US Census Bureau hacked in January 2020 using Citrix exploit
2021/08/18 BleepingComputer — 2020年1月11日のこと、米国国勢調査局 (US Census Bureau) のサーバーがハッカーに侵入されたが、パッチが未適用の Citrix ADC (Application Delivery Controller) のゼロデイ脆弱性の悪用に原因があったことが、最近の米国監察総局 (OIG : Office of Inspector General) の報告書で明らかになった。
Continue reading “米国国勢調査局は Citrix ADC の脆弱性を介して1月に侵害されていた”Bitcoin mixer owner pleads guilty to laundering over $300 million
2021/08/18 BleepingComputer — Larry Dean Harmon は、Helix というダークウェブにおける暗号通貨ロンダリング・サービスのオーナーでり、2014年から2017年の間に $300 million 以上の Bitcoin ロンダリングした。司法省は、「Helix が AlphaBay / Evolution / Cloud 9 などを含む、複数のダークネット・マーケットと提携し、顧客の Bitcoin のマネーロンダリング・サービスを提供していたことを、Larry Dean Harmon が認めた。
Continue reading “3億ドルを Bitcoin Mixer でマネロンした罪で懲役 20年”Japanese insurer Tokio Marine discloses ransomware attack
2021/08/18 BleepingComputer — 今週のこと、日本に本拠を持つ多国籍保険会社 Tokio Marine Holdings は、同社のシンガポール支店である Tokio Marine Insurance Singapore (TMiS) がランサムウェア攻撃に遭ったことを発表した。この発表においては、侵入に対処するために取られた措置を除いて、インシデントに関する情報はほとんど含まれていない。
Continue reading “東京海上シンガポール支店がランサムウェアに遭ったが詳細は不明”Salesforce Communities Misconfig Puts Clients, Partners at Risk
2021/08/17 SecurityBoulevard — Varonis の研究者たちが発見した、Salesforce Communities のミス・コンフィグレーションとは、大切なデータをインターネットに公開してしまう可能性を持つものだ。Varonis のブログには、「匿名のユーザにより、顧客リストや、サポート・ケース、従業員の電子メール・アドレスなどの、機密情報を含むオブジェクトの照会が可能になる」と述べている。
Continue reading “Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす”Malicious Ads Target Cryptocurrency Users With Cinobi Banking Trojan
2021/08/17 TheHackerNews — 日本を標的としたソーシャル・エンジニアリング・ベースの新たな不正広告キャンペーンは、侵害された Windows マシンにバンキング・トロイの木馬を展開し、暗号通貨アカウントに関連する認証情報を盗むための、不正なアプリケーションが配信されていることが判明した。Trend Micro の研究員である Jaromir Horejsi と Joseph C Chen は、先週公開した分析レポートの中で、Water Kappa として追跡されている脅威アクターが、このアプリケーションを配布していると述べている。
Continue reading “日本標的:Water Kappa の Cinobi バンキング・トロイの木馬は暗号通貨を狙う”CISA: BadAlloc impacts critical infrastructure using BlackBerry QNX
2021/08/17 BleepingComputer — 今日に CISA は、BadAlloc と呼ばれる IoT / OT のセキュリティ欠陥が、重要インフラ企業が使用する BlackBerry の、QNX Real Time Operating System (RTOS) に影響をおよぼすと警告した。BadAlloc とは、メモリ割り当ての際に発生する、整数オーバーフローやラップ・アラウンドのバグを原因とする、25件の脆弱性のコレクションのことである。これらの脆弱性は Microsoft の研究者が発見した、標準的なメモリ割り当て関数に存在するものであり、複数の RTOS および C 標準ライブラリ (libc) の実装や、組み込み SDK に影響する。BadAlloc 欠陥の影響をダイレクトに受ける、脆弱な IoT / OT デバイスは、コンシューマに利用されるだけではなく、医療用/産業用ネットワーク上に数多く存している。
Continue reading “CISA 警告:重要インフラに深刻な影響をおよぼす BlackBerry QNX の BadAlloc 脆弱性”Fortinet delays patching zero-day allowing remote server takeover
2021/08/17 BleepingComputer — Fortinet は、FortiWeb WAF (Web Application Firewal) で見つかった、ゼロデイのコマンド・インジェクションの脆弱性に対するパッチ・リリースを、8月末まで延期した。この脆弱性が悪用されると、認証された攻撃者が SAML サーバーの設定ページを介して、基盤となるシステムの root ユーザーとして、任意のコマンドを実行することができる。このバグを悪用するためには、攻撃者は対象となる FortiWeb デバイスの管理インターフェースに認証される必要があるが、たとえば認証バイパス (CVE-2020-29015) などの脆弱性と連鎖させることで、脆弱なサーバーを完全に制御することができる。
