Notepad++ Plugin を悪用する脅威アクターたち:侵入後に永続性を確保する可能性

Notepad++ Plugins Allow Attackers to Infiltrate Systems, Achieve Persistence

2022/09/15 InfoSecurity — Notepad++ プラグインの悪用に成功した行為アクターたちが、セキュリティ機構を回避し、被害者のマシン上で永続性を確保する可能性があることを、セキュリティ企業 Cybereason の最新調査結果が示唆している。同社の水曜日のアドバイザリには、「オープンソース・プロジェクトである Notepad++ Plugin Pack を用いて、RastaMouse と名乗るセキュリティ研究者が、永続化メカニズムとして使用できる悪意のプラグインの構築方法を実証した」と記している。

Continue reading “Notepad++ Plugin を悪用する脅威アクターたち:侵入後に永続性を確保する可能性”

CISA KEV 警告 22/09/08:Chrome/ D-Link/QNAP などの 12件の脆弱性が追加

CISA orders agencies to patch Chrome, D-Link flaws used in attacks

2022/09/08 BleepingComputer — CISA は、攻撃に悪用されるバグ・リストに、D-Link の2つの深刻な脆弱性と、Google Chrome および QNAP Photo Station ソフトウェアの2つの (パッチ適用済) ゼロデイを含む、全体で 12件のセキュリティ欠陥を追加した。Google Chrome のゼロデイ (CVE-2022-3075) は、9月2日に緊急セキュリティ・アップデートでパッチが適用されたが、野放し状態での悪用を同社が認識したことで、このリストに加えられた。

Continue reading “CISA KEV 警告 22/09/08:Chrome/ D-Link/QNAP などの 12件の脆弱性が追加”

QNAP 対 Deadbolt:Photo Station のゼロデイ脆弱性を悪用する新たな攻撃

QNAP patches zero-day used in new Deadbolt ransomware attacks

2022/09/05 BleepingComputer — QNAP Photo Station のゼロデイ脆弱性を悪用する、土曜日から始まった新たな DeadBolt ランサムウェア攻撃について、顧客へ警告が発せられた。同社は、このセキュリティ脆弱性にパッチを適用したが、攻撃は今日も続いている。QNAP はセキュリティ通知において、「今日、QNAP は、セキュリティ脅威として DeadBolt ランサムウェアを検出した。この攻撃は、ダイレクトにインターネット接続されている QNAP NAS を暗号化するために、Photo Station の脆弱性を悪用している」と述べている。

Continue reading “QNAP 対 Deadbolt:Photo Station のゼロデイ脆弱性を悪用する新たな攻撃”

Atlassian Bitbucket Server の深刻な RCE 脆弱性:PoC エクスプロイトの前にパッチ適用を!

Atlassian Bitbucket Server vulnerable to critical RCE vulnerability

2022/08/26 BleepingComputer — Atlassian は、Bitbucket Server/Data Center ユーザーに対して、深刻なセキュリティ脆弱性を警告するセキュリティ・アドバイザリを公開した。この脆弱性の悪用に成功した攻撃者に対して、脆弱なインスタンス上での任意のコード実行を許す可能性があるという。Bitbucket とは、Jira と Trello が統合された、Git ベースのコード・ホスティング/マネージメント/コラボレーション・ツールのことである。

Continue reading “Atlassian Bitbucket Server の深刻な RCE 脆弱性:PoC エクスプロイトの前にパッチ適用を!”

SysAid で Log4j の脆弱性を悪用:イラン政府のハッカーがイニシャル・アクセスに成功

Iranian Government Hackers Exploit Log4Shell in SysAid Apps for Initial Access

2022/08/26 SecurityWeek — イラン政府に関連するとされる脅威グループが、SysAid の Log4Shell 脆弱性を悪用し、ターゲットの組織へのイニシャル・アクセスを確立したようだ。Apache Log4j のロギング・ユーティリティに影響を与える脆弱性 Log4Shell は、2021年12月に明るみに出たものである。この脆弱性 CVE-2021-44228 は、リモート・コード実行に悪用される可能性があり、営利目的のサイバー犯罪者に加えて、国家に支援されるサイバー・スパイにも悪用されてきた。 

Continue reading “SysAid で Log4j の脆弱性を悪用:イラン政府のハッカーがイニシャル・アクセスに成功”

CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加

CISA adds 7 vulnerabilities to list of bugs exploited by hackers

2022/08/19 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ハッカーに活発に悪用されているバグのリストに7つの脆弱性を追加した。その内容は、新たな脆弱性として Apple/Microsoft/SAP/Google の4社が公開したものと、Palo Altos Networks の2017年の脆弱性で構成されている。Known Exploited Vulnerabilities Catalog (KEV) は、CISA が共有するリストであり、サイバー攻撃での活発な悪用が判明している脆弱性に対して、連邦政府民間行政機関 (FCEB) がパッチ適用の義務を負うものである。

Continue reading “CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加”

