Exploit – IoT OT Security News

CISA KEV 警告 24/05/01：GitLab の脆弱性 CVE-2023-7028 を KEV に追加

CISA says GitLab account takeover bug is actively exploited in attacks

2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS：10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。

侵害のイニシャル・アクセスとしての脆弱性悪用：2023年は 180% 増 – Verizon DBIR

DBIR: Vulnerability Exploits Triple as Initial Access Point for Data Breaches

2024/05/01 InfoSecurity — 侵害のイニシャル・アクセス・ステップとしての脆弱性の悪用は、2022年から 2023年の間に 180% も増加した。5月1日に Verizon が発表した 2024 Data Breach Investigations Report (DBIR) によると、この方式でネットワークに侵入する脅威アクターが 14％に達し、そこから不正アクセスや侵害につながっていった。１位のクレデンシャル窃取と、２位のフィッシングに続いて、脆弱性の悪用は３位となっている。この増加は、MOVEit の脆弱性の悪用や、2024年を通してランサムウェア・ギャングが用いた、いくつかのゼロデイ・エクスプロイトが要因になっていると、同レポートは指摘している。

CISA KEV 警告 24/04/30：Microsoft SmartScreen の脆弱性 CVE-2024-29988：パッチ適用の確認が重要

CISA Catalogs Microsoft’s CVE-2024-29988 as Actively Exploited Vulnerability

2024/04/30 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日にパッチが適用された Microsoft 脆弱性 CVE-2024-29988 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。つまり、この脆弱性が、すでに脅威アクターたちにより、積極的に悪用されていることが示唆される。

BentoML の脆弱性 CVE-2024-2912 と PoC エクスプロイト：ただちにパッチを！

CVE-2024-2912: Critical ‘BentoML’ Flaw Opens AI Systems to Remote Takeover

2024/04/30 SecurityOnline — AI アプリケーションのビルド／デプロイに用いられる、人気の Python ベース・フレームワークである BentoML に、深刻なセキュリティ上の欠陥があることが明らかになった。この脆弱性 CVE-2024-2912 は、ソフトウェアがデータを処理する方法に起因し、BentoML を実行しているサーバ上で、攻撃者に任意のコード実行を許すものになる。

Palo Alto の脆弱性 CVE-2024-3400：リセット／アップグレード後の永続性に関する PoC

Palo Alto firewalls: CVE-2024-3400 exploitation and PoCs for persistence after resets/upgrades

2024/04/30 HelpNetSecurity — 4月30日に Palo Alto Networks は、同社の PAN-OS の脆弱性 CVE-2024-3400 の PoC (proof-of-concept) に関するアドバイザリを更新した。この PoC は、脆弱性の悪用に成功した攻撃者に、ファイアウォール上での永続化の獲得を可能にするものであり、同社は「現時点においては、これらの永続化テクニックを使用して、脆弱性を積極的に悪用しようとする悪意の試みは、確認されてない。これらのテクニックは、インタラクティブな root レベルのコマンド実行が可能な、すでに侵害されたデバイス上で機能する」と詳述している。

Docker Hub ユーザーを標的にした３つのキャンペーン：2021年から展開されていたことが判明

Millions of Docker repos found pushing malware, phishing sites

2024/04/30 BleepingComputer — Docker Hub ユーザーを標的として、2021年初めから展開されている３つの大規模なキャンペーンにより、マルウェアやフィッシング・サイトをプッシュする、数百万のリポジトリが設置されていたことが判明した。Docker Hub がホストする 1,500 万件のリポジトリのうちの約 20%に、スパムからマルウェアやフィッシング・サイトなどにいたる、悪意のコンテンツが含まれていたことが、JFrog のセキュリティ研究者たちにより発見された。

Palo Alto の脆弱性 CVE-2024-3400：XMRig 暗号通貨マイニング・マルウェアの展開

Palo Alto Firewalls Under Attack: Critical Flaw Exploited to Deploy Cryptojacking Malware

