CISA – Page 4 – IoT OT Security News

CISA KEV 警告 25/01/08：Ivanti Connect Secure の脆弱性 CVE-2025-0282 を登録

U.S. CISA adds Ivanti Connect Secure, Policy Secure, and ZTA Gateways flaw to its Known Exploited Vulnerabilities catalog

2025/01/09 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Connect Secure の脆弱性を CVE-2025-0282 (CVSS：9.0) を、Known Exploited Vulnerabilities (KEV) カタログに登録した。

CISA KEV 警告 25/01/01：Mitel MiCollab と Oracle WebLogic の脆弱性を登録

CISA Alerts on Actively Exploited Vulnerabilities in Mitel MiCollab and Oracle WebLogic Server

2025/01/07 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Mitel／Oracle システムに影響を及ぼす、現時点で悪用されている３件の脆弱性に関する緊急警告である。これらの脆弱性は、連邦政府の組織と民間企業に深刻なリスクをもたらすものとして、ISA の Known Exploited Vulnerabilities (KEV) カタログに登録されている。脆弱性のうちの２件は、統合コミュニケーション・プラットフォーム Mitel MiCollab に、もう１件は Oracle WebLogic Server に、影響を及ぼすものである。

CISA が公表する BeyondTrust インシデントの詳細：連邦政府の被害は財務省のみ

CISA: No Federal Agency Beyond Treasury Impacted by BeyondTrust Incident

2025/01/07 SecurityWeek — 2025年1月6日 (月) に米国の CISA が発表したのは、BeyondTrust のクラウドベース・サービスに関連する、最近の大規模なサイバーセキュリティ・インシデントで影響を受けたのは、財務省だけだという調査の結果である。12月31日に公表されたのは、中国政府が支援する APT の攻撃で、BeyondTrust のリモート管理サービスの侵害された API キーが悪用され、財務省のワークステーションと非機密文書への不正アクセスが生じたというものだ。

BeyondTrust の脆弱性 CVE-2024-12356 の悪用：8,602 件のインスタンスが公開されている

Thousands of Buggy BeyondTrust Systems Remain Exposed

2025/01/04 DarkReading — 中国政府が支援する脅威アクターが、パッチ未適用のシステムの深刻な脆弱性を、積極的に悪用しているという警告が発せられている。その一方では、BeyondTrust の大量のインスタンスが、インターネットに接続された状態を引きずっている。BeyondTrust の脆弱性 CVE-2024-12356 (CVSS：9.8) は、Privileged Remote Access (PRA) と Remote Support (RS) に影響を及ぼすものであり、2024年12月16日の時点で、BeyondTrust から報告されたものだ。

CISA-2024 活動レビュー：重要インフラの防衛と国内外での連携の推進

CISA’s 2024 Review Highlights Major Efforts in Cybersecurity Industry Collaboration

2024/12/27 InfoSecurity — 米国 CISA の 2024年の活動を総括すると、”成長と変革の年” であったと、Jen Easterly 長官は振り返る。先日に公開された CISA の 2024 Year in Review の中で Easterly が強調したのは、各種の業界や、州および地方自治体の当局者、そして、選挙関係者コミュニティといったパートナーの信頼を、獲得して維持するための協働に、重点的に取り組んできたことである。なお、2025年1月20日に退任予定の彼女にとって、今回の Year in Review は、最後のレポートとなる。彼女のコメントにある通り、2024 Year in Review で照会されるのは、CISA と業界パートナーとの連携を強化するための、数多くの進行中／新規のイニシアティブである。

トランプ 2.0 と CISA の確執を紐解く：何が継続され何が変化するのだろう？

Trump 2.0 Portends Big Shift in Cybersecurity Policies

2024/12/24 DarkReading — 政治的な論評に飲み込まれる前の CISA は、トランプ第一次政権の下で 2018年に発足した、彼の功績である。しかし、その後の CISA は、政治からの汚い非難と、言論の自由という悪ふざけにより、保守派から除け者にされてしまった。現在の CISA は、存亡をかけたトランプ政権との政治的衝突に直面しており、米国連邦政府によるサイバー・セキュリティへの関与自体が、新たな政権の中に引きずり込まれるという懸念が生まれている。その結果として、サイバー・リスクが増加するという可能性があるが、その一方では、ビジネス／イノベーション／投資の機会が生まれるだろう。つまり、数多くのことが、同時に起こり得るのである。