Microsoft Windows のゼロデイ脆弱性 DogWalk が FIX:MSDT に関連する RCE

Microsoft patches Windows DogWalk zero-day exploited in attacks

2022/08/09 BleepingComputer — Microsoft が公開したセキュリティ更新プログラムには、悪用コードが公開され、攻撃に悪用されている、深刻度の高い Windows のゼロデイ脆弱性に対処するものも含まれている。August 2022 Patch Tuesday の一部として修正された、このセキュリティ脆弱性は、現在 CVE-2022-34713 として追跡され、DogWalk と名付けられている。

Continue reading “Microsoft Windows のゼロデイ脆弱性 DogWalk が FIX:MSDT に関連する RCE”

VMware の認証バイパスの脆弱性 CVE-2022-31656:PoC エクスプロイトが公開

VMware warns of public exploit for critical auth bypass vulnerability

2022/08/09 BleepingComputer — VMware 製品群に存在し、攻撃者に管理者権限の取得を許してしまう、認証バイパスに関する深刻な脆弱性について、PoC エクスプロイト・コードがオンラインで一般公開されていることが判明した。先週に VMware は、VMware Workspace ONE Access/Identity Manager/vRealize Automation に影響をおよぼす、この脆弱性 CVE-2022-31656 に対してアップデートをリリースした。

Continue reading “VMware の認証バイパスの脆弱性 CVE-2022-31656:PoC エクスプロイトが公開”

Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する

Log4j Software Flaw ‘Endemic,’ New Cyber Safety Panel Says

2022/07/14 SecurityWeek — ジョー・バイデン大統領が設立した、新しい Cyber Safety Review Board によると、昨年に発見された、どこにでもあるソフトウェアに存在する脆弱性は、潜在的に 10年以上にわたってセキュリティ・リスクをもたらす風土病のようなものになるという。木曜日の報告書で、このサイバー安全審査委員会は、Log4j の脆弱性 CVE-2021-44228 による大規模なサイバー攻撃の兆候はないが、今後の数年間は悪用され続けるだろうと述べている。

Continue reading “Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する”

Microsoft が詳述:Apple iOS/macOS のサンドボックス・エスケープの脆弱性

Microsoft Details App Sandbox Escape Bug Impacting Apple iOS, iPadOS, macOS Devices

2022/07/14 TheHackerNews — 水曜日に Microsoft は、Apple の OS に影響を及ぼすセキュリティ脆弱性 (パッチ適用済み) について詳細を明らかにした。この脆弱性の悪用に成功した攻撃者は、対象デバイスで特権へ昇格し、マルウェアを展開できるようになる。Microsoft 365 Defender Research Team の Jonathan Bar Or は、「攻撃者は、このサンドボックス脱出の脆弱性を悪用し、影響が生じるデバイス上で昇格した特権を取得し、悪意のコマンド実行により、追加のペイロードをインストールできる」と記述している

Continue reading “Microsoft が詳述:Apple iOS/macOS のサンドボックス・エスケープの脆弱性”

Google Chrome のゼロデイ脆弱性 CVE-2022-2294 が FIX:野放し状態の攻撃を確認

Google patches new Chrome zero-day flaw exploited in attacks

2022/07/04 BleepingComputer — Google は、Chrome 103.0.5060.114 for Windows をリリースし、攻撃者に悪用される可能性のある、深刻度の高いゼロデイ脆弱性に対処した。それは、2022年にパッチが適用された、4番目の Chrome ゼロデイとなる。月曜日に公開したセキュリティ・アドバイザリで、「Google は、CVE-2022-2294 のエクスプロイトが野放しで存在することを認識している」と述べている。

Continue reading “Google Chrome のゼロデイ脆弱性 CVE-2022-2294 が FIX:野放し状態の攻撃を確認”

Atlassian Confluence の脆弱性 CVE-2022-26134:50件のアクセス権を販売する驚異アクターが登場

Threat actors sell access to tens of vulnerable networks compromised by exploiting Atlassian 0day

2022/06/26 SecurityAffairs — 先日に発見された、Atlassian Confluence のゼロデイ欠陥 (CVE-2022-26134) の悪用により、侵入を許してしまった 50件の脆弱のネットワークへのイニシャル・アクセスが、ある脅威アクターにより販売されている。この発見は、Rapid7 Threat Intelligence チームによるものでありで、その情報は The Record で公開されている。この脆弱なネットワークへのイニシャル・アクセスは、ロシア語のフォーラム XSS で提供されていた。

Continue reading “Atlassian Confluence の脆弱性 CVE-2022-26134:50件のアクセス権を販売する驚異アクターが登場”

