきことに、ProjectSend インスタンスの 99% がパッチ未適用であり、悪用の危険性が高まっている。

RomCom が展開する攻撃チェーン：Firefox の CVE-2024-9680 と Windows CVE-2024-49039 を悪用

RomCom Exploits Zero-Days in Firefox (CVE-2024-9680) & Windows (CVE-2024-49039) with No User Interaction

2024/11/26 SecurityOnline — ロシア由来の脅威アクター RomCom による、Mozilla Firefox／Microsoft Windows のゼロデイ脆弱性を悪用する協調攻撃が、最近の ESET サイバー・セキュリテ・レポートで明らかにされた。これらの脆弱性は未知のものであるが、実際に悪用されているという。ユーザーの介入を必要とせずに、攻撃者による悪意のコード実行が可能になるという、高度な技術が検証されている。

macOS Ventura の脆弱性 CVE-2023-32428 が FIX：PoC エクスプロイトも提供

macOS Vulnerability (CVE-2023-32428) Grants Root Access, PoC Published

2024/11/26 SecurityOnline — Apple の MallocStackLogging フレームワークに存在する、ローカル権限昇格 (LPE) の脆弱性を悪用する攻撃者が、macOS システムの制御を取得する可能性について、セキュリティ研究者の Gergely Kalman が解説している。この脆弱性 CVE-2023-32428 (CVSS：7.8) の悪用が実証するのは、正当に見える開発ツールを操作して、セキュリティ対策を回避し、高権限アカウントを侵害する方法である。

CISA KEV 警告 24/11/25：Array Networks AG／vxAG の脆弱性 CVE-2023-28461 を登録

CISA Urges Agencies to Patch Critical “Array Networks” Flaw Amid Active Attacks

2024/11/26 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) が、Array Networks AG／vxAG に存在する脆弱性をKEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2023-28461 (CVSS：9.8) は、認証の欠落を原因とするものであり、任意のリモート・コード実行を引き起こす可能性を持つとされる。Array Networks は、2023年3月の時点で、このセキュリティ上の欠陥に対する修正バージョン 9.4.0.484 をリリースしている。

Palo Alto GlobalProtect App の脆弱性 CVE-2024-5921 が FIX：PoC も公開

Palo Alto Networks Warns of GlobalProtect App Flaw with Public Exploit Code (CVE-2024-5921)

2024/11/25 SecurityOnline — Palo Alto Networks が公開したのは、GlobalProtect App の脆弱性 CVE-2024-5921 に関するセキュリティ勧告である。この脆弱性の悪用に成功した攻撃者は、エンドポイントに悪意のソフトウェアをインストールする可能性を得る。この脆弱性 CVE-2024-5921 は、不十分な証明書の検証に起因するものであり、任意のサーバへの GlobalProtect App の接続を、攻撃者に許す可能性も生じるという。それにより攻撃者は、エンドポイントに悪意のルート証明書をインストールし、その証明書で署名された悪意のソフトウェアのインストールを可能にする。

PHP の脆弱性 CVE-2024-8929 などが FIX：PoC も提供されている

PHP Patches Multi Flaws, Including CVE-2024-8932 (CVSS 9.8), Urges Immediate Update

2024/11/25 SecurityOnline — PHP 開発チームがリリースしたのは、バージョン 8.1.31／8.2.26／8.3.14 未満に影響を及ぼす、複数の脆弱性に対処するための緊急セキュリティ・アップデートである。これらの脆弱性の深刻度は多様であり、また、機密情報の漏洩／任意のコード実行／サービス拒否攻撃などを、攻撃者に許すという可能性が生じる。

CISA KEV 警告 24/11/21：Apple と Oracle のゼロデイ脆弱性３件を登録

CISA Sounds the Alarm on Actively Exploited Apple and Oracle Zero-Days

2024/11/22 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Apple および Oracle の製品に存在し、活発に悪用されている、３件の脆弱性に対する緊急警告である。これらの脆弱性が、CISA の KEV カタログに追加されたことで、ユーザーによる速やかな更新の必要性が強調される。

