Cyber Attack – Page 14 – IoT OT Security News

Zendesk のメール・スプーフィングの脆弱性 CVE-2024-49193 が FIX：長々と放置された理由は？

$50,000 Bounty: Researcher Reveals Critical Zendesk Email Spoofing Flaw (CVE-2024-49193)

2024/10/13 SecurityOnline — Zendesk のメール管理システムに存在する、深刻な脆弱性 CVE-2024-49193 が、セキュリティ研究者の Daniel により発見され、詳細に分析されている。この脆弱性の悪用に成功した攻撃者は、スプーフィング攻撃により、機密情報であるサポート・チケット履歴への、不正アクセスの可能性を得るという。この Daniel の報告に対して、Zendesk は否定していたが、問題の深刻さが明らかになったことで、同社は早急な対策を講じることになった。

Palo Alto Expedition の脆弱性 CVE-2024-9466 が FIX：PoC エクスプロイトも提供

CVE-2024-9466 Flaw in Palo Alto Networks’ Expedition Exposes Sensitive Credentials to Attackers, PoC Published

2024/10/10 SecurityOnline — Palo Alto Network の Expedition ツールに、深刻な脆弱性 CVE-2024-9466 (CVSS：8.2) が存在することが、Horizon3.ai のセキュリティ研究者 Zach Hanley の最新分析により明らかになった。この脆弱性の悪用に成功した認証済みの攻撃者は、平文で保存されているファイアウォールのユーザー名／パスワード／API キーなどの機密情報へのアクセスを達成する可能性を得る。

AI コール・センターへの侵害が発覚：盗まれたデータの悪用が今後に及ぼす影響は？

Over 10m Conversations Exposed in AI Call Center Hack

2024/10/10 InfoSecurity — 大規模なデータ侵害により、中東の AI 搭載コールセンター・プラットフォームから、1,000 万件を超える会話が漏洩した。サイバー・セキュリティ企業 Resecurity によると、この侵害はプラットフォームの管理ダッシュボードへの不正アクセスに関係しているという。その結果として、消費者／オペレーター／AI エージェント間の、1,020 万件を超えるインタラクションが、攻撃者のより不正に収集されたという。Resecurity は、盗まれたデータが悪用されると、高度な詐欺／フィッシング・スキームなどに加えて、AI を介した悪意のアクティビティにいたる可能性があると警告している。

Laravel アプリのリスク：Livewire の REC 脆弱性 CVE-2024-47823 と PoC

Exploiting Livewire: CVE-2024-47823 Puts Laravel Apps at Risk

2024/10/09 SecurityOnline — Laravel のフルスタック・フレームワークである Livewire は、動的な UI コンポーネントを PHP を離れることなく構築することで人気を博しているが、新たに脆弱性 CVE-2024-47823 (CVSS：7.7) の存在が判明している。この脆弱性の悪用に成功した攻撃者は、ファイルのアップロードを介することで、影響を受けるシステム上でリモート・コード実行 (RCE) を達成できる。Laravel とシームレスに統合される Livewire は、動的なユーザー・インターフェイスの開発を簡素化するものだ。ただし、この利便性と引き換えに、Livewire のバージョイン v3.5.2 未満では、ファイルのアップロード処理に起因する問題により、深刻な懸念が引き起こされている。

CISA KEV 警告 24/10/09：Fortinet と Ivanti の脆弱性３件を登録

CISA Adds Three Actively Exploited Security Vulnerabilities to KEV Catalog, Urges Urgent Patching

2024/10/09 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、現実の悪用が報告されている３件の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。これらの脆弱性を持つ製品を使用している組織には、緊急のパッチ適用によるシステム保護の必要があると示されている。CISA によると、影響を受けるプラットフォームには、エンタープライズ環境で広く使用されている Fortinet と Ivanti の製品が含まれるという。

Palo Alto Networks の複数の脆弱性が FIX：組み合わせによる悪用を証明する PoC

Palo Alto Networks warns of firewall hijack bugs with public exploit

2024/10/09 BleepingComputer — 10月9日に Palo Alto Networks は顧客に対して、PAN-OS ファイアウォールの乗っ取りの可能性がある脆弱性に対して、パッチを提供した (PoC もリリース)。この脆弱性は、Checkpoint／Cisco などのベンダーから、コンフィグレーションを移行する際に有益な、Palo Alto Networks の Expedition ソリューションで発見された。これらの脆弱性の悪用に成功した攻撃者は、ユーザー認証情報などの機密データへのアクセスを達成し、ファイアウォール管理者アカウントの乗っ取りへといたる可能性が生じる。