Salt Typhoon による侵害：テレコムを含む数百の組織に広がる被害とは？

Hundreds of organizations were notified of potential Salt Typhoon compromise

2024/12/23 NextGov — 米国のサイバーセキュリティ当局は、中国が支援する大規模なサイバー侵入の発見と緩和に取り組み、同国内の通信インフラに押し寄せる困難な時期に備えている。ハッキング集である Salt Typhoon は、大手テレコムである Verizon／AT&T／Lumen／T-Mobile などを罠にかけ、数十人の重要政治家を標的にしているが、その中には、ドナルド・トランプ次期大統領とつながる人物も含まれているという。

Adobe ColdFusion の深刻な脆弱性 CVE-2024-53961 が FIX：PoC も登場

Adobe warns of critical ColdFusion bug with PoC exploit code

2024/12/23 BleepingComputer — Adobe が発表したのは、深刻な ColdFusion の脆弱性 CVE-2024-53961 と、PoC (Proof-of-Concept) エクスプロイト・コードの提供に対処する、予定外のセキュリティ・アップデートである。2024年12月23日 (月) に公開された同社のアドバイザリには、「Adobe ColdFusion バージョン 2023／2021 に影響をおよぼす、この脆弱性 CVE-2024-53961 はパス・トラバーサルの欠陥に起因する。それにより、悪用に成功した攻撃者は、脆弱性のあるサーバ上で任意のファイル Read／Write 可能性を手にする」と記されている。

CISA KEV 警告 24/12/19：BeyondTrust のコマンド・インジェクションの脆弱性を登録

CISA Adds Critical Flaw in BeyondTrust Software to Exploited Vulnerabilities List

2024/12/20 TheHackerNews — 12月19日 (木) に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、BeyondTrust の Privileged Remote Access (PRA)／Remote Support (RS) に影響を及ぼす深刻な脆弱性を KEV カタログに追加し、実際に悪用されている証拠として挙げている。

テレコムと政府と国民は Salt Typhoon に対抗できるのか？ End-to-End 暗号化通信の必要性

Governments, Telcos Ward Off China’s Hacking Typhoons

2024/12/11 DarkReading — 中国由来の Salt Typhoon グループからの侵害に対して、米国政府と８社の通信会社が、ネットワークの保護に苦戦している。それと並行して、他国における多くの通信会社も、APT の主標的にされている。それに先行するかたちで、2023年には、Salt Typhoonとの重複が疑われる中国由来のグループ Earth Estries が、APAC／中東／北アフリカ（MENA）地域、そして米国の通信会社を侵害している。

米上院における法案：FCC が通信会社に義務付けるサイバー規則を推測する

Senate bill would require FCC to issue binding cyber rules for telecom firms

2024/12/10 NextGov — 12月10日 (火) に提出された法案が Federal Communications Commission (FCC) に対して指示するのは、最低限のサイバー要件や年次システム・テストを取り込んだ、必須のサイバー・セキュリティ・コンプライアンス・ルールのリストに従うよう、通信事業者に義務付けよというものだ。この法案は、Salt Typhoon と呼ばれる中国のサイバー・スパイ集団による、広範かつ多数の通信事業者と盗聴システムへのハッキングに対応するものである。この問題に関しては、いまもフォレンジック分析が続いているが、依然としてハッカーたちは、一部のネットワークに潜んでいると思われる。

英 BT Group でデータ侵害が発生：Black Basta ランサムウェア・グループが犯行を主張

Telecom Giant BT Group Hit by Black Basta Ransomware

2024/12/05 HackRead — 英国の大手通信企業である British Telecom (BT) Group への、Black Basta によるランサムウェア攻撃が発生した。BT の Conferencing セクションを標的とした、この攻撃により、同社はサーバのシャットダウンとデータ盗難に見舞われた。