AnyDesk の脆弱性 CVE-2024-52940：パッチ未適用の状態で PoC が公開

CVE-2024-52940: AnyDesk Vulnerability Exposes User IP Addresses, PoC Published

2024/11/21 SecurityOnline — AnyDesk で発見された脆弱性 CVE-2024-52940 は、Windows システム上の Allow Direct Connections 機能の欠陥に起因するものであり、攻撃者に対してユーザー IP アドレスの特定を許し、重大なプライバシー・リスクをもたらす可能性があるものだ。この人気のリモート・デスクトップ・ソフトウェアに存在する脆弱性は、セキュリティ研究者である Ebrahim Shafiei により発見された。

Palo Alto PAN-OS の脆弱性 CVE-2024-0012／9474：2,000 台以上のデバイスが危機に直面

Over 2,000 Palo Alto firewalls hacked using recently patched bugs

2024/11/21 BleepingComputer — Palo Alto Networks のファイアウォールに存在する、２つのゼロデイ脆弱性に対してパッチが適用されたが、すでに数千台のデバイスで侵害が生じていることが判明した。一連の攻撃で悪用されたのは、 PAN-OS の管理 Web インターフェイスに存在する認証バイパスの脆弱性 CVE-2024-0012 と、PAN-OS の特権昇格の脆弱性 CVE-2024-9474 である。この２つの脆弱性を悪用するリモートの攻撃者は、管理者権限の不正な取得と、その権限でのコマンド実行を可能にすることが明らかになっている。

Palo Alto の脆弱性 CVE-2024-0012／9474：技術的な詳細と PoC エクスプロイトの提供

Analysis & PoC Exploits Released for Palo Alto Zero-Days – CVE-2024-0012 and CVE-2024-9474

2024/11/19 SecurityOnline — 最近の大きな話題である、Palo Alto Networks の Next-Generation Firewalls (NGFW) に影響を及ぼす、２件のゼロデイ脆弱性の技術的な詳細が、watchTowr のセキュリティ研究者である Sonny により明らかにされた。この CVE-2024-0012／CVE-2024-9474 については、米国の CISA などのサイバー・セキュリティ機関も注目している。CISA では、この２つの脆弱性を KEV カタログに追加し、連邦政府機関に対しては、12月9日までにパッチを適用するよう指示している。

Cobbler の脆弱性 CVE-2024-47533 が FIX：Linux の制御を奪う PoC も登場

CVE-2024-47533 (CVSS 9.8): Cobbler Vulnerability Exposes Linux Servers to Compromise

2024/11/19 SecurityOnline — ネットワーク・ベースの導入に多用される、Linux インストール・サーバ Cobbler に、深刻な脆弱性が発見された。この脆弱性 CVE-2024-47533 (CVSS：9.8) の悪用に成功した、権限を持たない攻撃者は、Cobbler サーバの制御を完全に奪う可能性を手にする。

CISA KEV 警告 24/11/18：Progress Kemp LoadMaster の脆弱性を登録

CISA tags Progress Kemp LoadMaster flaw as exploited in attacks

2024/11/19 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) が、KEV カタログに３件の脆弱性を追加したが、その中には、Progress Kemp LoadMaster に影響を及ぼす深刻なな OS コマンド・インジェクションの脆弱性も含まれる。Rhino Security Labs により発見された、この脆弱性 CVE-2024-1212 は、2024年2月21日にリリースされたアップデートにより対処されれている。そして、今回の KEV 登録が、実際の悪用を示す、初めての報告となる。

Apple 製品群の脆弱性 CVE-2024-44308／44309 が FIX：悪用を観測

CVE-2024-44308 and CVE-2024-44309: Apple Addresses Zero-Day Vulnerabilities

2024/11/19 SecurityOnline — Apple が公表したのは、同社の製品に存在する、２件の深刻なゼロデイ脆弱性 CVE-2024-44308／CVE-2024-44309 に関する情報である。この脆弱性が悪用されると、何百万台もの iPhone／iPad／Mac に加えて、最先端の Vision Pro ヘッドセットが攻撃にさらされる可能性があるという。したがって、Apple ユーザーに対して強く推奨されるのは、各デバイスの速やかな更新となる。

Oracle Agile PLM の脆弱性 CVE-2024-21287 が FIX：悪用も確認されている

Oracle warns of Agile PLM file disclosure flaw exploited in attacks

2024/11/19 BleepingComputer — Oracle Agile Product Lifecycle Management (PLM) に存在する、認証を必要としないファイル開示の脆弱性 CVE-2024-21287 が修正された。このゼロデイ脆弱性は、ファイルを不正にダウンロードするために、積極的に悪用されていた。Oracle Agile PLM は、企業のグローバル・チーム間において、製品データ／プロセス／コラボレーションを管理するためのソフトウェア・プラットフォームである。