Casio で発生したネットワーク侵害：データ窃取について調査中

Casio Confirms Network Breach, Investigates Potential Data Compromise

2024/10/08 SecurityOnline — 2024年10月5日に Casio が認めた、最近のサイバーセキュリティ・インシデントとは、第三者により自社のネットワークが不正アクセスされたというものだ。この侵害により、不正アクセスとシステム障害が引き起こされ、同社の業務に深刻な混乱が生じ、一部のサービスが利用できなくなった。

Microsoft MMC の脆弱性 CVE-2024-43572：すでに積極的な悪用が始まっている

Microsoft Confirms Exploited Zero-Day in Windows Management Console

2024/10/08 SecurityWeek — 10月8日 (火) に Microsoft は、システムのコンフィグとモニタリングに使用される Windows コンポーネントで、積極的に悪用されているコード実行の脆弱性について緊急警告を発した。この、リモート・コード実行のゼロデイ脆弱性 CVE-2024-43572 は、Windows で頻繁に標的とされる Microsoft Management Console (MMC) コンポーネントに存在するものとして文書化されている。

Ivanti Connect Secure の脆弱性 CVE-2024-37404 が FIX：すでに PoC もリリース

CVE-2024-37404: Critical RCE Flaw Discovered in Ivanti Connect Secure & Policy Secure, PoC Published

2024/10/08 SecurityOnline — Ivanti の Connect Secure／Policy Secure に影響を及ぼす、深刻なリモート・コード実行 (RCE) の脆弱性が対処されたと、AmberWolf のセキュリティ研究者である Richard Warren が報告している。この脆弱性 CVE-2024-37404 (CVSS：9.1) の悪用に成功した認証済の攻撃者は、脆弱なシステム上での任意のコード実行の可能性を手にする。

Qualcomm チップセットの複数の脆弱性が FIX：悪用を Amnesty が報告

Qualcomm Alerted to Possible Zero-Day Exploited in Targeted Attacks

2024/10/08 SecurityWeek — 10月7日 (月) に Qualcomm が公開したのは、自社製品で発見／修正された 20件の脆弱性に関するセキュリティ・アドバイザリであり、その中にはゼロデイと思われるものも含まれている。そのゼロデイの可能性がある脆弱性について Qualcomm は、「Google Threat Analysis Group から、限定的な標的化攻撃において、脆弱性 CVE-2024-43047 が悪用されている可能性があるとの報告を受けている」と述べている。

Ivanti CSA の脆弱性 CVE-2024-9381 などが FIX：古い脆弱性との組み合わせで武器化

Zero-Day Alert: Three Critical Ivanti CSA Vulnerabilities Actively Exploited

2024/10/08 TheHackerNews — Ivanti が公表したのは、同社の Cloud Service Appliance (CSA) に影響を及ぼす３件の新たな脆弱性が、実際に悪用されているという警告である。ユタ州を拠点とする Ivanti によると、先月にパッチ適用された CSA の別の脆弱性と組み合わせることで、それらの新たなゼロデイ脆弱性が武器化されているようだ。これらの脆弱性の悪用に成功した、管理者権限を持つ認証済みの攻撃者であれば、各種の制限の回避や、任意の SQL 文の実行、リモート・コード実行などを可能にするという。

Microsoft 2024-10 月例アップデート：５件のゼロデイを含む 118件の脆弱性に対応

Microsoft October 2024 Patch Tuesday fixes 5 zero-days, 118 flaws

2024/10/08 BleepingComputer — 今日は、Microsoft の October 2024 Patch Tuesday の日である。今月の Patch Tuesday には、118件の脆弱性に対するセキュリティ更新が含まれ、その中には、公開された５件のゼロデイ脆弱性が含まれ、そのうちの２件は悪用が確認されているものだ。なお、この Patch Tuesday では、３件の Critical な脆弱性が修正されたが、それら全てがリモート・コード実行の脆弱性である。

Linux Kernel の脆弱性 CVE-2023-52447 に PoC：コンテナ・エスケープの可能性

PoC Exploit Releases for CVE-2023-52447: A Linux Kernel Flaw Enabling Container Escape