CISA と CGCYBER の Log4Shell 共同勧告:依然として VMware Server はハッキング対象

CISA: Log4Shell exploits still being used to hack VMware servers

2022/06/23 BleepingComputer — 今日の CISA 警告は、Log4Shell のリモート・コード実行の脆弱性  CVE-2021-44228 が、国家を後ろ盾とするハッキング・グループなどの脅威アクターに悪用されており、VMware Horizon/Unified Access Gateway(UAG)サーバーが依然として標的にされているというものだ。攻撃者たちは、ローカルまたはインターネットにアクセスできる脆弱なサーバー上で、 Log4Shell をリモートがら悪用することで、機密データが保存される内部システムへのアクセスを獲得するまで、ネットワーク上の水平移動が可能になる。

Continue reading “CISA と CGCYBER の Log4Shell 共同勧告:依然として VMware Server はハッキング対象”

Hertzbleed サイドチャネル攻撃:Intel/AMD の最新 CPU から暗号化キーが漏れる

Hertzbleed Side-Channel Attack allows to remotely steal encryption keys from AMD and Intel chips

2022/06/15 SecurityAffairs — テキサス大学/イリノイ大学/ワシントン大学の研究者たちは、Hertzbleed と呼ばれる新たなサイドチャネル攻撃の技術を考案し、最新の Intel/AMD チップからリモートの攻撃者が、暗号化キーを盗み出せることを証明した。研究者たちは、「Hertzbleed は、サイドチャネル攻撃の新しいファミリーである周波数サイドチャネルである。最悪の場合、これらの攻撃に成功した攻撃者は、以前は安全だと信じられていたリモートサーバーから、暗号化キーを抽出できるようになる」と述べている。研究者たちは、2022年8月10日~12日にボストンで開催される、第31回 USENIX セキュリティ・シンポジウムで、この研究成果を発表する予定だという。

Continue reading “Hertzbleed サイドチャネル攻撃:Intel/AMD の最新 CPU から暗号化キーが漏れる”

Atlassian Confluence の深刻な脆弱性 CVE-2021-26084 を Linux ボットネットが侵害

Linux botnets now exploit critical Atlassian Confluence bug

2022/06/08 BleepingComputer — Atlassian の Confluence Server/Data Center に存在するリモートコード実行 (RCE) 脆弱性を、複数のボットネットが狙っており、パッチが適用されていない Linux サーバーへの感染が広まっている。この脆弱性 CVE-2021-26084 の悪用に成功した未認証の攻撃者は、新たな管理者アカウントを作成し、コマンドを実行し、インターネットに公開されたサーバーを乗っ取り、最終的にはバックドアとしてリモート操作することが可能となる。

Continue reading “Atlassian Confluence の深刻な脆弱性 CVE-2021-26084 を Linux ボットネットが侵害”

Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている

Windows zero-day exploited in US local govt phishing attacks

2022/06/06 BleepingComputer — 欧州政府および米国の地方自治体が、Windows の深刻なゼロデイ脆弱性 Follina を悪用する、RTF 文書を介したフィッシング・キャンペーンのターゲットになっている。BleepingComputer は、このキャンペーンの標的となった、少なくとも2つの米国の地方自治体を確認している。エンタープライズ・セキュリティ企業 Proofpoint のセキュリティ研究者は、「Proofpoint は、脆弱性 Follina CVE-2022-30190 を悪用しようとする、欧州政府および米国の地方政府を標的とした、国家ぐるみのフィッシング・キャンペーンをブロックした」と明かしている。

Continue reading “Windows のゼロデイ脆弱性 Follina:フィッシング攻撃で積極的に悪用されている”

Atlassian Confluence の脆弱性 CVE-2022-26134:パッチ適用前にハッカーが悪用

Hackers Exploiting Unpatched Critical Atlassian Confluence Zero-Day Vulnerability

2022/06/02 TheHackerNews — Atlassian が発した警告は、Confluence Server/Data Center に影響をおよぼすリモート・コード実行の脆弱性に関して、パッチ適用前のシステムが数多く存在し、それらが活発に悪用されているというものだ。 オーストラリアに本拠を置く Atlassian は、サイバーセキュリティ会社 Volexity が、脆弱性 CVE-2022-26134 を特定したことの功績を認めている。

Continue reading “Atlassian Confluence の脆弱性 CVE-2022-26134:パッチ適用前にハッカーが悪用”

Conti の置きみやげ:Intel ファームウェアを標的とするスティルス攻撃が消えない

Conti ransomware targeted Intel firmware for stealthy attacks

2022/06/02 BleepingComputer — Conti ランサムウェアから流出したチャットを分析した研究者たちは、ロシアのサイバー犯罪グループ内のチームが、ファームウェアのハッキングを積極的に行ってきたことを発見した。このサイバー犯罪シンジケートのメンバーたちが交わしたメッセージによると、Conti の開発者は、Intel の Management Engine (ME) を活用してフラッシュを上書きし、System Management Mode (SMM) を実行させる PoC コードを作成していたことが判明した。

Continue reading “Conti の置きみやげ:Intel ファームウェアを標的とするスティルス攻撃が消えない”