Continue reading “Fortinet ゼロデイ・リモート脆弱性:パッチ・リリースは8月末に延期”Chase bank accidentally leaked customer info to other customers
2021/08/17 BleepingComputer — Chase Bank は、同社のオンライン・バンキングの Web サイトおよびアプリに技術的なバグが存在し、顧客情報が他の顧客に流出したことを認めた。ニューヨークに本社を置 JPMorgan Chase Bank は、年間売上高が $120 billion で、全世界で25万人以上の従業員を擁する金融サービス大手だ。
Continue reading “Chase Bank の障害により顧客間でのデータ参照が可能になってしまった”2021/08/17 SCMP — 中国政府は、国内データの管理を強化するために、通信/エネルギー/輸送/金融/防衛の各分野における企業を、サイバー・セキュリティの観点から厳しく監視する特別な規則を定めた。火曜日に国務院が発表した、この新しい規則は、中国のサイバー・セキュリティ法に含まれていても、具体的な指針のない重要情報インフラの確保に関する、北京の考え方をより明確にしている。
Continue reading “中国政府が推進する新たなルールと重要情報インフラの保護”Multiple Flaws Affecting Realtek Wi-Fi SDKs Impact Nearly a Million IoT Devices
2021/08/16 TheHackerNews — 台湾のチップデザイナーである Realtek が、同社の WiFi モジュールに付属する3つの SDK に、4つのセキュリティ脆弱性があることを警告している。この WiFi モジュールは、少なくとも 65社のベンダーが製造した、約200種類の IoT デバイスに使用されているという。これらの脆弱性は、Realtek SDK v2.x および、Realtek “Jungle” SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT、Realtek “Luna” SDK v1.3.2 以下に影響し、それを悪用する攻撃者により、ターゲット・デバイスを完全に侵害され、最高レベルの特権で任意のコードが実行される可能性が生じる。
Continue reading “Realtek Wi-Fi SDK の脆弱性は 100万台の IoT デバイスに影響をおよぼす”Secret terrorist watchlist with 2 million records exposed online
2021/08/16 BleepingComputer — 秘密のテロリスト監視リストがインターネット上に公開されたが、機密扱いの搭乗禁止 (no-fly) ステータスを含む 190万件の記録が詰め込まれている。このリストは、パスワードが設定されていない Elasticsearch クラスター上でアクセス可能な状態になっていた。
Continue reading “米政府が秘密にしている 200万件のテロリスト監視リストが流出した?”Attackers Can Weaponize Firewalls and Middleboxes for Amplified DDoS Attacks
2021/08/16 TheHackerNews — ミドルボックスや検閲インフラにおける TCP プロトコルの実装上の弱点は、反射型サービス拒否 (DoS) 攻撃を行うベクトルとして武器になることであり、しかも、これまでの UDP ベースの増幅要因を上回る可能性をもたらすことだ。メリーランド大学とコロラド大学ボルダー校の研究者グループが、USENIX Security Symposium で発表した Volumetric 攻撃は、ファイアウォールや、侵入防止システム、DPI (Deep Packet Inspection) ボックスなどの、TCP 非準拠ネットワーク・ミドルボックスを用いてトラフィックを増幅するものであり、数十万の IP アドレスで DNS / NTP / Memcached を上回る増幅率を実現する。
Continue reading “ファイアウォールやミドルボックスは DDoS の最終ウェポン?”Dozens of STARTTLS Related Flaws Found Affecting Popular Email Clients
2021/08/16 TheHackerNews — セキュリティ研究者たちは、メールのクライアントやサーバにおける、オポチュニスティックな暗号化メカニズムに関連する、40件もの脆弱性を公開した。これらの脆弱性は、侵入者によるメール・ボックス内容の偽造や、認証情報の窃取などを可能にする、標的型中間者 (man-in-the-middle: MitM) 攻撃の扉を開くかもしれない。今回パッチが適用された欠陥は、多様な STARTTLS の実装で確認されており、30th USENIX Security Symposium において、Damian Poddebniak、Fabian Ising、Hanno Böck、Sebastian Schinzel などの各研究者のグループが詳細を発表している。
Continue reading “有名どころメール・クライアントにも影響する STARTTLS の脆弱性とは?”Ford bug exposed customer and employee records from internal systems
2021/08/15 BleepingComputer — Ford Motor Company の Web サイトのバグにより、機密システムへのアクセスが可能となり、顧客データベースや、従業員記録、社内チケットなどの、プロプライエタリ・データを窃取された。このデータ流出は、Ford のサーバー上で稼働している、顧客エンゲージメント・システム Pega Infinity のインスタンスが、誤って設定されていたことに起因している。