2024/10/07 SecurityOnline — 先日に発見された、Linux Kernel の脆弱性 CVE-2023-52447 (CVSS：7.8) に対する、技術的な詳細と PoC エクスプロイトが、研究者たちにより公開された。この use-after-free 脆弱性は、Linux Kernel のバージョン v5.8〜v6.6 に影響を及ぼし、セキュリティ分離のためにコンテナ化に依存しているシステムで、甚大な被害を引き起こす可能性を持つ。

TeamViewer の脆弱性 CVE-2024-7479／7481：PoC エクスプロイトがリリース

Exploit Releases for TeamViewer Flaws (CVE-2024-7479 & CVE-2024-7481) Let Unprivileged Users Load Arbitrary Kernel Drivers

2024/10/07 SecurityOnline — 人気のリモート・アクセス・ツールである TeamViewer で発見された、２つの深刻度の高い脆弱性 CVE-2024-7479／CVE-2024-7481 (CVSS：8.8) に対する技術的詳細と PoC エクスプロイトコードを、セキュリティ研究者である Peter Gabaldon が公開した。これらの脆弱性の悪用に成功した攻撃者は、Windows ローカル権限昇格を達成し、ドライバーのインストール中に発生する暗号署名の不適切な検証を突いて、システム・レベルのアクセスを取得して任意のコード実行を可能にする。

DMARK のミスコンフィグ：それを狙う北朝鮮の APT グループ Kimsuky

North Korean APT Group Kimsuky Exploits DMARC Misconfigurations for Sophisticated Phishing Attacks

2024/10/07 SecurityOnline — 長い間にわたって、組織をサイバー攻撃から守る上で、メール・セキュリティは重要な柱となっていた。しかし、最近のレポートでは、DMARC (Domain-based Message Authentication, Reporting & Conformance) などの広く信頼されている保護機能でさえ、ミスコンフィグにより悪用される可能性があることが判明している。Barracuda の Senior Director of Product Management である Sheila Hara は、「北朝鮮の APT グループである Kimsuky が、DMARC のミスコンフィグを悪用して、絞り込まれた標的型のスピアフィッシング攻撃を実行し、世界中の民間部門と公共部門を脅かしている」と強調している。

DNS Tunneling キャンペーン：Palo Alto Unit42 が発見した検出回避と攻撃の方式とは？

DNS Tunneling: The Hidden Threat Exploited by Cyberattackers

2024/10/07 SecurityOnline — サイバー攻撃者が用いる DNS トンネリングという手法は、検出を回避しながら悪意の活動を行い、データを盗み出すための隠された戦術である。Palo Alto Networks の最新レポートでは、従来のセキュリティ対策を回避する DNS トンネリング・テクニック用いる、新たな脅威とキャンペーンが取り上げられている。インターネットの要である DNS は監視されないままに放置されることが多く、攻撃者にとっての主要なターゲットとなっている。この Palo Alto Networks のレポートには、「DNS トンネリングは、DNS プロトコルを悪用して、DNS クエリ／レスポンスのデータをエンコードするため、攻撃者は気付かれることなく、セキュリティ・システムを回避していく」と記されている。

Zimbra の脆弱性 CVE-2024-45519 の積極的な悪用を観測：パッチ未適用のシステムは 19K

Active Exploits Target Zimbra Collaboration: Over 19K Systems Vulnerable to CVE-2024-45519

2024/10/06 SecurityOnline — Synacor の Zimbra Collaboration プラットフォームに対する、積極的なエクスプロイトの試みに関して、エンタープライズ・セキュリティ企業 Proofpoint は重大な警告を発している。先日に公開された脆弱性 CVE-2024-45519 は、2024年9月下旬から攻撃を受けており、緊急のパッチ適用が求められている。Zimbra の postjournal サービスに影響を及ぼす、この脆弱性の悪用に成功した未認証の攻撃者は、システムを侵害して任意のコマンド実行を達成するため、Zimbra プラットフォームのグローバル・ユーザーに対して深刻な脅威をもたらす。

Ruby-SAML／GitLab の脆弱性 CVE-2024-45409 が FIX：認証バイパス PoC が登場

Researchers Detail Ruby-SAML/GitLab Flaw (CVE-2024-45409) Allows SAML Authentication Bypass

2024/10/06 SecurityOnline — GitLab の認証システムに不可欠な、Ruby-SAML／OmniAuth-SAML ライブラリに存在する深刻な脆弱性 CVE-2024-45409 が、ProjectDiscovery の Harsh Jaiswal と Rahul Maini による最近の調査で明らかになった。この脆弱性の悪用に成功した攻撃者は、SAML レスポンス検証の弱点を用いて SAML 認証をバイパスし、不正アクセスを取得する可能性を手にする。