R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明

Researchers Devise Attack Using IoT and IT to Deliver Ransomware Against OT

2022/06/01 SecurityWeek — ランサムウェアとは、恐喝の一種である。その唯一の目的は、被害者から金銭を引き出すことだ。産業界が身代金要求の回避に成功すると、攻撃者はもう一つのレベルの強要を、すなわちデータ恐喝を追加するという、二重の強要を作り出した。防御側が二重の恐喝を上手くわすようになると、攻撃者は再び進化を遂げるだろう。最も明白な道は、IT だけでなく OT (Operational Technology も攻撃することだろう。OT に対する攻撃の実現は困難だが、その効果を緩和することも同様に困難である。サイバー恐喝の進化は、OT に対する攻撃を、単なる可能性には留まらせない。

Continue reading “R4IoT キルチェーン実証概念:IoT/IT からの侵入と OT へのランサムウェア攻撃を簡潔に証明”

Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?

New Windows Search zero-day added to Microsoft protocol nightmare

2022/06/01 BleepingComputer — Windows Search で見つかった新たなゼロデイ脆弱性は、Word 文書を起動するだけで、リモートにホストされているマルウェア実行ファイルを取り込んだかたちで、検索ウィンドウを自動的に開いてしまうとされる。このセキュリティ上の問題は、Windows が search-ms と呼ばれる URI プロトコル・ハンドラをサポートしているため、アプリケーションと HTML リンクを組み合わたせた、悪意の検索にも利用されてしまう。

Continue reading “Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?”

Microsoft Office のゼロデイ脆弱性 Follina:中国の国家支援ハッカーが積極的に悪用

Chinese Hackers Begin Exploiting Latest Microsoft Office Zero-Day Vulnerability

2022/05/31 TheHackerNews — 中国国家に支援される高度持続的脅威 (APT) 脅威アクターが、Microsoft Office の新しいゼロデイ脆弱性を武器にして、侵害したシステムでコード実行を可能にしていることが確認された。エンタープライズ・セキュリティ企業である Proofpoint は、「この TA413 CN APT は、脆弱性 Follina を悪用することで、悪意の URL から ZIP アーカイブを配信し、そこに含まれる Word ドキュメントを攻撃に使用する。いまは、それが野放しの状態である。このキャンペーンは、中央チベット自治政府の Women Empowerments Desk になりすまし、ドメイン tibet-gov.web[.]app を使用している」とツイートで述べている。

Continue reading “Microsoft Office のゼロデイ脆弱性 Follina:中国の国家支援ハッカーが積極的に悪用”

Microsoft Office の脆弱性 Follina に緩和策:ベンダーと研究者の見解に相違が

Microsoft Releases Workarounds for Office Vulnerability Under Active Exploitation

2022/05/30 TheHackerNews — 日本マイクロソフトは、同社の Office で発見されたゼロデイ脆弱性の悪用に成功した攻撃者に、システム上でのコード実行を許してしまう問題への緩和策を発表した。現時点で、この脆弱性 CVE-2022-30190 の CVSS 値は 7.8 と評価されている。Microsoft の Office 2013/2016/2019/2021、および Professional Plus エディションが影響を受けるとされている。

Continue reading “Microsoft Office の脆弱性 Follina に緩和策:ベンダーと研究者の見解に相違が”

Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行

Watch Out! Researchers Spot New Microsoft Office Zero-Day Exploit in the Wild

2022/05/30 TheHackerNews — サイバー・セキュリティ研究者たちは、Microsoft Office のゼロデイ脆弱性の悪用に成功した脅威アクターに、Windows システム上での任意のコード実行を許す可能性があるという注意を呼びかけている。この脆弱性は、nao_sec として知られる独立系のサイバー・セキュリティ研究チームが、ベラルーシの IP アドレスから VirusTotal にアップロードされた Word 文書 [05-2022-0438.doc] を発見したことで明らかになった。

Continue reading “Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行”

EnemyBot の狙う脆弱性がエグイ:即座に VMware/Spring/F5 BIG-IP に対応

EnemyBot malware adds exploits for critical VMware, F5 BIG-IP flaws

2022/05/29 BleepingComputer — 複数のマルウェア・コードをベースにしたボットネット EnemyBot は、Webサーバー/CMS/IoT/Android 端末などで公開されたばかりの、深刻な脆弱性の悪用に迅速に対応し、その範囲を拡大している。このボットネットは、Securonix の研究者により 3月に初めて発見され、Fortinet から新しいサンプルの分析結果が提供された 4月には、すでに 12種類以上のプロセッサ・アーキテクチャの不具合を統合していた。このマルウェアは、分散型サービス拒否 (DDoS) 攻撃を主目的としており、新しいターゲット・デバイスをスキャンして感染させるモジュールも備えている。

Continue reading “EnemyBot の狙う脆弱性がエグイ:即座に VMware/Spring/F5 BIG-IP に対応”

