CVE-2023-48788 Exploited: Researcher Details Cyberattacks on Fortinet EMS
2024/09/19 SecurityOnline — Fortinet FortiClient EMS の脆弱性に対する、サイバー犯罪者による悪用を詳述するレポートが、Darktrace のサイバーセキュリティ研究者から発表された。同レポートでは、特に CVE-2023-48788 という重大な脆弱性に焦点を当て、さまざまな環境で観測された巧妙な攻撃チェーンと悪用後の戦術の概要が詳述されている。エンドポイント・セキュリティの集中管理に広く使用されている、FortiClient EMS に存在する SQLインジェクション脆弱性 CVE-2023-48788 は、は、CVSS スコア 9.8 と評価されている。
Continue reading “Fortinet EMS の脆弱性 CVE-2023-48788:悪用に関する詳細が公開 – Darktrace”Hackers Exploit Fortinet Flaw, Deploy ScreenConnect, Metasploit in New Campaign
2024/04/17 TheHackerNews — Fortinet FortiClient EMS デバイスにおいて、最近になって公開された脆弱性を悪用することで、ScreenConnect および Metasploit Powerfun ペイロードを配信する新たなキャンペーンが、サイバー・セキュリティ研究者たちにより発見された。このキャンペーンは、SQLインジェクションの脆弱性 CVE-2023-48788 (CVSS:9.3) を悪用するものであり、特別に細工されたリクエストを介して、認証されていない攻撃者が不正なコードやコマンドを実行する可能性が生じる。
Continue reading “Fortinet の脆弱性 CVE-2023-48788 を悪用するキャンペーン:Metasploit Powerfun ペイロードなどを配信”Critical Fortinet Vulnerability Exploited: Hackers Deploy Remote Control Tools and Backdoors
2024/04/08 SecurityOnline — Fortinet の FortiClient Enterprise Management System (EMS) において、先日にパッチが適用された脆弱性 CVE-2023-48788 を狙う憂慮すべきキャンペーンを、Red Canary のセキュリティ研究者たちが発見した。この脆弱性に対してパッチが適用されていない場合には、完全な管理者権限を取得する攻撃者により、脆弱なシステム上でのリモートコード実行の可能性が生じる。
Continue reading “Fortinet の FortiClient EMS の脆弱性 CVE-2023-48788:悪用キャンペーンが検出された”BianLian Threat Actors Exploiting JetBrains TeamCity Flaws in Ransomware Attacks
2024/03/11 TheHackerNews — BianLian ランサムウェアを操る脅威アクターが、JetBrains TeamCity セキュリティ欠陥を悪用して、恐喝のみを目的とした攻撃を行っていることが確認されている。最近の侵入インシデントを調査した GuidePoint Security のレポートによると、このインシデントは、TeamCity サーバーの悪用から始まり、最終的には BianLian の Go バックドアの PowerShell 実装が展開されという。
Continue reading “JetBrains TeamCity の脆弱性 CVE-2024-27198:BianLian ランサムウェア攻撃に悪用されている”BlackCat ransomware hits Azure Storage with Sphynx encryptor
2023/09/16 BleepingComputer −−− BlackCat (ALPHV) ランサムウェア・グループが、窃取した Microsoft アカウントと、最近に発見された Sphynx 暗号化ツールを用いて、ターゲットの Azure クラウド・ストレージを暗号化しているようだ。最近に発生した情報漏えいを調査していた、Sophos X-Ops のインシデント・レスポンス担当者たちが、カスタム認証情報の利用がサポートされた、Sphynx の亜種の運用を発見した。この脅威アクターは、窃取したワンタイム・パスワード (OTP:One-Time Password) を用いて Sophos Central アカウントにアクセスした後に、改ざん防止機能を無効化し、セキュリティ・ポリシーを変更していた。これらの操作は、LastPass Chrome エクステンションを使用して、被害者の LastPass ヴォールトから OTP を盗んだ後に行われていたという。
Continue reading “BlackCat ランサムウェア:Sphynx 暗号化ツールで Azure Storage を攻撃”Critical Zero-Days in Atera Windows Installers Expose Users to Privilege Escalation Attacks