Salt Typhoon という中国由来の脅威アクター：Verizon／AT&T などのブロードバンド・プロバイダーに侵入

China-linked group Salt Typhoon hacked US broadband providers and breached wiretap systems

2024/10/06 SecurityAffairs — Verizon／AT&T／Lumen Technologies などの米国のブロードバンド・プロバイダーに侵入した、中国由来の APT グループ Salt Typhoon (別名 FamousSparrow／GhostEmperor) が、米政府のためのデータ盗聴システムにアクセスした可能性があるという。このニュースを独占的に報じた Wall Street Journal によると、このセキュリティ侵害は、きわめて大きなリスクをもたらすものとなる。それにより、国家安全保障に影響が生じる可能性もあるため、侵害の内容は公表されていないと、WSJ は述べている。専門家たちは、この脅威アクターの目的は情報収集にあると捉えている。

MS SQL Server に対する新たな攻撃キャンペーン：GotoHTTP でリモート・アクセスを狙っている

New MS-SQL Server Attack Campaign Leverages GotoHTTP for Remote Access

2024/10/05 SecurityOnline — セキュリティ保護されていないアカウントと脆弱なパスワードを狙う、MS SQL Server に対する新しい攻撃が、AhnLab Security Intelligence Center (ASEC) の専門家たちにより発見された。この悪意のキャンペーンで攻撃者は、正規のリモート管理ツール GotoHTTP を使用しているが、この種のオペレーターでが悪用されるのは、きわめて稀なツールである。

Okta が対処した CVE 採番前の脆弱性：セキュリティ対策の回避が生じる

Okta Patches Vulnerability Allowing Unauthorized Access

2024/10/04 SecurityOnline — 先日に Identity／Access 管理の大手 Okta は、有効な認証情報を持つ攻撃者に対して、重要なセキュリティ対策の回避を許してしまう脆弱性に対処した。この脆弱性は、Okta Classic 内の特定のコンフィグレーションに存在するものである。2024年7月のリリースに起因しているが、特定されたのは 9月27日である。

Foxit Reader の Use-After-Free の脆弱性 CVE-2024-28888 が FIX：PoC も公開

Critical Use-After-Free Vulnerability Discovered in Foxit Reader (CVE-2024-28888)

2024/10/04 SecurityOnline — Foxit Reader バージョン 2024.1.0.23997 に、深刻なセキュリティ脆弱性 CVE-2024-28888 (CVSS：8.8) が発見された。この use-after-free の脆弱性の悪用に成功した攻撃者は、被害者のシステム上での任意のコード実行の可能性を手にする。この脆弱性は、Cisco Talos のセキュリティ研究者 KPC により発見されものであり、その悪用を実証する PoC エクスプロイト・コードも公開されている。

Perfctl という洗練された Linux マルウェアを検出：Polkit の CVE-2021-4043 を悪用？

New Linux Malware ‘Perfctl’ Targets Millions by Mimicking System Files

2024/10/03 HackRead — Linux における 20,000 を超えるミスコンフィグを悪用して、世界中で数百万人を標的にする新たなマルウェアが、Aqua Nautilus のサイバー・セキュリティ研究者たちにより発見された。しばらくの間、このマルウェアは潜伏していたようだが、最近になって Nautilus のハニーポットを攻撃したことで、あらゆる Linux サーバを危険にさらす可能性の脅威として検出され、調査の機会が生まれた。

CISA KEV 警告 24/10/02：Ivanti EPM の CVE-2024-29824 の登録と PoC の提供

CVE-2024-29824: Critical Vulnerability in Ivanti Endpoint Manager Actively Exploited, PoC Published

2024/10/02 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Windows／macOS／Chrome OS／IoT などの環境の、クライアント・デバイス管理において広く使用されているプラットフォーム Ivanti Endpoint Manager (EPM) で、深刻な脆弱性が積極的に悪用されているとして緊急アラートを発行した。この脆弱性 CVE-2024-29824 (CVSS：9.6) により、Ivanti ソリューションに依存している組織に対して潜在的な脅威をもたらされる。