米 FCC の提案：Salt Typhoon 攻撃に対応する盗聴セキュリティの基準

FCC proposes updates to wiretap security standards following Chinese telecom hacks

2024/12/05 NextGov — 12月5日 (木) に FCC (Federal Communications Commission) のトップは、そのチーム・メンバーたちに草案を共有した。FCC の報道発表によると、この草案が採用された場合には、法執行機関からの盗聴要求に対応するシステムへの不正アクセスは、通信会社により直ちに保護されるよう義務付けられることになる。また、FCC の Jessica Rosenworcel 委員長も、別の規則制定案を同僚たちに提案している。この案が承認されると、同委員会から通信会社に対して、セキュリティ態勢に関する年次証明書の提出が義務付けられる。

中国 APT によるテレコム・スパイ活動：はるかに広範な目的を持っている

Chinese telecom espionage began with ‘much broader’ aims, officials say

2024/12/03 NextGov — 国家安全保障と法執行機関への傍受は、Salt Typhoon と呼ばれるハッカー集団が仕掛けた、通信データの監視／捕捉／収集の標的のうちの１つに過ぎないと、12月3日 (火) の記者会見で発表された報道ガイドラインに基づき、当局者が背景を明かしている。10月の時点で、Salt Typhoon の活動について、初めてを明るみに出したのは Wall Street Journal である。

MITRE／CISA による CWE Top-25 リスト 2024年版：評価基準の更新と CNA の参加

Cross-Site Scripting Is 2024’s Most Dangerous Software Weakness

2024/11/22 DarkReading — 2024年に最も影響力の大きかったソフトウェア欠陥のリスト”2024 CWE Top 25 Most Dangerous Software Weaknesses” が公開された。この CWE リストは、MITRE と CISA により毎年作成されているが、2024年の評価基準には、深刻度 (Severity) と頻度 (Frequency) が追加された。新しい評価方法により、2024年で最も危険なソフトウェア欠陥のランキングは大きく変動した。その一方では、依然として根強く残る古典的な脅威が、組織にとって最大のリスクであることが証明され、安全なコードへの継続的な注力と投資の必要性が改めて浮き彫りとなった。

CISA KEV 警告 24/11/21：Apple と Oracle のゼロデイ脆弱性３件を登録

CISA Sounds the Alarm on Actively Exploited Apple and Oracle Zero-Days

2024/11/22 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Apple および Oracle の製品に存在し、活発に悪用されている、３件の脆弱性に対する緊急警告である。これらの脆弱性が、CISA の KEV カタログに追加されたことで、ユーザーによる速やかな更新の必要性が強調される。

CISA KEV 警告 24/11/18：Progress Kemp LoadMaster の脆弱性を登録

CISA tags Progress Kemp LoadMaster flaw as exploited in attacks

2024/11/19 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) が、KEV カタログに３件の脆弱性を追加したが、その中には、Progress Kemp LoadMaster に影響を及ぼす深刻なな OS コマンド・インジェクションの脆弱性も含まれる。Rhino Security Labs により発見された、この脆弱性 CVE-2024-1212 は、2024年2月21日にリリースされたアップデートにより対処されれている。そして、今回の KEV 登録が、実際の悪用を示す、初めての報告となる。

Oracle Agile PLM の脆弱性 CVE-2024-21287 が FIX：悪用も確認されている

Oracle warns of Agile PLM file disclosure flaw exploited in attacks

2024/11/19 BleepingComputer — Oracle Agile Product Lifecycle Management (PLM) に存在する、認証を必要としないファイル開示の脆弱性 CVE-2024-21287 が修正された。このゼロデイ脆弱性は、ファイルを不正にダウンロードするために、積極的に悪用されていた。Oracle Agile PLM は、企業のグローバル・チーム間において、製品データ／プロセス／コラボレーションを管理するためのソフトウェア・プラットフォームである。