2023/07/24 TheHackerNews — リモート監視/管理ソフトウェアである Atera の Windows インストーラーに、権限昇格のゼロデイ脆弱性が発見された。これらの脆弱性は、2023年2月28日に Mandiant により発見され、CVE-2023-26077/CVE-2023-26078 として追跡されており、Atera が 2023年4月17日にリリースした 1.8.3.7 と、2023年6月26日にリリースした 1.8.4.9 で、それぞれが修正されている。
Continue reading “Atera Windows インストーラのゼロデイ CVE-2023-26077/CVE-2023-26078:権限昇格攻撃の危険性”Huntress: Most PaperCut Installations Not Patched Against Already-Exploited Security Flaw
2024/04/24 SecurityWeek — 大半の Windows/macOS にインストールされている PaperCut は、すでに攻撃で悪用されているが、深刻な脆弱性に対してパッチが適用されていないケースが多いと、エンドポイント/レスポンス・セキュリティ企業である Huntress が警告している。このセキュリティ上の欠陥は、脆弱性 CVE-2023-27350 (CVSS 9.8) として追跡されており、PaperCut MF/NG プリント管理システムにおける、不適切なアクセス制御のバグに起因すると説明されている。この脆弱性の悪用に成功した攻撃者は、認証を回避して、リモートから System ユーザーの権限を用いて、任意のコードを実行できる。
Log4j Attacks Continue Unabated Against VMware Horizon Servers
2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。
今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。
Continue reading “VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している”Taiwanese Apple and Tesla contractor hit by Conti ransomware
2022/01/27 BleepingComputer — 台湾の電子機器メーカーであり、Apple/Tesla/HP/Dell などに電源を提供している Delta Electronics は、金曜日の朝に発見されたサイバー攻撃により、被害を被っていることを公表した。Delta は、スイッチング電源の世界最大のプロバイダーであり、2021年の売上高は $9 billion を超えているという。同社は、2022年1月22日の声明において、今回のインシデントで重要システムは影響を受けず、業務に大きな問題は生じていないと述べている。
Continue reading “台湾の電子機器メーカー Delta を攻撃した Conti が $15 M の身代金を要求”Conti ransomware now hacking Exchange servers with ProxyShell exploits
2021/09/03 BleepingComputer — Conti ランサムウェアは、最近に公開された ProxyShell の脆弱性を悪用して、Microsoft Exchange サーバーに侵入し、企業ネットワークを侵害していくだろう。ProxyShell とは、Microsoft Exchange の脆弱性 (CVE-2021-34473 CVE-2021-34523 CVE-2021-31207) を連鎖させるエクスプロイトの名称であり、パッチが適用されていない脆弱のあるサーバーで、認証を回避したリモート・コード実行を許すことになる。
Continue reading “Conti ランサムウェアが Exchange ProxyShell 脆弱性を狡猾な手口で狙っている”Translated Conti ransomware playbook gives insight into attacks
2021/09/02 BleepingComputer — Conti グループの攻撃 PlayBook が流出してから1ヶ月ほどが経ったが、(ロシア語からの) 自動翻訳による誤訳を解消するために、セキュリティ研究者たちが翻訳版を公開してくれた。この PlayBook は、Conti におけるランサムウェア攻撃の方法や、徹底した指示に関する情報を提供するだけではなく、スキルの低いアクターであっても、Conti ランサムウェアのアフィリエイトになれば、貴重なターゲットを攻撃できるようになっている。
Continue reading “Conti PlayBook 英訳版:ランサムウェアの手口が明らかに”Angry Conti ransomware affiliate leaks gang’s attack playbook
2021/08/05 BleepingComputer — 不満を抱いた Conti のアフィリエイトが、ランサムウェア運用者の情報を含む、攻撃を行うためのトレーニング資料を流出させた。Conti ランサムウェアは、RaaS (ransomware-as-a-service) として運営されており、コア・チームがマルウェアと Tor サイトを管理し、リクルートされたアフィリエイトがネットワーク侵入やデバイスの暗号化を行う仕組みになっている。そして、コア・チームが身代金の 20%~30% を受け取り、残りをアフィリエイトが受け取ることになる。
Continue reading “Conti ランサムウェアが内部分裂:怒りのアフィリエイトが Play Book を暴露した”
IoT OT Security News 