Vesta Control Panel ハッキング：ブルートフォースで Admin アカウントを侵害する PoC とは？

Vulnerability in Vesta Control Panel Exposes Admin Accounts

2024/10/02 SecurityOnline — Linux サーバの管理で多用される Web ベースのインターフェースである、Vesta Control Panel に深刻な脆弱性が存在することが、Fortbridge の Cloud Application Security Consultant である Adrian Tiron により判明した。この脆弱性の悪用に成功した攻撃者は、Bash の $RANDOM 変数のシード・エントロピー低下を介してで、管理者アカウントの乗っ取りを達成するという。

Microsoft Office の脆弱性 CVE-2024-38200：NTLMv2 ハッシュ・キャプチャの PoC が提供

0-Day Flaw CVE-2024-38200 in Microsoft Office Exposes NTLMv2 Hashes: PoC Exploit Released

2024/10/02 SecurityOnline — 2024年8月にゼロデイとして発見された脆弱性により、Microsoft Office ユーザーが危険にさらされている。先日に、Microsoft Office の深刻な情報漏えいの脆弱性 CVE-2024-38200 に関する、技術的な詳細と概念実証 (PoC) エクスプロイトが、セキュリティ研究者の Metin Yunus Kandemir により公開された。この脆弱性は、Office 2016／Office 2019／Office LTSC 2021／Microsoft 365 Apps for Enterprise など複数バージョンに影響を及ぼす。その悪用に成功した権限のない脅威アクターが、保護されている情報への不正アクセスを達成する可能性が生じており、セキュリティ専門家の間で懸念が高まっている。

Adobe Commerce／Magento の脆弱性 CosmicSting による被害：オンラインストアの５％が侵害

Thousands of Adobe Commerce e-stores hacked by exploiting the CosmicSting bug

2024/10/02 SecurityAffairs — Adobe Commerce の脆弱性 CosmicSting CVE-2024-34102 (CVSS：9.8) を悪用する複数の脅威アクターが、この３ヶ月間で 4,000 以上のオンライン・ストアを侵害したと、Sansec の研究者が報告している。この脆弱性は、XML External Entity Reference (XXE) の不適切な制限に起因し、任意のコード実行につながる恐れが生じる。細工された XML ドキュメントを送信し、そこから外部エンティティを参照する撃者は、この問題を悪用する可能性を手にする。さらに、この問題の悪用において、ユーザーの操作は必要ないと、専門家たちが指摘している。

Cloudflare が大規模 DDoS 攻撃を阻止：これまでの最大である 3.8 Tbps を記録

Cloudflare mitigated new record-breaking DDoS attack of 3.8 Tbps

2024/10/02 SecurityAffairs — Cloudflare の報告は、9月初旬から現在までの間に、100件以上の大規模な L3/4 DDoS 攻撃を緩和したというものだ。その攻撃の多くは、20億pps／3 Tbps を超え、ピーク時で 3.8 Tbps に達している。この値は、これまでに公表された中で最高値である。

Zimbra の脆弱性 CVE-2024-45519 への攻撃を確認：PoC 公開と CISA KEV 登録

Zimbra RCE Vuln Under Attack Needs Immediate Patching

2024/10/02 DarkReading — 先日に Zimbra が公表したのは、同社の SMTP サーバに存在する深刻なリモート・コード実行の脆弱性が、攻撃者により積極的に標的されている問題である。影響を受ける組織は、脆弱なインスタンスに対して、直ちにパッチを適用する必要がある。この脆弱性 CVE-2024-45519 は、電子メールのジャーナリングとアーカイブを操作する、Zimbra の postjournal service コンポーネントに存在する。このバグにより、認証されていないリモートの攻撃者は、脆弱性のあるシステム上で任意のコマンドを実行し、そのシステムを制御することが可能になる。先週に Zimbra は、影響を受けるバージョンのアップデートをリリースしたが、今のところ、この脆弱性の詳細については公表していない。

Visual Studio Code を悪用する攻撃を検出：Remote-Tunnels エクステンションで C2 通信

Stealthy Cyberattack Turns Visual Studio Code into a Remote Access Tool

2024/10/01 SecurityOnline — Visual Studio Code (VSCode) を悪用して、被害者のシステムに不正なリモートアクセスを確立する高度なサイバー攻撃を、Cyble Research and Intelligence Labs (CRIL) が発見した。この攻撃は、一般的な検出メカニズムを回避し、信頼できるソフトウェアを悪用することで、悪意のアクションを実行するという、高度なステルス性を発揮している。