Palo Alto ファイヤーウォールの脆弱性 CVE-2024-0012 に待望のパッチ適用：すでに攻撃も確認

Palo Alto Networks patches two firewall zero-days used in attacks

2024/11/18 BleepingComputer — Palo Alto Networks がリリースした、待望のセキュリティ・アップデートは、Next-Generation Firewalls (NGFW) で積極的に悪用されている、２件のゼロデイ脆弱性に対するものである。１つ目の脆弱性 CVE-2024-0012 は、PAN-OS 管理 Web インターフェイスで発見された認証バイパスの欠陥である。それを悪用するリモート攻撃者は、認証およびユーザー・インタラクションを必要とせずに、管理者権限の取得を可能にする。２つ目の脆弱性 CVE-2024-9474 は、PAN-OS 権限昇格の脆弱性であり、悪意の PAN-OS 管理者も対して、ファイヤーウォール上でのルート権限によるアクションを許すものとなる。

トランプ 2.0：米政府のサイバー・セキュリティ施策の変化を予想する

Trump 2.0 May Mean Fewer Cybersecurity Regs, Shift in Threats

2024/11/15 DarkReading — 次期大統領ドナルド・トランプの復帰と、閉鎖的な外交政策への転換という約束により、一連のサイバー脅威に対する新たな方針が生み出され、大半の産業分野における規制の緩和や、企業に優しい連邦プライバシー法の制定につながる可能性が高いと、サイバー・セキュリティと法律の専門家たちは指摘する。

Windows ゼロデイ NTLM 脆弱性 CVE-2024-43451：１回の右クリックで C2 通信を確立

Right-Click to Hack: Zero-Day CVE-2024-43451 Vulnerability Targets Windows Users

2024/11/13 SecurityOnline — Windows システムに影響を与える、新たなゼロデイ脆弱性 CVE-2024-43451 が、ClearSky Cyber Security により発見された。この欠陥を突く攻撃者は、右シングル・クリックという単純な操作をユーザーに実行させるだけで、悪意のアクティビティに URL ファイルを悪用できるようになる。

CISA KEV 警告 24/11/12：Microsoft／Cisco／Atlassian／Metabase の脆弱性を登録

CISA Adds Five Actively Exploited Vulnerabilities to KEV Catalog

2024/11/12 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現時点で悪用されている５件のセキュリティ欠陥を取り上げ、Known Exploited Vulnerabilities (KEV) カタログを拡張した。これらの脆弱性は、Microsoft／Cisco／Atlassian／Metabase 製品に存在するものであり、機密データを処理するシステムや、パブリック・ネットワークに公開されているシステムに対して、重大なリスクをもたらすものだ。

Palo Alto PAN-OS の RCE 脆弱性：PAN-SA-2024-0015／CVE-2024-0012

Palo Alto Networks warns of potential PAN-OS RCE vulnerability

2024/11/08 BleepingComputer — 今日、Palo Alto Networks が顧客に対して公表したのは、PAN-OS の管理インターフェイスに存在するリモート・コード実行の脆弱性 PAN-SA-2024-0015 に対処するために、Next-Generation Firewalls (NGFW) へのアクセスの制限を促す警告である。同社は、11月8日 (金) に公開したセキュリティ勧告の時点で、このセキュリティ上の欠陥に関する追加情報は入手しておらず、アクティブな悪用の兆候は検出されていないと付け加えていた。

訳者注記：2024/11/18 付で CVE-2024-0012 が採番される

Android の複数の脆弱性が FIX：悪用が確認された CVE-2024-43047 は CISA KEV に登録

CVE-2024-43047 & CVE-2024-43093: Android Zero-Days Demand Immediate Patching

2024/11/04 SecurityOnline — 2024年11月のセキュリティ・アップデートにおいて、Google は Android OS の 40件のセキュリティ脆弱性に対応した。そのうちの２件の脆弱性 CVE-2024-43047／CVE-2024-43093 は、現在も悪用されていることが報告されている。Google は、「これらの脆弱性が、標的を絞り込んだ限定的な攻撃で、悪用されているという兆候がある」と述べている。