BPFDoor マルウェアは Solaris の脆弱性 CVE-2019-3010 を悪用して root を奪う

BPFDoor malware uses Solaris vulnerability to get root privileges

2022/05/25 BleepingComputer — Linux および Solaris 向けのステルス型マルウェア BPFdoor の、内部構造に関する新たな研究により、このマルウェアの背後にいる脅威アクターは、標的システム上で持続性を得るために、古い脆弱性を利用していることが明らかになった。BPFDoor はカスタム・バックドアであり、少なくとも5年間において、通信/政府/教育/物流などの組織への攻撃で、ほとんど検出されずに使用されてきた。

Continue reading “BPFDoor マルウェアは Solaris の脆弱性 CVE-2019-3010 を悪用して root を奪う”

偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式

Cybersecurity Community Warned of Fake PoC Exploits Delivering Malware

2022/05/24 SecurityWeek — サイバー・セキュリティ・コミュニティのメンバーたちに、PoC エクスプロイトだと偽ってマルウェアを配信する、脅威アクターたちの新たな動きが、研究者たちにより暴かれた。5月19日に研究者たちは、2022日4月の Patch Tuesday アップデートで Microsoft が修正した、Windows の脆弱性数件の PoC エクスプロイトに見せかけた、悪意のソフトウェアが GitHub にホストされていることを報告した。

Continue reading “偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式”

VMware の認証バイパスの脆弱性 CVE-2022-22972:PoC エクスプロイトの前にパッチ適用を

Researchers to release exploit for new VMware auth bypass, patch now

2022/05/24 BleepingComputer — VMware の複数の製品に存在する、認証なしで管理者権限へのアクセスが可能になる脆弱性に対して、PoC エクスプロイトが公開されようとしている。この脆弱性 CVE-2022-22972 については、先週の水曜日に修正が行われており、速やかなパッチ適用、もしくは、緩和策の適用が、緊急警告として管理者たちに伝えられている。

Continue reading “VMware の認証バイパスの脆弱性 CVE-2022-22972:PoC エクスプロイトの前にパッチ適用を”

CISA 警告 5/24:Cisco/Android などの 41 件の脆弱性を悪用リストに追加

CISA adds 41 vulnerabilities to list of bugs used in cyberattacks

2022/05/24 BleepingComputer — Cybersecurity & Infrastructure Security Agency (CISA) は、Android カーネルや Cisco IOS XR などに存在する 41件の脆弱性を、この2日間で悪用脆弱性カタログに追加した。追加された脆弱性は、2016年に公開されたものから、先週の金曜日に修正された Cisco IOS XR にいたるまでの、幅広い年代に分布しているものとなる。

Continue reading “CISA 警告 5/24:Cisco/Android などの 41 件の脆弱性を悪用リストに追加”

Cisco IOS XR のゼロデイ脆弱性が FIX:悪用が検知されているので要注意

Cisco Issues Patch for New IOS XR Zero-Day Vulnerability Exploited in the Wild

2022/05/20 TheHackerNews — 金曜日に Cisco は、IOS XR ソフトウェアに影響およびす、深刻度 Medium の脆弱性の修正を発表した。その脆弱性 CVE-2022-20821 (CVSS : 6.5) は、ポート開放の欠陥に関連するものであり、未認証のリモート攻撃者に対して、Redis インスタンスへの接続と、コードを実行を許す可能性があるとのことだ。

Continue reading “Cisco IOS XR のゼロデイ脆弱性が FIX:悪用が検知されているので要注意”

VMware 製品群の2つの深刻な脆弱性が FIX:認証バイパスで root 取得を許してしまう

VMware Releases Patches for New Vulnerabilities Affecting Multiple Products

2022/05/18 TheHackerNews — VMware は、Workspace ONE Access/Identity Manager/vRealize Automation に関連する、2つの脆弱性修正するパッチを発表した。認証バイパスの脆弱性 CVE-2022-22972 (CVSS:9.8) は、ネットワーク経由で UI にアクセスできる脅威アクターに対して、事前の認証なしに root 権限取得を許してしまうものである。もう1つの、ローカル権限昇格の脆弱性 CVE-2022-22973 (CVSS : 7.8) は、ローカル・アクセスを持つ攻撃者に対して、脆弱な仮想アプライアンス上で root への権限昇格を許してしまうものである。

Continue reading “VMware 製品群の2つの深刻な脆弱性が FIX:認証バイパスで root 取得を許してしまう”

CISA と MS-ISAC の共同勧告:進行中の F5 BIG-IP 攻撃をブロックするためのガイダンス

CISA shares guidance to block ongoing F5 BIG-IP attacks

2022/05/18 BleepingComputer — CISA と Multi-State Information Sharing and Analysis Center (MS-ISAC) は、本日に発表した共同アドバイザリにおいて、F5 BIG-IP ネットワーク・セキュリティの深刻な脆弱性 CVE-2022-1388 を狙う攻撃が活発化しているとして、管理者たちに警告を発した。このアドバイザリには、「CISA と MS-ISAC は、政府機関および民間企業のネットワークにおいて、未パッチの F5 BIG-IPデバイス (主に管理ポートまたは自己 IP が公開されている) が広範囲で悪用されると推測する」と記されている。