CISA KEV 警告 24/09/30：D-Link／DrayTek／Motion Spell／SAP を追加

CISA Adds Four Actively Exploited Vulnerabilities to KEV Catalog

2024/09/30 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに４つのセキュリティ脆弱性を登録し、警鐘を鳴らしている。それが強調するのは、連邦政府機関における緊急性であり、積極的なサイバー脅威から身を守るために、パッチ適用と緩和策の優先を促すものだ。

JPCERT/CC：Windows Event Log からランサムウェアの痕跡を探すヒントを提供

JPCERT shares Windows Event Log tips to detect ransomware attacks

2024/09/30 BleepingComputer — Japan Computer Emergency Response Center (JPCERT/CC) が共有したのは、Windows Event Logs のエントリをベースにして、各種のランサムウェア撃を検出するためのヒントであり、それにより、進行中の攻撃がネットワークに拡散する前のタイムリーな検出を目指している。JPCERT/CC によると、この手法はランサムウェア攻撃に対応する際に有益であり、さまざまな可能性の中から攻撃ベクターを特定することで、タイムリーな緩和を支援するという。

Linux Kernel の脆弱性 CVE-2024-26808 が FIX：PoC エクスプロイトも提供

CVE-2024-26808: PoC Exploit Shows Local Privilege Escalation Risk in Linux

2024/09/29 SecurityOnline — Linux kernel に存在する、新たな脆弱性 CVE-2024-26808 の技術的詳細と、PoC エクスプロイト・コードが公開された。この脆弱性は、Linux Kernel のバージョン v5.9〜v6.6 に影響を及ぼすものであり、先日のカーネル・コードベースへのコミットで対処されている。

イスラエル軍のサイバー攻撃：ベイルート空港管制塔の通信ネットワークをハッキング

Israel army hacked the communication network of the Beirut Airport control tower

2024/09/29 SecurityAffairs — 9月28日にイスラエルのサイバー軍は、ベイルートのラフィク・ハリリ国際空港の管制塔をハッキングした。MiddleEastMonitor が報じたところによると、イスラエル国防軍は管制塔の通信ネットワークに侵入し、着陸しようとしていたイランの民間機を脅迫したという。

WatchGuard の深刻な脆弱性 CVE-2024-6592／6593 が FIX：PoC も提供

Critical WatchGuard Vulnerabilities Discovered: CVE-2024-6592 and CVE-2024-6593

2024/09/27 SecurityOnline — WatchGuard の Authentication Gateway (SSO Agent) と Single Sign-On Client に存在する、２つの深刻な脆弱性 CVE-2024-6592／CVE-2024-6593 が明らかにされた。この脆弱性が悪用されると、数千の組織に影響が及ぶ可能性があると、サイバーセキュリティ企業の RedTeam Pentesting GmbH は指摘している。

英仏議会職員のデータが漏えい：約 3,191 人分の個人情報がダークウェブで販売

Data of 3,191 congressional staffers leaked in the dark web

2024/09/26 SecurityAffairs — インターネットセキュリティ企業 Proton と Constella Intelligence の最新調査によると、約 3,191 人の議会職員の個人情報がダーク・ウェブに漏洩したようだ。それらの漏洩したデータに含まれるものには、パスワード／IP アドレス／ソーシャル・メディア情報などがあるという。この情報を最初に報じた The Washington Times は、研究者たちが発見した 1,800 件以上のパスワードは議会職員が使用しているものとし、それらがダーク・ウェブで入手可能であるとしている。議会職員の5人に１人の個人情報がダーク・ウェブに漏洩したことになる。そして、10件を超える各種のインシデントで、約 300人の職員のデータが侵害されている。

GitLab の SAML 脆弱性 CVE-2024-45409：セキュリティ修正を拡張

GitLab backports fix for CVE-2024-45409 to older versions

2024/09/25 SecurityOnline — GitLab が 9月25日にリリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)／Enterprise Edition(EE) の全バージョンに影響を与える、深刻な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。セルフマネージド・インストールの管理者に対して強く推奨されるのは、新たにパッチが適用されたバージョン (16.10.10／16.9.11／16.8.10／16.7.10／16.6.10／16.5.10／16.4.7／16.3.9／16.2.11／16.1.8／16.0.10) へと直ちにアップグレードすることだ。これらのバージョンに含まれるのは、9月17日に GitLab バージョン 17.x.x/16.11.10 向けにリリースされたセキュリティ修正である。