SharePoint の脆弱性 CVE-2024-38094：PoC 悪用による企業ネットワークへの侵入を観測

Microsoft SharePoint RCE bug exploited to breach corporate network

2024/11/02 BleepingComputer — 先日に公表された Microsoft SharePoint のリモート・コード実行 (RCE) 脆弱性 CVE-2024-38094 (CVSS v3.1：7.2) が、企業ネットワークへのイニシャル・アクセス獲得のために悪用されていることが判明した。Microsoft 365 のアプリケーションとシームレスに統合が可能な SharePoint は、広く使用されている Web ベースのプラットフォームであり、イントラネット／文書管理／コラボレーション・ツールとして機能する。

ScienceLogic EM7 の脆弱性 CVE-2024-9537 とインシデント：CISA KEV にも登録

CVE-2024-9537 (CVSS 9.8): Critical Zero-Day in ScienceLogic EM7 Leads to Rackspace Security Incident

2024/10/21 SecurityOnline — 大手クラウド・プロバイダー Rackspace が発表したのは、ScienceLogic EM7 (SL1) モニタリング・プラットフォームにバンドルされた、サードパーティ製ユーティリティで発見されたゼロデイ脆弱性に関連するセキュリティ・インシデントである。この脆弱性は、CVE-2024-9537 (CVSS 9.8) として特定されており、リモート・コードの実行と、機密データへの不正アクセスを許すものとされる。

CISA／FBI／NSA の共同勧告：イランのハッカーが Microsoft 365 などに MFA 疲労攻撃を展開

Iranian Hackers Target Microsoft 365, Citrix Systems with MFA Push Bombing

2024/10/18 HackRead — イランのハッカーたちが、ブルートフォース攻撃の手法を用いて、重要なインフラ組織を標的にしている。この記事で掘り下げていくのは、MFA プッシュ攻撃や認証情報の窃取などの、彼らが用いるテクニックの詳細である。これらの高度な脅威から組織を保護し、効果的なセキュリティ対策を導入する方法について学んでいこう。

Microsoft のセキュリティ・ログが失われた：約１ヶ月分の紛失の原因とは？

Microsoft warns it lost some customer’s security logs for a month

2023/10/17 BleepingComputer — Microsoft がエンタープライズ・ユーザーに公表したのは、約１ヶ月間にわたり重要なログが部分的に失われ、それらのデータをベースに不正行為を検出している企業が、リスクにさらされているという警告である。2024年10月上旬の時点で、この問題を初めて報じた Business Insider によると、9月2日〜 9月19日に収集されなかったログデータがあることを、Microsoft は顧客に通知し始めたという。

CISA KEV 警告 24/10/15：Windows／Firefox／SolarWinds の脆弱性を登録

CISA Warns Actively Exploited Vulnerabilities, Including Windows Kernel Flaw and Firefox Zero-Day

2024/10/15 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Microsoft Windows／Mozilla Firefox／SolarWinds Web Help Desk などに影響を及ぼし、現在も悪用されている３件の脆弱性についての緊急警告である。これらの脆弱性について、CISA は Known Exploited Vulnerabilities (KEV) に登録したことで、直ちにパッチを適用することの重要性が強調されることになった。

CISA 警告：F5 BIG-IP クッキーを悪用するハッカーが内部サーバをマッピング

CISA: Hackers abuse F5 BIG-IP cookies to map internal servers

2024/10/11 BleepingComputer — CISA が警告しているのは、標的ネットワーク内のデバイスを特定して標的化するために、暗号化されていない永続的な F5 BIG-IP クッキーを、脅威アクターが悪用しているという状況である。この脅威アクターは、サイバー攻撃の計画段階の一部として、内部デバイスをマッピングすることで、ネットワーク上の脆弱なデバイスを特定する可能性を得ている。

CISA KEV 警告 24/10/09：Fortinet と Ivanti の脆弱性３件を登録

CISA Adds Three Actively Exploited Security Vulnerabilities to KEV Catalog, Urges Urgent Patching

2024/10/09 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現実の悪用が報告されている３件の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。これらの脆弱性を持つ製品を使用している組織には、緊急のパッチ適用によるシステム保護の必要があると示されている。CISA によると、影響を受けるプラットフォームには、エンタープライズ環境で広く使用されている Fortinet と Ivanti の製品が含まれるという。