Continue reading “CISA と MS-ISAC の共同勧告:進行中の F5 BIG-IP 攻撃をブロックするためのガイダンス”

Zyxel Firewall/VPN の脆弱性 CVE-2022-30525 は広範囲に影響を及ぼす

Hackers are exploiting critical bug in Zyxel firewalls and VPNs

2022/05/15 BleepingComputer — 先日にパッチが適用された、Zyxel のエンタープライズ向け firewall/VPN デバイスに存在する、深刻な脆弱性 CVE-2022-30525 を、脅威アクターたちが悪用し始めている。この脆弱性の悪用に成功した攻撃者は、認証なしでリモートから任意のコマンドを注入することが可能になり、リバースシェルの設定も可能となる。

Continue reading “Zyxel Firewall/VPN の脆弱性 CVE-2022-30525 は広範囲に影響を及ぼす”

Microsoft を悩ます PetitPotam Windows NTLM リレー攻撃:完全な FIX には時間が必要?

Microsoft fixes new PetitPotam Windows NTLM Relay attack vector

2022/05/14 BleepingComputer — Windows NTLM Relay Attack に関連する先日のセキュリティ更新プログラムは、これまで未修正であった PetitPotam 攻撃ベクターに対するものだと確認されている。May 2022 Patch Tuesday において Microsoft は、Windows LSA Spoofing Vulnerability とラベル付けした脆弱性 CVE-2022-26925 に対して、つまり、積極的に悪用される NTLM Relay Attack に対して、セキュリティ更新プログラムをリリースした。

Continue reading “Microsoft を悩ます PetitPotam Windows NTLM リレー攻撃:完全な FIX には時間が必要?”

Log4Shell 悪用と AI ポイズニング:企業のデータレイクに忍び寄る脅威とは?

Log4Shell Exploit Threatens Enterprise Data Lakes, AI Poisoning

2022/05/13 DarkReading — 人工知能 (AI) や機械学習 (ML) の導入が進み、企業のデータレイクは大容量化しているが、残念なことに、Java Log4Shell 脆弱性を介して悪用されやすいことが、研究者たちにより明らかにされている。一般的な組織は、プライバシー保護に配慮しながら、AI/ML アルゴリズムの学習用に可能な限り多くのデータポイントを取り込むことに注力しているが、データレイク自体のセキュリティ強化に手を抜いていることが、あまりにも多くなっているという。

Continue reading “Log4Shell 悪用と AI ポイズニング:企業のデータレイクに忍び寄る脅威とは?”

CISA 警告 5/10:F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 を KEV リストに追加

CISA tells federal agencies to fix actively exploited F5 BIG-IP bug

2022/05/11 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されるバグのリストに、BIG-IP ネットワーク・デバイスに深刻な影響を与える、脆弱性 CVE-2022-1388 を新たに追加した。BIG-IP ソリューションを使用する F5 の顧客の中には、連邦政府機関/Fortune 500 企業/銀行/サービス・プロバイダ/コンシューマ・ブランド (Microsoft/Oracle/Facebook など) が含まれているが、同社は Fortune 50 のうちの 48社が F5ユーザーだとしている。

Continue reading “CISA 警告 5/10:F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 を KEV リストに追加”

F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:デバイスの消去も起こり得る

Critical F5 BIG-IP vulnerability exploited to wipe devices

2022/05/10 BleepingComputer — 先日に公開された F5 BIG-IP の脆弱性は、デバイスのファイル・システムを消去し、サーバを使用不能にするという、破壊的な攻撃に悪用されかねないものである。先週に F5 は、脆弱性 CVE-2022-1388 を公開し、リモート攻撃者が認証なしで BIG-IP ネットワーク・デバイス上で、root としてコマンドを実行できる問題を示した。このバグは極めて深刻であるため、F5 は管理者に対して、可能な限り早急にアップデートを適用するよう促している。

Continue reading “F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:デバイスの消去も起こり得る”

Microsoft 2022-05 月例アップデートは3件のゼロデイと 75件の脆弱性に対応

Microsoft May 2022 Patch Tuesday fixes 3 zero-days, 75 flaws

2022/05/10 BleepingComputer — 今日は、Microsoft の May 2022 Patch Tuesday の日だ。今月は、3件のゼロデイ脆弱性 (1件は積極的に悪用) が修正され、合計で 75件の脆弱性が修正された。今日のアップデートで修正された 75件の脆弱性のうち、8件はリモートコード実行や特権昇格を許すものであり、深刻度は Critical に分類されている。 各脆弱性のカテゴリーに含まれるバグの数は、以下のとおりである。

Continue reading “Microsoft 2022-05 月例アップデートは3件のゼロデイと 75件の脆弱性に対応”