Continue reading “Ford における顧客データの流出と対応:これじゃ研究者が可哀相”Hacker claims to steal data of 100 million T-mobile customers
2021/08/15 BleepingComputer — ある脅威アクターが T-Mobile社 のサーバーをハッキングし、約1億人分の個人情報を含むデータベースを盗んだと主張したことで、同社はデータ漏えいに関する調査を積極的に進めることになった。昨日のことだが、あるハッキング・フォーラムで、3,000万人分の生年月日および、運転免許証番号、社会保障番号を含むデータベースを、6 bitcoin (~$280K) で販売すると主張する人物が現れ、このデータ流出の疑いが浮上した。このフォーラムの投稿では、データの出所は明記されていないが、この脅威アクターは BleepingComputer に対して、大規模なサーバー侵害より T-Mobile からデータを奪ったと述べてる。
Continue reading “T-mobile 1億人分の顧客データが盗まれた:背景には FBI / CAI への報復が”US brokers warned of ongoing phishing attacks impersonating FINRA
2021/08/14 BleepingComputer — 米国金融業規制機構 (FINRA : US Financial Industry Regulatory Authority) は、米国の証券会社やブローカーを対象に、FINRA の職員になりすまし、罰則の脅しをかけて機密情報の引き渡しを求める、フィッシング・キャンペーンが継続的に生じていると警告した。FINRA は、米国証券取引委員会 (SEC : Securities and Exchange Commission) の監督下にある非営利団体であり、米国政府の認可を受けて、すべての公開されている証券会社と取引所市場を規制してる。この独立した非政府の証券規制機関は、全米で60万人以上のブローカーを監督し、毎日何十億も発生している市場イベントを把握する。
Continue reading “米 SEC 下部組織 FINRA の名を語るフィッシング攻撃が横行している”Windows 365 exposes Microsoft Azure credentials in plaintext
2021/08/13 BleepingComputer — ありセキュリティ研究者が、Mimikatz を使って、Microsoft の最新 Windows 365 Cloud PC Service から、ユーザーの Microsoft Azure 認証情報を平分でダンプする方法を発見した。Mimikatz とは、Benjamin Delpy が作成したオープンソースのサイバー・セキュリティ・プロジェクトであり、認証情報の窃取や成りすましの脆弱性をテストするために、研究者たちに利用されるソフトウエアである。このプロジェクトの GitHub ページには、「メモリから平文のパスワードや、ハッシュ、PIN コード、Kerberos チケットを抽出することはよく知られている。
Continue reading “Windows 365 から Microsoft Azure クレデンシャル情報を平文でダンプ”Google open-sourced Allstar tool to secure GitHub repositories
2021/08/13 SecurityAffairs — Google がオープンソース化した Allstar は、設定ミスを防ぐための一連のセキュリティ・ポリシーを施行することで、GitHub プロジェクトのセキュリティを確保するツールのプロジェクトである。このプロジェクトの説明には、「Allstar は、組織やリポジトリにインストールして、セキュリティ・ポリシーを設定/実施するための GitHub App だ。その目的は、リスクを伴う可能性のある GitHub の設定や、セキュリティのベスト・プラクティスに従わないリポジトリの、ファイル・コンテンツを継続的に監視/検出する点にある。Allstar により、リポジトリのコンプライアンス違反が発見された場合には、課題の作成やセキュリティ設定の復元などのアクションが実行される」と書かれている。
Continue reading “Google Allstar は GitHub のセキュアな運用のためのオープンソース”Experts Shed Light On New Russian Malware-as-a-Service Written in Rust
2021/08/12 TheHackerNews — ロシアのアンダーグラウンド・フォーラムで販売/配布されている新種のマルウェアは、セキュリティの保護や解析を回避し、リバース・エンジニアリング作業を妨害するために、Rust で書かれるという新たな傾向を示している。この Ficker Stealer という名のマルウェアは、トロイの木馬化した Web リンクや、危険な Web サイトを経由して伝播し、Spotify Music や YouTube Premium やMicrosoft Store などの正規サービスの、無料ダウンロードを提供するという詐欺ページに被害者を誘い込む。
Continue reading “Rust で書かれた Ficker Malware-as-a-Service はロシアから世界を狙う”Microsoft: Evasive Office 365 phishing campaign active since July 2020
2021/08/12 BleepingComputer — Microsoft によると、2020年7月から1年間にわたり、高度な回避策を持つスピアフィッシング・キャンペーンが、Office 365 の顧客を対象として波状攻撃を仕掛けているようだ。この継続的なフィッシング・キャンペーンは、請求書をテーマにした XLS.HTML の添付ファイルおよび、電子メールアドレス、企業ロゴなどの、被害者に関する各種の情報を用いてターゲットを誘い出し、Office 365 の認証情報を騙し取るものだ。