CISA KEV 警告 24/10/08：Qualcomm の脆弱性 CVE-2024-43047 などを登録

U.S. CISA adds Windows and Qualcomm bugs to its Known Exploited Vulnerabilities catalog

2024/10/09 SecurityAffairs — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、以下の３件の脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した：

CVE-2024-43047：Qualcomm の複数のチップセットにおける Use-After-Free 脆弱性
CVE-2024-43572：Microsoft Windows 管理コンソールにおけるリモート・コード実行の脆弱性
CVE-2024-43573：Microsoft Windows MSHTML プラットフォームにおける成りすましの脆弱性

Ivanti CSA の脆弱性 CVE-2024-9381 などが FIX：古い脆弱性との組み合わせで武器化

Zero-Day Alert: Three Critical Ivanti CSA Vulnerabilities Actively Exploited

2024/10/08 TheHackerNews — Ivanti が公表したのは、同社の Cloud Service Appliance (CSA) に影響を及ぼす３件の新たな脆弱性が、実際に悪用されているという警告である。ユタ州を拠点とする Ivanti によると、先月にパッチ適用された CSA の別の脆弱性と組み合わせることで、それらの新たなゼロデイ脆弱性が武器化されているようだ。これらの脆弱性の悪用に成功した、管理者権限を持つ認証済みの攻撃者であれば、各種の制限の回避や、任意の SQL 文の実行、リモート・コード実行などを可能にするという。

Zimbra の脆弱性 CVE-2024-45519 の積極的な悪用を観測：パッチ未適用のシステムは 19K

Active Exploits Target Zimbra Collaboration: Over 19K Systems Vulnerable to CVE-2024-45519

2024/10/06 SecurityOnline — Synacor の Zimbra Collaboration プラットフォームに対する、積極的なエクスプロイトの試みに関して、エンタープライズ・セキュリティ企業 Proofpoint は重大な警告を発している。先日に公開された脆弱性 CVE-2024-45519 は、2024年9月下旬から攻撃を受けており、緊急のパッチ適用が求められている。Zimbra の postjournal サービスに影響を及ぼす、この脆弱性の悪用に成功した未認証の攻撃者は、システムを侵害して任意のコマンド実行を達成するため、Zimbra プラットフォームのグローバル・ユーザーに対して深刻な脅威をもたらす。

CISA KEV 警告 24/10/02：Ivanti EPM の CVE-2024-29824 の登録と PoC の提供

CVE-2024-29824: Critical Vulnerability in Ivanti Endpoint Manager Actively Exploited, PoC Published

2024/10/02 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Windows／macOS／Chrome OS／IoT などの環境の、クライアント・デバイス管理において広く使用されているプラットフォーム Ivanti Endpoint Manager (EPM) で、深刻な脆弱性が積極的に悪用されているとして緊急アラートを発行した。この脆弱性 CVE-2024-29824 (CVSS：9.6) により、Ivanti ソリューションに依存している組織に対して潜在的な脅威をもたらされる。

Adobe Commerce／Magento の脆弱性 CosmicSting による被害：オンラインストアの５％が侵害

Thousands of Adobe Commerce e-stores hacked by exploiting the CosmicSting bug

2024/10/02 SecurityAffairs — Adobe Commerce の脆弱性 CosmicSting CVE-2024-34102 (CVSS：9.8) を悪用する複数の脅威アクターが、この３ヶ月間で 4,000 以上のオンライン・ストアを侵害したと、Sansec の研究者が報告している。この脆弱性は、XML External Entity Reference (XXE) の不適切な制限に起因し、任意のコード実行につながる恐れが生じる。細工された XML ドキュメントを送信し、そこから外部エンティティを参照する撃者は、この問題を悪用する可能性を手にする。さらに、この問題の悪用において、ユーザーの操作は必要ないと、専門家たちが指摘している。