F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:bash を狙ったバックドア展開が多発

Hackers exploiting critical F5 BIG-IP flaw to drop backdoors

2022/05/09 BleepingComputer — F5 BIG-IP の、すべてのモジュールの複数のバージョンに影響を与える、深刻な脆弱性の悪用に成功した攻撃者たちが、悪意のペイロードをドロップするという脅威が大量に発生し始めている。先週に F5 は、BIG-IP iControl の REST 認証コンポーネントに影響を及ぼす、脆弱性 CVE-2022-1388 (CVSS:9.8) に対するパッチをリリースした。

Continue reading “F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 が FIX:bash を狙ったバックドア展開が多発”

F5 BIG-IP の RCE 脆弱性 CVE-2022-1388 が FIX:16,000台のデバイスに乗っ取りの可能性

F5 warns of critical BIG-IP RCE bug allowing device takeover

2022/05/04 BleepingComputer — F5 はセキュリティ・アドバイザリを発表し、ネットワーク・アクセス権を持つ未認証の攻撃者に対して、BIG-IP 上で任意のシステム・コマンド実行や、ファイル操作、サービスの無効化などを、許してしまう欠陥について注意を促している。この脆弱性 CVE-2022-1388 の深刻度は Critical (CVSS:9.8) に分類され、悪用によりシステムを完全に乗っ取られる可能性がある。

Continue reading “F5 BIG-IP の RCE 脆弱性 CVE-2022-1388 が FIX:16,000台のデバイスに乗っ取りの可能性”

OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す

New OpenSSF Project Hunts for Malicious Packages in Open Source Repositories

2022/04/29 SecurityWeek — Open Source Security Foundation (OpenSSF) が発表した新しいプロジェクトとは、オープンソース・リポジトリ内の悪意のパッケージの特定を、支援することを目的とするものだ。OpenSSF によると、この Package Analysis プロジェクトは、オープンソース・パッケージの挙動と機能 (アクセスするファイル/サポートするコマンド/接続する IP など) を特定し、疑わしい活動を明らかにし、変更を追跡することを目的としている。

Continue reading “OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す”

Log4j 問題は収束していない:セキュリティというよりインベントリの問題?

Log4j Attack Surface Remains Massive

2022/04/27 DarkReading — Apache Log4j logging toolの、リモートコード実行の脆弱性が公開されて4ヶ月以上が経ったが、そを悪用しようとする攻撃者は、依然として膨大な数のターゲットを手にしている。検索エンジン Shodan を用いて行った、Rezilion による最新のスキャンでは、このソフトウェアの脆弱なバージョンをインターネット上に公開している、9万台以上ものサーバーが発見されている。ただし、この数字は、オープンソース・ソフトウェアを実行して、一般に公開されているサーバーのみを対象としているため、攻撃者のターゲットの一部に過ぎないと、Rezilion は考えている。

Continue reading “Log4j 問題は収束していない:セキュリティというよりインベントリの問題?”

NSA/FBI が警告する 2021年の脆弱性:日常的に悪用され続けた Top-15 とは?

Cybersecurity agencies reveal top exploited vulnerabilities of 2021

2022/04/27 BleepingComputer — 世界中のサイバー・セキュリティ機関が NSA/FBI と共同で、2021年に脅威アクターが日常的に悪用した脆弱性の、Top-15 リストを発表した。共同アドバイザリーにおいて、これらのサイバー・セキュリティ機関は、一連のセキュリティ欠陥に対して速やかにパッチを適用し、攻撃対象領域を減らすためのパッチ管理システムを導入するよう促している。

Continue reading “NSA/FBI が警告する 2021年の脆弱性:日常的に悪用され続けた Top-15 とは?”

Nimbuspwn という名の Linux 脆弱性:不正な root 権限の取得を許す?

New Nimbuspwn Linux vulnerability gives hackers root privileges

2022/04/26 BleepingComputer — Nimbuspwn として追跡されている新しい一連の脆弱性は、Linux システム上でローカル攻撃者による特権昇格を許し、バックドアからランサムウェアにいたるマルウェア展開が生じる可能性があると指摘されるものである。今日、Microsoft のセキュリティ研究者たちは、これらの問題を連鎖させることで root 権限の取得が可能であると指摘するレポートを発表した。

Continue reading “Nimbuspwn という名の Linux 脆弱性:不正な root 権限の取得を許す?”

WSO2 の RCE 脆弱性:ワイルドな悪用が観察されているので要注意

Organizations Warned of Attacks Exploiting WSO2 Vulnerability

2022/04/26 SecurityWeek — 企業向けソフトウェア開発ソリューション・プロバイダーである WSO2 の製品だが、その深刻な脆弱性が野放し状態の攻撃にさらされている。WSO2 の Web サイトによると、同社の製品は Fortune 500 などの大手企業で使用されており、そのすべてが危険にさらされる可能性があるという。また、月曜日には Cybersecurity and Infrastructure Security Agency (CISA) も、この脆弱性を Known Exploited Vulnerabilities Catalog に追加し、5月16日までにパッチを適用するよう、それぞれの連邦政府機関に指示している。

Continue reading “WSO2 の RCE 脆弱性:ワイルドな悪用が観察されているので要注意”

Log4Shell の現状調査:いまだに山積する問題と解決できない理由とは?