Continue reading “Microsoft Office 365 ユーザーを狙う狡猾なフィッシングに要注意”Ukraine shuts down money laundering cryptocurrency exchanges
2021/08/12 BleepingComputer — ウクライナ保安局 (SBU : Security Service of Ukraine) は、2021年初頭から取引の匿名化に使われていた、暗号通貨取引所のネットワークを停止した。1,000人以上の顧客が、この秘密の取引所を利用して、Yandex.Money / Qiwi / Webmoney などの、ロシアの電子決済処理業者から受け取った資金をロンダリングしていた。
Continue reading “ウクライナ保安局がマネーロンダリング暗号通貨取引所を停止”Accenture has been hit by a LockBit 2.0 ransomware attack
2021/08/11 SecurityAffairs — IT & Consulting 大手の Accenture だが、LockBit 2.0 ランサムウェアからの攻撃に遭っている。そして、LockBit 2.0 グループは、あたかも Accenture の内部からの発言を装うかたちで、「この人たちは、プライバシーやセキュリティを超えている。彼らのサービスが、インサイダーである私が見たものよりも、優れたものであことを願っている。もしデータベースの購入に興味があれば、私たちに連絡してほしい」と、リークサイトでアナウンスしている。
Continue reading “Accenture が LockBit 2.0 ランサムウェアに攻撃される”New AdLoad malware variant slips through Apple’s XProtect defenses
2021/08/11 BleepingComputer — 米国のサイバーセキュリティ企業 SentinelOne が追跡している複数のキャンペーンの1つでもある、新しい AdLoad マルウェアの亜種が、Apple の YARAシグネチャ・ベースの XProtect ビルトイン・アンチウイルスをすり抜け、Mac に感染するという。AdLoad は 2017年後半から、macOS プラットフォームを標的としているトロイの木馬であり、AdWare や PUA (Potentially Unwanted Applications) などの、さまざまな悪意のペイロードの展開に使用されている。このマルウェアは、採取したシステム情報を、オペレーターが管理するリモートサーバーに送信することもできる。
Continue reading “Apple XProtect 防御ラインをすり抜ける新種の AdLoad マルウェアとは?”Hackers Steal Over $600 Million Worth of Cryptocurrencies from Poly Network
2021/08/11 TheHackerNews — ブロックチェーン・ベースの金融ネットワークから、ハッカーたちが $611 million 相当の暗号通貨を盗み出した。これは、デジタル資産業界を標的とした、最大級の金庫破り事件であると考えられ、Coincheck や Mt.Gox などの取引所を標的とした、近年の侵害事件を上回るものだ。中国を拠点とする Poly Network は、Bitcoin や Ethereum などの複数のブロックチェーンをまたいでトークンを交換する、クロスチェーン分散型金融 (DeFi : Cross Chain Decentralized Finance) プラットフォームを提供している。
Continue reading “Poly Network 暗号通貨:盗まれた6億ドルと戻された2.6億ドル”MSSPs Particularly Vulnerable to Cisco FDM Flaw
2021/08/10 SecurityBoulevard — 先日に公開された Cisco Firepower Device Manager (FDM) の脆弱性により、脅威にさらされる可能性があるのは、MSSP (Managed Security Services Providers) だと考えられる。Salt Security の Technical Evangelist である Michael Isbitski は、「顧客の Cisco Firepower NGFW (Next Generation Firewalls) のインスタンスを管理するために、MSSP たちは Cisco Firepower Device Manager (FDM) を運用しているかもしれない」と述べている。
Continue reading “Cisco FDM の欠陥によりマネージド・サービス・プロバイダーが危険に?”Microsoft Azure Sentinel uses Fusion ML to detect ransomware attacks
2021/08/10 SecurityAffairs — Microsoft Azure Sentinel cloud-native SIEM は、Fusion の機械学習モデルを使用して、企業環境全体のデータを分析し、ランサムウェア攻撃などの潜在的な脅威に関連するアクティビティを検出するものだ。Fusion 機械学習モデルによりランサムウェア攻撃の疑いが検出されると、「Multiple alerts possibly related to Ransomware activity detected:ランサムウェアの活動に関連する疑いのある複数のアラートが検出された」というタイトルの、重大度の高いインシデントが Azure Sentinel ワークスペースでトリガーされる。Microsoft のアナウンスメントには、「Microsoft Threat Intelligence Center (MSTIC) との協力により、Fusion によるランサムウェア検出機能の提供開始を発表する。