Zimbra の脆弱性 CVE-2024-45519 への攻撃を確認：PoC 公開と CISA KEV 登録

Zimbra RCE Vuln Under Attack Needs Immediate Patching

2024/10/02 DarkReading — 先日に Zimbra が公表したのは、同社の SMTP サーバに存在する深刻なリモート・コード実行の脆弱性が、攻撃者により積極的に標的されている問題である。影響を受ける組織は、脆弱なインスタンスに対して、直ちにパッチを適用する必要がある。この脆弱性 CVE-2024-45519 は、電子メールのジャーナリングとアーカイブを操作する、Zimbra の postjournal service コンポーネントに存在する。このバグにより、認証されていないリモートの攻撃者は、脆弱性のあるシステム上で任意のコマンドを実行し、そのシステムを制御することが可能になる。先週に Zimbra は、影響を受けるバージョンのアップデートをリリースしたが、今のところ、この脆弱性の詳細については公表していない。

CISA KEV 警告 24/09/30：D-Link／DrayTek／Motion Spell／SAP を追加

CISA Adds Four Actively Exploited Vulnerabilities to KEV Catalog

2024/09/30 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに４つのセキュリティ脆弱性を登録し、警鐘を鳴らしている。それが強調するのは、連邦政府機関における緊急性であり、積極的なサイバー脅威から身を守るために、パッチ適用と緩和策の優先を促すものだ。

Ivanti vTM の脆弱性 CVE-2024-7593：CISA KEV への登録と PoC の悪用？

Critical Ivanti vTM auth bypass bug now exploited in attacks

2024/09/24 BleepingComputer — Ivanti に存在する別の重大なセキュリティ脆弱性に対して、CISA は新たにタグ付けした。この脆弱性の悪用に成功した攻撃者は、 Virtual Traffic Manager (vTM) アプライアンス上で不正な管理者ユーザーを作成できるため、積極的な攻撃において悪用されている。この認証バイパスの脆弱性 CVE-2024-7593 は、認証アルゴリズムの誤った実装により発生し、インターネットに公開されている vTM 管理パネル上において、リモート攻撃者による認証の回避を許すものだ。

CISA KEV 警告 24/09/18：Apache／Microsoft／Oracle の脆弱性を登録

CISA Warns of Actively Exploited Apache, Microsoft, and Oracle Vulnerabilities

2024/09/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、世界中の政府の機関／組織に対して警告を発している。新たに特定された、それらの５つ脆弱性は、悪意の攻撃者により積極的に悪用されているものだ。CISA の KEV カタログに追加された脆弱性は、一般的なソフトウェアに対する悪用が確認されたものであり、パッチが適用されていないシステムに深刻なリスクをもたらす。

CISA／FBI の共同アラート：XSS バグの排除へ向けたアドバイスを公開

CISA Issues Advice to Help Eliminate XSS Bugs

2024/09/18 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と FBI は、最も一般的なソフトウェア脆弱性の１つを排除するコーディングの、ベスト・プラクティスに関する認識を高めることを目的とした、共同の Secure by Design Alert を公開した。9月18日に公開された、同アラート “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” は、ソフトウェアに現れる XSS (cross-site scripting )バグの数を減らすことを目的としている。

CISA KEV 警告 24/09/16：Windows の CVE-2024-43461 が情報窃取で悪用

CISA warns of Windows flaw used in infostealer malware attacks

2024/09/16 BleepingComputer — CISA は米国の連邦政府機関に対して、先日に修正された Windows の MSHTML スプーフィング・ゼロデイバグ CVE-2024-43461 から、システムを保護するよう命じた。このバグは、Void Banshee APTハッキング・グループにより悪用されている。この脆弱性 CVE-2024-43461 は、2024年9月の Patch Tuesday 公開されたものだが、その時点では攻撃で悪用されていないものとして、Microsoft は分類していた。しかし、Microsoft は 9月13日 (金) にアドバイザリを更新し、修正される以前から攻撃で悪用されていたことを認めた。

CISA KEV 警告 24/09/13：Ivanti CSA の脆弱性 CVE-2024-8190 を登録

CISA & Ivanti Warn of Active Exploitation Cloud Services Appliance Flaw CVE-2024-8190

2024/09/13 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Cloud Services Appliance (CSA) における脆弱性 CVE-2024-8190 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性は OS コマンド・インジェクションの欠陥として分類されており、管理者権限を持つ攻撃者にリモートコード実行をゆるすものだ。