Helldown ランサムウェアの調査：Zyxel VPN の脆弱性 CVE-2024-42057 を悪用か？

Helldown ransomware exploits Zyxel VPN flaw to breach networks

2024/11/19 BleepingComputer — Helldown という新たなランサムウェア攻撃により、Zyxel ファイアウォールの脆弱性が狙われ、企業ネットワークへの侵入／データの窃取／デバイスの暗号化などが発生しているようだ。フランスのサイバー・セキュリティ企業 Sekoia は、最近の Helldown 攻撃の観察に基づき、中程度の確信を持って報告している。

CVE から PoC へ：Windows におけるローカル権限昇格を整理する GitHub リポジトリとは？

From CVE to PoC: A Collection Maps Windows Privilege Escalation Landscape

2024/11/18 SecurityOnline — Microsoft Windows オペレーティングシステムに影響を与える、ローカル権限昇格 (LPE) 脆弱性に対して開発されたエクスプロイトの包括的なコレクションを、セキュリティ研究者の Michael Zhmaylo が整理した。この、Github にホストされているリポジトリは、権限昇格攻撃に対する理解と軽減に関心のある、セキュリティ研究者／侵入テスト担当者／システム管理者にとって貴重なリソースとして機能する。

LibreNMS の脆弱性 CVE-2024-51092 が FIX：PoC エクスプロイトも提供

LibreNMS Vulnerability (CVE-2024-51092): Mitigating the Risk of Server Compromise

2024/11/18 SecurityOnline — 先日の LibreNMS プロジェクトのセキュリティ・アドバイザリで明らかになったのは、バージョン 24.9.1 以下に影響を及ぼす、深刻な脆弱性 CVE-2024-51092 (CVSS：9.1) の存在である。この、広く使用されるネットワーク監視プラットフォームの脆弱性が、認証された攻撃者により悪用されると、任意の OS コマンドの実行により、サーバの完全に乗っ取りにいたる可能性がある。

Fortinet VPN のゼロデイ CVE-N/A を狙う：BrazenBamboo の戦術とは？

Chinese hackers exploit Fortinet VPN zero-day to steal credentials

2024/11/18 BleepingComputer — Fortinet FortiClient Windows VPN クライアントに存在する、ゼロデイ脆弱性を悪用する中国の脅威アクターたちは、”DeepData” というカスタムなポスト・エクスプロイト・ツールキットを用いて認証情報を盗み出している。このゼロデイ脆弱性の悪用に成功した脅威アクターは、VPN デバイスでユーザーが認証された後のメモリから、認証情報のダンプを可能にする。

Palo Alto ファイヤーウォールの脆弱性 CVE-2024-0012 に待望のパッチ適用：すでに攻撃も確認

Palo Alto Networks patches two firewall zero-days used in attacks

2024/11/18 BleepingComputer — Palo Alto Networks がリリースした、待望のセキュリティ・アップデートは、Next-Generation Firewalls (NGFW) で積極的に悪用されている、２件のゼロデイ脆弱性に対するものである。１つ目の脆弱性 CVE-2024-0012 は、PAN-OS 管理 Web インターフェイスで発見された認証バイパスの欠陥である。それを悪用するリモート攻撃者は、認証およびユーザー・インタラクションを必要とせずに、管理者権限の取得を可能にする。２つ目の脆弱性 CVE-2024-9474 は、PAN-OS 権限昇格の脆弱性であり、悪意の PAN-OS 管理者も対して、ファイヤーウォール上でのルート権限によるアクションを許すものとなる。

VMware vCenter の脆弱性 CVE-2024-38812／38813：悪用の観測と CISA KEV 登録

Recently disclosed VMware vCenter Server bugs are actively exploited in attacks

2024/11/18 SecurityAffairs — VMware vCenter Server に存在する、２つの脆弱性 CVE-2024-38812／CVE-2024-38813 が、現実の攻撃で悪用されていると Broadcom が警告している。同社のアドバイザリには、「脆弱性 CVE-2024-38812／CVE-2024-38813 の悪用が、実際に発生していることを、Broadcom の VMware が確認した」と記載されている。