2024/04/28 SecurityOnline — いま、Palo Alto Networks の人気ファイアウォール・アプライアンスが、サイバー犯罪者の標的になっている。新たに公表された、深刻な脆弱性 CVE-2024-3400 の悪用に成功した攻撃者は、脆弱なファイアウォールをリモートから操作し、広範なデータ流出やシステムの混乱にいたるという懸念がある。この脆弱性は、PAN-OS の SESSID クッキーの操作に起因しており、それぞれのセッション最中に、root レベルのアクセス権を持つファイル作成が、不注意により許可されてしまうというものだ。この欠陥を悪用する攻撃者は、特別な権限やユーザー操作を必要とせずに、bash スクリプトの操作により、悪意のコードを実行できる。したがって、この脆弱性 CVSS 値は 10.0 と評価されている。

Windows Kernel EoP の脆弱性 CVE-2024-21345：PoC が公開された

Windows Kernel EoP Vulnerability (CVE-2024-21345) Gets PoC Exploit Code

2024/04/27 SecurityOnline — Windows Kernel の EoP (Elevation of Privilege) に存在する、脆弱性 CVE-2024-21345 に対する PoC (proof-of-concept) エクスプロイト・コードが、セキュリティ研究者の Gabe Kirkpatrick から公開された。このエクスプロイトにより、認証された攻撃者は、SYSTEM レベルまで権限を昇格させ、影響を受けるシステムを完全に制御できるようになる。

CrushFTP の脆弱性 CVE-2024-4040：1,400 台以上のサーバが危険に晒されている

Over 1,400 CrushFTP Internet-Facing Servers Vulnerable To Cve-2024-4040 Bug

2024/04/26 SecurityAffairs — 1,400台以上の CrushFTP インターネット接続サーバが、深刻な脆弱性 CVE-2024-4040 を狙う攻撃に対して脆弱であることが判明した。CrushFTP に存在する、VFS サンドボックス・エスケープの脆弱性 CVE-2024-4040 は、Airbus CERT の Simon Garrelou により発見されたものだ。

Cisco IOS XE のゼロデイ CVE-2023-20198 の PoC が公開：直ちにアップデートを！

Cisco Zero-Day Exploit Code Goes Public: Patch Now or Face Total System Takeover

2024/04/25 SecurityOnline — Cisco IOS XE の深刻なゼロデイ脆弱性 CVE-2023-20198 に対して、PoC エクスプロイト・コードが公開されたことにより、世界中の膨大な数の組織におけるリスクが激増している。それ以前において、このバグの悪用方法を知っていたのは、一部の高度な攻撃者だけだった。しかし現在では、あらゆる技術レベルのハッカーが、脆弱なルーターやスイッチを驚くべき手軽さで、完全にコントロールできるようになっている。そのため、企業／インフラ・プロバイダー／政府機関は、エスカレートする攻撃の波に直面している。

CISA KEV 警告 24/04/25：Microsoft Windows Print Spooler の脆弱性 CVE-2022-38028 を追加

CISA Adds Microsoft Windows Print Spooler Flaw To Its Known Exploited Vulnerabilities Catalog

2024/04/25 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Microsoft Windows Print Spooler の権限昇格の脆弱性 CVE-2022-38028 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。ロシアに関連する APT28 (別名：Forest Blizzard／Fancybear／Strontium) について、CISA は Microsoft からの報告を受けた。具体的な内容は、GooseEgg と名付けられた未知のツールにより、Windows Print Spooler の脆弱性 CVE-2022-38028 が悪用されたというものであり、この脆弱性が KEV カタログに追加された。

XZ Utils へのバックドア混入：そこで用いられたソーシャル・エンジニアリングを紐解く

Attacker Social-Engineered Backdoor Code Into XZ Utils

2024/04/25 DarkReading — SolarWinds や CodeCov が経験したような、広範なソフトウェア・サプライチェーンへの攻撃において、敵対者には高度な技術的スキルは必要ない。必要なのは、ほんの少しの時間と、巧妙なソーシャル・エンジニアリングだけということもある。今年の初めに、Linux システムの OSS である XZ Utils データ圧縮ユーティリティに、バックドアを仕込んだ人物も、きっと、そうだっただろう。今週に発表された、このインシデントに対する Kaspersky による分析と、ここ数日における他の企業からの同様の報告から判明したのは、このユーティリティにバックドアを組み込んだ攻撃者は、ほぼ全面的にソーシャル・エンジニアリングを頼っていたことだ。