Continue reading “Microsoft Azure Sentinel の Fusion 機械学習モデルでランサムウェアを検出”Adobe fixes critical preauth vulnerabilities in Magento
2021/08/10 BleepingComputer — Adobe は Patch Tuesday において、Magento の Critical な脆弱性と、Adobe Connect の important バグを修正する、セキュリティ・アップデートを公開した。今日のセキュリティ・アップデートが提供された Adobe 製品は以下の通りだ。
• APSB21-64 Security updates available for Magento
• APSB21-66 Security update available for Adobe Connect
eCh0raix ransomware now targets both QNAP and Synology NAS devices
2021/08/10 BleepingComputer — 新たに発見された eCh0raix ランサムウェアの亜種は、QNAP と Synology の NAS デバイスを暗号化するための機能を追加している。このランサムウェア (QNAPCrypt とも呼ばれる) は、2016年6月に初めて表面化したものであり、BleepingComputer フォーラムのトピックで、被害者による攻撃の報告がなされてきた。このランサムウェアは、QNAP NAS デバイスに波状攻撃を仕掛けてきたが、その中でも大規模だったのは、2019年6月と 2020年6月の攻撃である。
Continue reading “QNAP と Synology の NAS を狙う eCh0raix ランサムウェアとは?”Microsoft August 2021 Patch Tuesday fixes 3 zero-days, 44 flaws
2021/08/10 BleepingComputer — 今日は Microsoft の August 2021 Patch Tuesday であり、3つのゼロデイ脆弱性を含む 44件の脆弱性が修正された。普段から、パッチのインストールに奔走する Windows の管理者には、どうか頑張ってほしい。この 44件の脆弱性 (Microsoft Edge を含めば 51件) の内訳だが、Critical は7件で、Important は 37件である。また、44件の脆弱性のうち、リモートコード実行が 13件で、情報開示が8件、サービス拒否が2件、成りすましが4件となっている。セキュリティ以外の Windows 更新プログラムについては、Windows 10 KB5005033 & KB5005031 累積更新プログラムを参照してほしい。
Continue reading “Microsoft 2021-08 月例アップデートは 3件のゼロデイと 44件の脆弱性に対応”Getting Application Security Back on the Rails
2021/08/09 StateOfSecurity — 米国の National Institute of Standards and Technology (NIST) は Interagency Report 7695 において、アプリケーションを「コンピュータを用いてデータを収集/保存/処理/表示するためのシステム」と定義している。この広範な用語には、エンタープライズ・アプリケーションと、コンシューマ・アプリケーション、さらにはモバイル・アプリも含まれる。セキュリティは、これらすべてのタイプのアプリケーションで重要だが、その焦点は必ずしも同じではない。以下、その理由を見ていこう。
Continue reading “アプリケーションのセキュリティを基本路線に引き戻すには”Beware! New Android Malware Hacks Thousands of Facebook Accounts
2021/08/09 TheHackerNews — Google Play Store やサードパーティ・アプリストアで配布された、不正なアプリを介して新しい Android トロイの木馬が、少なくとも 144カ国 1万人以上のユーザーの Facebook アカウントを、2021年3月以降に侵害していることが判明した。
Continue reading “Facebook アカウントをハッキングする新手の Android マルウェアに注意!”One million stolen credit cards leaked to promote carding market
2021/08/09 BleepingComputer — 2018年から2019年にかけて盗まれた 100万枚のクレジットカードが、ハッキング・フォーラムで公開され、脅威アクターによる新たなカーディング市場を推進されている。カーディング (Carding) とは、盗まれたクレジット・カードを売買/利用することである。これらのクレジットカードは、POS マルウェアや、Web サイトへの MageCart 攻撃、トロイの木馬などにより盗み出されたものである。盗まれたクレジット・カードは、カーディング犯罪のマーケット・プレイスで販売され、オンライン・ショッピングでの購入や、追跡が困難なプリペイド・ギフト・カードの購入のために、犯罪者により使用されるのが一般である。
Continue reading “100万枚の盗まれたカード情報が闇マーケットのプロモーションで配布”Go, Rust “net” library affected by critical IP address validation vulnerability