セキュリティ・ツール導入の問題点：CrowdStrike の失敗から得るものは？

One More Tool Will Do It? Reflecting on the CrowdStrike Fallout

2024/09/09 TheHackerNews — サイバーセキュリティ・ツールの利用は、セキュリティ保護に対する過剰な期待を生み出しかねない。セキュリティ・ツールを利用するユーザー組織は、ファイアウォール／アンチウイルス・ソフトウェア／侵入検知システム／ID 脅威検知・対応ツールなどの導入により、自分たちは十分に保護されていると考える。しかし、このアプローチは、攻撃対象領域という根本的な問題に対処していないだけはでなく、危険なサードパーティ・リスクをも混在させることになる。

Apache OFBiz の RCE 脆弱性 CVE-2024-45195 が FIX：ただちにパッチを！

Apache OFBiz Update Fixes High-Severity Flaw Leading to Remote Code Execution

2024/09/06 TheHackerNews — OSS の ERP システムである Apache OFBiz に存在することが判明した、新たなセキュリティ上の欠陥が修正された。この脆弱性の悪用に成功した攻撃者は、Linux ／Windows 上で認証を必要としないリモート・コード実行を許される可能性があるという。この脆弱性 CVE-2024-45195 (CVSS：7.5) は、OFBiz のバージョン 18.12.16 未満に影響を及ぼす。

CISA KEV 警告 24/09/03：Draytek VigorConnect／WPS Office の脆弱性を登録

CISA Issues Alert: Three Actively Exploited Vulnerabilities Demand Immediate Attention

2024/09/03 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Draytek VigorConnect ルーター／Kingsoft WPS Office における３つの脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した。

CISA／FBI などの共同アドバイザリ：RansomHub ランサムウェアの TTPs／IoC を公開

US Authorities Issue RansomHub Ransomware Alert

2024/09/02 InfoSecurity — 8月29日に CISA が発表した “#StopRansomware: RansomHub Ransomware” は、ランサムウェア・グループ RansomHub に関する共同サイバー・セキュリティ・アドバイザリである。二重恐喝のテクニックを用いる RansomHub は、少なくとも 210社の被害者からデータを窃取／暗号化し、流出させたと見られている。その被害者の範囲は、医療／IT／政府／緊急サービス／食品・農業／上下水道などに及び、さらには製造／輸送／通信などの重要インフラにも達している。

AVTECH IP Camera の脆弱性 CVE-2024-7029：PoC の提供と Mirai 亜種の拡散

Mirai Botnet Exploits Zero-Day Vulnerability CVE-2024-7029 in AVTECH IP Cameras

2024/08/28 SecurityOnline — 先日に発見された AVTECH IP カメラのゼロデイ脆弱性 CVE-2024-7029 を悪用する、Mirai ボットネット・キャンペーンが広まっていると、Akamai の Security Intelligence Response Team (SIRT) が報告している。このリモート・コード実行の脆弱性が、”Corona” と呼ばれる Mirai 亜種の拡散に悪用されており、重要インフラのセキュリティに、重大な懸念を引き起こしている。

CISA KEV 24/08/23：Versa Director の脆弱性 CVE-2024-39717 を登録

CISA Urges Federal Agencies to Patch Versa Director Vulnerability by September

2024/08/24 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的な悪用の証拠に基づき、Versa Director の脆弱性 2024-39717 (CVSS：6.6) を KEV カタログに登録した。この脆弱性は、”Change Favicon” 機能に影響を及ぼす、ファイル・アップロードのバグに起因するものであり、無害な PNG イメージ・ファイルに見せかけた悪意のファイルのアップロードを、脅威アクターたちに許すものとなる。

CISA KEV 警告 24/08/21：Microsoft Exchange Server／Linux Kernel／Dahua IP Camera の脆弱性を登録

Microsoft, Linux, Dahua Flaws Exploited: CISA Warns

2024/08/21 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Exchange Server／Linux Kernel／Dahua IP カメラにおける４つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。