Public interest in Log4Shell fades but attack surface remains

2022/04/25 BleepingComputer — Apache Log4j ライブラリに存在する、深刻なゼロデイ脆弱性 Log4Shell が発見されてから4ヶ月が経過したが、利用可能なはずの修正プログラムの適用が、依然として大幅に遅れていることを、脅威アナリストたちは警告している。世間の関心と情報セキュリティ・コミュニティの焦点は、より新しい脆弱性の悪用などに移っているが、Log4Shell は引き続き大規模な問題であり、重大なセキュリティ・リスクであることに変わりはない。

Continue reading “Log4Shell の現状調査:いまだに山積する問題と解決できない理由とは?”

CISA 警告 4/25:WSO2/Microsoft/Linux/Jenkins などの7つの脆弱性が追加

CISA adds 7 vulnerabilities to list of bugs exploited in attacks

2022/04/25 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている脆弱性のリストに、Microsoft/Linux/Jenkins などの、7件の欠陥を追加したと発表した。その Known Exploited Vulnerabilities Catalog は、サイバー攻撃で活発に悪用されている脆弱性のリストで、連邦政府民間行政機関 (FCEB) に対してパッチ適用が義務付けられているものである。

Continue reading “CISA 警告 4/25:WSO2/Microsoft/Linux/Jenkins などの7つの脆弱性が追加”

Oracle Java の PoC エクスプロイト:優先すべき ECDSA 脆弱性へのパッチ適用とは?

Researcher Releases PoC for Recent Java Cryptographic Vulnerability

2022/04/22 TheHackerNews — Java 環境における、デジタル署名バイパスの脆弱性を証明する、PoC エクスプロイト・コードがオンラインで共有されている。この脆弱性 CVE-2022-21449 (CVSS : 7.5) は、Oracle Java SE および Oracle GraalVM Enterprise Edition の、以下のバージョンに影響を及ぼす。

Continue reading “Oracle Java の PoC エクスプロイト:優先すべき ECDSA 脆弱性へのパッチ適用とは?”

ゼロデイ脆弱性調査 2021:悪用の件数は前年比で2倍以上に!

Zero-Day Exploit Use Exploded in 2021

2022/04/22 DarkReading — 2021年の脅威アクターたちは、これまでと比べて数多くのゼロデイ脆弱性を悪用しているが、その大半で Microsoft/Google/Apple のソフトウェアが対象にされている。これまでと同様に、国家に支援された APT (advanced persistent threat) アクターたちが、これらのゼロデイ脆弱性を最も活発に悪用している。また、ランサムウェア運営者などの、金銭的な動機のあるグループもゼロデイ攻撃を急増させ、攻撃者の3人に1人を占めている。

Continue reading “ゼロデイ脆弱性調査 2021:悪用の件数は前年比で2倍以上に!”

Amazon の Log4Shell ホットパッチに問題:コンテナ・エスケープと権限昇格が生じる?

Amazon’s Hotpatch for Log4j Flaw Found Vulnerable to Privilege Escalation Bug

2022/04/21 TheHackerNews — Amazon Web Services (AWS) がリリースした Log4Shell 脆弱性に対する ホットパッチだが、コンテナ・エスケープや権限昇格に悪用され、基盤となるホスト制御の乗っ取りを許してしまう問題があるようだ。Palo Alto Networks Unit 42 の研究者である Yuval Avrahami は、今週に発表したレポートにおいて、「コンテナの問題以外にも、このパッチを悪用することで非特権プロセスを特権昇格させ、root コードを実行させることが可能だ」と述べている。

Continue reading “Amazon の Log4Shell ホットパッチに問題:コンテナ・エスケープと権限昇格が生じる?”

Microsoft Exchange をハックする Hive ランサムウェア:新たな攻撃手法で被害を拡大

Microsoft Exchange servers hacked to deploy Hive ransomware

2022/04/20 BleepingComputer — Hive ランサムウェアのアフィリエイトが、ProxyShell のセキュリティ問題に対して脆弱な Microsoft Exchange サーバーを標的として、Cobalt Strike ビーコンなどの様々なバックドアを展開している。この脅威アクターは、そこからネットワークを偵察し、管理者アカウントの認証情報を盗み、貴重なデータを流出させ、最終的にはファイル暗号化ペイロードを展開する。この情報は、セキュリティ分析を行う Varonis が、同社の顧客に対するランサムウェア攻撃を調査した際に得られたものである。

Continue reading “Microsoft Exchange をハックする Hive ランサムウェア:新たな攻撃手法で被害を拡大”