2021/08/07 BleepingComputer — Go や Rust などの言語で使われている “net” library も、混合形式 (mixed-format) の IP アドレス検証の脆弱性の影響を受けている。このバグは、IP アドレスが 8進数と 10進数の混合形式で提供されている場合でも、net library が 10進数として処理することに関係している。その結果として、net に依存するアプリケーションは、サーバー・サイド・リクエスト・フォージェリ (SSRF) およびリモート・ファイル・インクルージョン (RFI) の脆弱性にさらされる可能性がある。この欠陥は、何千ものアプリケーションで使用されている、netmask library の実装にも影響を与えていた。その後に、Python の標準ライブラリである、ipaddress にも脆弱性があることが判明した。
Continue reading “Go と Rust の “net” library に影響する IP アドレス解釈の脆弱性とは?”Researchers Call for ‘CVE’ Approach for Cloud Vulnerabilities
2021/08/07 DarkReading — Black Hat USA 2021 – Las Vegas – これまでの1年間において、クラウド・サービスのセキュリティ上の欠陥や弱点を、徹底的に調査してきた2人の研究者が、Amazon Web Services (AWS) アカウント間の隔離が破られるという、新たな問題を明らかにした。クラウド・セキュリティ企業である Wiz.io の Ami Luttwak と Shir Tamari によると、このようなアカウントをまたぐクラウド・サービスの脆弱性は、AWS 以外にも広く存在する可能性があるという。今回の調査では、クラウド・サービスの利用者にとって、自分が利用しているクラウドのインスタンスが、他の利用者のインスタンスから、必ずしも隔離されているわけではないという、厳しい現実が示唆された。
Continue reading “Black Hat 2021:クラウドの脆弱性にも CVE アプローチが必要なのか?”CVE-2021-20090 actively exploited to target millions of IoT devices worldwide
2021/08/07 SecurityAffairs — 脅威アクターたちは、Arcadyan ファームウェアを搭載した家庭用ルーターに影響を与える、深刻な認証バイパスの脆弱性 CVE-2021-20090 を積極的に利用して Mirai ボットを展開している。Tenable が公開したアドバイザリには、「Buffalo WSR-2533DHPL2 ファームウェア 1.02 以下 と WSR-2533DHP3 ファームウェア 1.24 以下の Web インターフェイスに、パス・トラバーサルの脆弱性があり、リモート攻撃者による認証バイパスが生じるかもしれない」と記されている。この欠陥は、17社のベンダーが製造する、数百万台の IoT 機器に影響を与える可能性があり、被害の対象としては何社かの ISP が含まれるかもしれない。今回の攻撃は、Juniper Threat Labs の研究者により発見されたものであり、この2月から IoT 機器を標的としていた、脅威アクターによるキャンペーンだと、専門家たちは捉えている。
Continue reading “Buffalo WSR ルーターの脆弱性 CVE-2021-20090 は Mirai ボットを引き寄せる?”Microsoft Exchange servers scanned for ProxyShell vulnerability, Patch Now
2021/08/07 BleepingComputer — Black Hat カンファレンスで技術的な詳細が公開されたことで、脅威アクターたちは Microsoft Exchange ProxyShell のリモートコード実行の脆弱性を積極的にスキャンするようになった。これらの脆弱性を調べる前に、どのように公開されたかを理解することが重要だ。ProxyShell は、3つの脆弱性の総称であり、それぞれの脆弱性が連鎖すると、Microsoft Exchange サーバー上で認証を必要とせずにリモートコードが実行される。これらの脆弱性の連鎖は、IIS の Port 443 で実行される Microsoft Exchange の Client Access Service (CAS) を介してリモートから悪用される。
Continue reading “Black Hat 2021:Microsoft Exchange ProxyShell 脆弱性への悪意のスキャン”Top 5 Techniques Attackers Use to Bypass MFA
2021/08/06 DarkReading — 企業では、サーバー攻撃を防ぐために、多要素認証 (MFA: Multi Factor Authentication) が利用されている。しかし、MFA により 100% が保護されるという考えは、まさに誤りだ。MFA とパスワードを比較すると、個人情報漏えいのリスクを 99% 削減されると強調した統計があるが、それを回避する方法を攻撃者は知っている。では、どこに目を向ければ良いのだろうか。幸いなことに、すべてが悲観的な状況ではない。MFA がバイパスされたとしても、侵害になる前に攻撃を察知して阻止することは可能だ。
Continue reading “多要素認証バイパスを引き起こすテクノロジー Top-5”2021/08/06 DailySwig — Black Hat USA 2021 において、ハッキング・マエストロである Orange Tsai は、Microsoft Exchange の脆弱性に関する待望の技術情報を公開した。2021年1月に Tsai が発見した認証前のリモートコード実行 (RCE : remote code execution) の欠陥は、Microsoft Exchange 史上で最も深刻な脆弱性かもしれないと、彼はリモート講演で語っていた。この欠陥は、3月にパッチが適用されたが、悪用されると世界の何十万ものエンタープライズ・メッセージング・サーバーがハッキングされるという、きわめて深刻なゼロデイ欠陥の1つだった。このバグを深く掘り下げた後に Tsai は、ProxyLogon は単一のバグではなく、研究者が新しい脆弱性を発見するために役立つ、まったく新しい攻撃対象領域であることに気づいた。