SolarWinds WHD の脆弱性 CVE-2024-28987：PoC エクスプロイトが提供

PoC for critical SolarWinds Web Help Desk vulnerability released (CVE-2024-28987)

2024/09/26 HelpNetSecurity — SolarWinds Web Help Desk (WHD) の CVE-2024-28987 に関する詳細と PoC エクスプロイト・コードが公開された。この脆弱性は 2024年8月に修正されているが、その悪用に成功した攻撃者は認証を必要とすることなく、すべてのヘルプデスク・チケットの詳細をリモートで読み取り、変更する可能性を手にする。

Chrome の App-Bound 暗号化を回避：わずか２ヶ月で達成したインフォ・スティーラー群とは？

Infostealers Overcome Chrome’s App-Bound Encryption, Threatening User Data Security

2024/09/24 SecurityOnline — 悪名高いインフォ・スティーラーの開発者が、Chrome バージョン 127 で導入された App-Bound 暗号化機能の回避に成功したと発表し、サイバー・セキュリティにおける懸念が示されている。つまり、これらの悪意のあるツールは、以前は暗号化により保護されていた認証 Cookie を収集できるようになり、ユーザー・データのプライバシーに対する新たな脅威を生じている。

Ivanti vTM の脆弱性 CVE-2024-7593：CISA KEV への登録と PoC の悪用？

Critical Ivanti vTM auth bypass bug now exploited in attacks

2024/09/24 BleepingComputer — Ivanti に存在する別の重大なセキュリティ脆弱性に対して、CISA は新たにタグ付けした。この脆弱性の悪用に成功した攻撃者は、 Virtual Traffic Manager (vTM) アプライアンス上で不正な管理者ユーザーを作成できるため、積極的な攻撃において悪用されている。この認証バイパスの脆弱性 CVE-2024-7593 は、認証アルゴリズムの誤った実装により発生し、インターネットに公開されている vTM 管理パネル上において、リモート攻撃者による認証の回避を許すものだ。

Google Play に潜む Necro というトロイの木馬：著名なアプリを感染させてユーザーを狙う

Necro Trojan Infects Google Play Apps With Millions of Downloads

2024/09/23 SecurityWeek — マルウェア対策ベンダーの Kaspersky の報告で判明したのは、公式 Google Play ストアにおいて、合計約1,100 万回もダウンロードされた２つのアプリが、トロイの木馬 Necro に感染していることだ。2019 年の時点でマルチステージ・ローダー Necro は、Google Play で１億回以上ダウンロードされた Phone PDF 作成アプリ CamScanner に感染し、その後に発見されている。

Tor Project がピンチ？ドイツの法執行機関が主張する匿名性剥奪の手法とは？

Tor Project responded to claims that law enforcement can de-anonymize Tor users

2024/09/20 SecurityAffairs — ドイツの法執行機関が主張する、ユーザーの匿名性を剥奪する手法の考案に対して、Tor プロジェクトのメンテナたちが反応している。ドイツのメディアによると、同国の法執行機関は匿名化ネットワークに侵入し、少なくとも１件のケースで犯罪者の正体を暴いたという。このドイツの法執行機関は、独自のサーバを運用することで、数ヶ月にわたり Tor ネットワークを監視してきた。ARD のPanorama と STRG_F が実施した調査では、監視中に収集されたデータは統計的手法を介して処理され、Tor の匿名性を事実上破っていることが明らかになった。

Ivanti CSA 4.6 の脆弱性 CVE-2024-8963：EoL へのパッチ提供と CISA KEV 登録

Critical Flaw in Ivanti CSA 4.6: CVE-2024-8963 Actively Exploited, Urgent Upgrade Required

2024/09/19 SecurityOnline — Ivanti が公表したのは、Ivanti Connect Secure Appliance (CSA) 4.6 に存在する重大な脆弱性のアドバイザリである。この脆弱性 CVE-2024-8963 (CVSS：9.4) に関しては、すでに積極的な悪用が確認されており、Ivanti CSA の EOL (End-of-Life) バージョンのユーザーに対して重大なリスクをもたらしている。

Earth Baxia サイバー・スパイ：GeoServer の CVE-2024-36401 を武器にして APAC を狙う

Sophisticated Cyber Espionage: Earth Baxia Uses CVE-2024-36401 and Cobalt Strike to Infiltrate APAC