Continue reading “Black Hat 2021:Microsoft Exchange 問題の新たな観点”Supply Chain Security – Not As Easy As it Looks
2021/08/06 SecurityBoulevard — SolarWinds への大規模な攻撃は、サプライチェーンの脆弱性を突いた典型的な例である。ロシアからの SolarWinds 攻撃により影響を受けた企業の大多数は、SolarWinds という名前すら聞いたことすらなく、重要なインフラを同社に依存していることも知らなかっただろう。実際のところ、現代における、製造業や、テクノロジー、インターネット、テレコミュニケーションのネットワークは、複雑なサプライチェーンの網 (正確には supply web) に依存しており、破壊や攻撃を受けやすいものとなっている。
Continue reading “サプライチェーン・セキュリティ:見た目ほど簡単ではない”Incident Responders Explore Microsoft 365 Attacks in the Wild
2021/08/06 DarkReading — BLACK HAT 2021 – Microsoft 365 は、サイバー犯罪者にとってホットなターゲットであり、セーフガードを回避して企業データにアクセスする新たな方法が、常に模索されている。そして、防御側がゲームを強化すると、攻撃側も同じことを行う。
Continue reading “Black Hat 2021:Microsoft 365 への攻撃がワイルドになる可能性について”Ivanti fixed a critical code execution issue in Pulse Connect Secure VPN
2021/08/06 SecurityAffairs — Ivanti の Pulse Connect Secure VPN アプライアンスに存在する、複数の脆弱性に対処するためのセキュリティ・アップデートが公開された。最も深刻な脆弱性 CVE-2021-22937 は、Pulse Connect Secure の管理者用 Web インターフェイスに存在する高危険度のリモートコード実行の脆弱性である。リモートの攻撃者は、この脆弱性を悪用して任意のファイルを上書きし、root 権限でコードを実行できる。この脆弱性の CVSS は 9.1 であり、2021年10月にリリースされた CVE-2020-8260 対処するための、パッチのバイパスに起因すると、専門家たちは指摘している。
Continue reading “Ivanti Pulse Connect Secure VPN に存在する深刻なコード実行脆弱性が FIX”VMware Issues Patches to Fix Critical Bugs Affecting Multiple Products
2021/08/06 TheHackerNews — VMware は、複数の製品のセキュリティ・アップデートを公開し、機密情報へのアクセスに悪用される可能性のある重要な脆弱性に対応した。脆弱性 CVE-2021-22002 (CVSS:8.6) および CVE-2021-22003 (CVSS:3.7) は、VMware Workspace One Access (Access) および、VMware Identity Manager (vIDM) 、VMware vRealize Automation (vRA)、VMware Cloud Foundation、VMware vRealize Suite Lifecycle Manager に影響する。
Continue reading “VMware 製品群の深刻なバグに対応するパッチが提供された”China-Linked Cyberespionage Operation Suggests Interest in SCADA Systems
2021/08/05 SecurityWeek — 中国を拠点とするサイバースパイ集団が、東南アジア諸国の重要インフラ組織を標的にしていることが確認されて、攻撃者たちが産業用制御システム (ICS : Industrial Control Systems) に関心を示している可能性が生じた。中国の脅威アクターたちが、東南アジアを標的にすることは珍しいことではない。ここ数年、この地域の軍事/通信/技術/政府の組織を標的にしていることが確認されている。木曜日に Broadcom の一部門である Symantec は、同社の脅威ハンター・グループが、東南アジアの4つの重要インフラ組織に対して、ある脅威アクターが攻撃を仕掛けたことを確認したと報告している。
Continue reading “中国拠点のサイバー・スパイが東南アジアの ICS や SCADA を狙っている”A Wide Range of Cyber Attacks Leveraging Prometheus TDS Malware Service
2021/08/05 TheHackerNews — 複数のサイバー犯罪グループが、MaaS (Malware-as-a-Service) ソリューションを活用して、Campo Loader / Hancitor / IcedID / QBot / Buer Loader / SocGholish などのペイロードを展開する悪意のソフトウェア配布キャンペーンを、ベルギーの個人や米国の政府機関/企業/法人に対して実施している。この Prometheus というサービスは、2020年8月からアンダーグラウンドなプラットフォームで月額250ドルで販売されている。マルウェアが混入された Word や Excel のドキュメントを配布することで、ユーザーをフィッシング・サイトや悪意のサイトに誘導することを目的とした、TDS (Traffic Direction System) であることが、The Hacker News に共有された Group-IB の報告書で明らかになった。
Continue reading “Prometheus TDS という MaaS (Malware-as-a-Service) とトラフィック操作攻撃”Unpatched Security Flaws Expose Mitsubishi Safety PLCs to Remote Attacks
2021/08/05 TheHackerNews — Mitsubishi の Safety PLC (programmable logic controllers) において、未パッチの複数の脆弱性が公開されている。これらの脆弱性を悪用されると、ブルートフォース攻撃により、モジュールに登録されている正当なユーザー名を取得され、CPU モジュールへの不正ログインやサービス拒否 (DoS) が生じる可能性がある。今回、Nozomi Networks が公開したセキュリティ上の欠陥は、CPU モジュールとのデータの読書きと、ターゲット機器との通信で使用される、MELSEC 通信プロトコルにおける認証メカニズム実装に関連している。
Continue reading “Mitsubishi Safety PLC に生じたリモート攻撃にいたる脆弱性とは?”Linux version of BlackMatter ransomware targets VMware ESXi servers
2021/08/05 BleepingComputer — BlackMatter ランサムウェアが、ギャングたちの仲間入りをして、VMware ESXi 仮想マシン・プラットフォームを標的にした、Linux 用の暗号化ソフトウエアを開発した。エンタープライズでは、リソース管理やディザスタ・リカバリのために、サーバーを仮想マシンに移行する傾向が強まっている。VMware ESXi は最も一般的な仮想マシンプラット・フォームであるため、企業を標的としたランサムウェアの大半が、この仮想マシンを標的とする暗号化ツールをリリースし始めている。
Continue reading “BlackMatter ランサムウェアの Linux バージョンは VMware ESXi を標的とする”CISA teams up with Microsoft, Google, Amazon to fight ransomware
2021/08/05 BleepingComputer — CISA が発表した官民連携の JCDC (Joint Cyber Defense Collaborative) は、ランサムウェアなどのサイバー脅威から、米国の重要インフラを守ることを目的とするものだ。この新しい取り組みは、重要インフラを標的とする悪意のサイバー活動に対する、国家としての耐性を高めるために、CISA が連邦機関および、SRTT (state / local / tribal / territorial) パートナー、民間企業と協力し、サイバー防衛計画を策定することを目的とする。CISA の Director である Jen Easterly は、「CISA と省庁間で協力して活動することに同意してくれた産業界のパートナーは、サイバー侵入から国の重要な機能を守るという共通のコミットメントと、新しいソリューションを生み出す想像力を持っている。
Continue reading “CISA と Microsoft / Google / Amazon が連携してランサムウェアと戦う”Angry Conti ransomware affiliate leaks gang’s attack playbook
2021/08/05 BleepingComputer — 不満を抱いた Conti のアフィリエイトが、ランサムウェア運用者の情報を含む、攻撃を行うためのトレーニング資料を流出させた。Conti ランサムウェアは、RaaS (ransomware-as-a-service) として運営されており、コア・チームがマルウェアと Tor サイトを管理し、リクルートされたアフィリエイトがネットワーク侵入やデバイスの暗号化を行う仕組みになっている。そして、コア・チームが身代金の 20%~30% を受け取り、残りをアフィリエイトが受け取ることになる。
Continue reading “Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した”New Cobalt Strike bugs allow takedown of attackers’ servers
2021/08/04 BleepingComputer — セキュリティ研究者が、ビーコン C2 (command-and-contro) 通信チャネルの遮断や、新たなデプロイメントを阻止する、Cobalt Strike のサービス拒否 (DoS) 脆弱性を発見した。Cobalt Strike は、レッドチーム (セキュリティの専門家が、自組織のインフラを攻撃する役割で行動し、セキュリティ・ギャップや脆弱性を発見する) の攻撃フレームワークで使用するために設計された、正規のペネトレーション・テスト・ツールだ。
Continue reading “Cobalt Strike の新たなバグにより悪意のサーバーがダウンした?”Russian Federal Agencies Were Attacked With Chinese Webdav-O Virus
2021/08/04 TheHackerNews — 2020年に発生した、ロシアの連邦行政機関に対する一連の標的型攻撃の背後には、中国の国家支援型脅威グループが存在していた可能性がある。シンガポールに本社を置く Group-IB が発表した最新の調査結果によると、その時の侵入で検出された Webdav-O と呼ばれるウイルスについて、BlueTraveller トロイの木馬との間に類似点があると指摘されている。
Continue reading “ロシアの行政機関が中国の Webdav-O ウィルスに攻撃されている”
IoT OT Security News 
You must be logged in to post a comment.