2024/09/19 SecurityOnline — サイバースパイ集団 Earth Baxia が、洗練されたスピアフィッシング攻撃と、GeoServer の脆弱性 CVE-2024-36401 の悪用を通じて、台湾の政府機関や APAC 諸国を標的にしていることが、最近の Trend Micro のレポートにより判明した。この攻撃は、通信／電力／政府などの主要セクターに侵入する、従来からの継続的な取り組みの一環だとされる。

ヒズボラの通信デバイスを爆発させた組織：その驚異的な諜報能力とは？ – 元 NSA 長官

Device detonations reveal ‘incredible’ intelligence abilities: ex-NSA chief

2024/09/19 NextGov — ヒズボラの数千台ものデバイスが爆発したことについて、9月19日 (水) に元 NSA 長官が語ったことは、イスラエルの驚くべき情報収集能力を示すと同時に、世界のサプライチェーンが抱える潜在的な脆弱性を浮き彫りにするものだ。National Security Agency 局長と、U.S. Cyber Command 指揮官を歴任してきた Paul Nakasone は、「犯人たちは、標的を定めて情報収集する驚くべき能力を持ち、実際にデバイスのシリアル番号を把握し、それを保有する人物と、それが使用される周期を掌握していた」と語っている。

Windows MSI Installers の脆弱性 CVE-2024-38014 が FIX：以前からの積極的な悪用とは？

Researchers Detail CVE-2024-38014 0-Day Vulnerability in Windows MSI Installers Exploited in the Wild

2024/09/18 SecurityOnline — Microsoft Windows MSI インストーラーに影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38014 が発見され、パッチ未適用のバージョンが悪用されていると、SEC Consult Vulnerability Lab のセキュリティ研究者 Michael Baer は分析している。この重大な脆弱性の悪用に成功した攻撃者は、SYSTEM 権限への昇格を達成する。また、この脆弱性は、MSI インストーラーの修復機能に関係しており、最近の修正プログラムが Microsoft から公開される以前において、積極的に悪用されていたという。

Chrome V8 JavaScript のゼロデイ脆弱性 CVE-2024-7965：PoC エクスプロイトが提供

PoC Exploit Released for CVE-2024-7965 Zero-Day Chrome Vulnerability

2024/09/18 SecurityOnline — 先日に発見された Chrome V8 JavaScript エンジンのゼロデイ脆弱性 CVE-2024-7965 に対する、技術的な詳細と PoC エクスプロイトが公開された。BI.ZONE の専門家が分析したところ、この重大な欠陥は、特に Android スマートフォンと macOS ラップトップにとって、深刻な脅威になり得るという。

CISA KEV 警告 24/09/18：Apache／Microsoft／Oracle の脆弱性を登録

CISA Warns of Actively Exploited Apache, Microsoft, and Oracle Vulnerabilities

2024/09/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、世界中の政府の機関／組織に対して警告を発している。新たに特定された、それらの５つ脆弱性は、悪意の攻撃者により積極的に悪用されているものだ。CISA の KEV カタログに追加された脆弱性は、一般的なソフトウェアに対する悪用が確認されたものであり、パッチが適用されていないシステムに深刻なリスクをもたらす。

GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX：直ちにアップデートを！

GitLab releases fix for critical SAML authentication bypass flaw

2024/09/18 BleepingComputer — GitLab リリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)／Enterprise Edition(EE) のセルフマネージド・インストールに影響を与える、重大な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。SAML (Security Assertion Markup Language) とは、ユーザーが同じ認証情報を使用して異なるサービスにログインするための、SSO (Single Sign-On) 認証プロトコルである。脆弱性 CVE-2024-45409 は、GitLab が SAML ベースの認証を処理するために使用している、OmniAuth-SAML／Ruby-SAML ライブラリの問題に起因する。

CISA KEV 警告 24/09/16：Windows の CVE-2024-43461 が情報窃取で悪用

CISA warns of Windows flaw used in infostealer malware attacks

2024/09/16 BleepingComputer — CISA は米国の連邦政府機関に対して、先日に修正された Windows の MSHTML スプーフィング・ゼロデイバグ CVE-2024-43461 から、システムを保護するよう命じた。このバグは、Void Banshee APTハッキング・グループにより悪用されている。この脆弱性 CVE-2024-43461 は、2024年9月の Patch Tuesday 公開されたものだが、その時点では攻撃で悪用されていないものとして、Microsoft は分類していた。しかし、Microsoft は 9月13日 (金) にアドバイザリを更新し、修正される以前から攻撃で悪用されていたことを認めた。