CISA KEV 警告 24/04/24：Cisco と CrushFTP の深刻な脆弱性に 5月1日までに対処せよ！

CISA Added Critical Vulnerabilities in Cisco Products and CrushFTP to KEV

2024/04/24 SecurityOnline — 米国の Cybersecurity Infrastructure Security Agency (CISA) が連邦政府機関に対して発動したのは、Cisco 製品で発見された２件深刻な脆弱性と、ファイル転送ツール CrushFTP の脆弱性に対して、最優先でパッチを適用すべきという警告である。これらの問題の緊急性は、国家の支援を受けたハッカーによる積極的な悪用に起因しており、脅威の状況の深刻さを強調している。

Progress Flowmon の深刻な脆弱性 CVE-2024-2389：PoC が登場

PoC for critical Progress Flowmon vulnerability released (CVE-2024-2389)

2024/04/24 HelpNetSecurity — Progress Software のネットワーク監視／分析／セキュリティ・ソリューション Flowmon に存在する、未認証により OS コマンド・インジェクションの脆弱性 CVE-2024-2389 の、詳細情報と PoC エクスプロイトが公開された。この致命的な脆弱性は、今月のはじめに Progress により公開され、すでにパッチが適用されている。4月19日 (金) に同社が更新したアドバイザリには、「現在のところ、この脆弱性が悪用されたという報告は受けていない。また、顧客への直接的な影響も認識していない」と記されている。

Cisco ASA／FTD のゼロデイ脆弱性：ArcaneDoor ハッカーが政府機関ネットワークへの侵入で悪用

ArcaneDoor hackers exploit Cisco zero-days to breach govt networks

2024/04/24 BleepingComputer — 4月24日に公開したアドバイザリで Cisco が警告しているのは、2023年11月以降において国家に支援されるハッカー・グループが、Adaptive Security Appliance (ASA) と Firepower Threat Defense (FTD) ファイアウォールに存在する、２つのゼロデイ脆弱性を悪用していたことだ。それにより、世界中の政府機関のネットワークで、侵入が発生していたという。

node-mysql2 の脆弱性 CVE-2024-21508 などが FIX：PoC も公開！

Critical Vulnerabilities in Popular Database Library Expose Millions of Applications to Attack

2024/04/23 SecurityOnline — 無数の Web アプリケーションとバックエンド・システムの基盤である、JavaScript データベース・ライブラリ node-mysql2 に複数の脆弱性が存在することが、セキュリティ研究者たちにより発見された。これらの脆弱性は、CVE-2024-21508／CVE-2024-21509／CVE-2024-21511 として追跡されており、あらゆる業界の組織に対して、広範な影響を及ぼす可能性がある。

Palo Alto の脆弱性 CVE-2024-3400：Siemens 製品に影響をおよぼすことが判明

Siemens Industrial Product Impacted by Exploited Palo Alto Firewall Vulnerability

2024/04/23 SecurityWeek — 最近に公表された Palo Alto ファイアウォールの脆弱性 CVE-2024-3400 は、遅くとも１ヶ月前から攻撃で悪用されており、 Siemens の産業用製品の１つに影響が生じたことが判明した。4月19日に公開したアドバイザリで Siemens は、Palo Alto の NGFW (Next-Generation Firewall) でコンフィグレーションされた、同社の Ruggedcom APE1808 デバイスが、CVE-2024-3400 の影響を受けている可能性があることを明らかにした。

ロシアン APT Forest Blizzard の最新兵器 GooseEgg：Windows の CVE-2022-38028 を狙っている

Russia-Linked Hackers Exploit Windows Zero-Day, Deploy “GooseEgg” to Hijack Networks

2024/04/22 SecurityOnline — ロシア国家が支援するハッキング・グループ “Forest Blizzard” の武器庫にある、洗練された新ツールについて、Microsoft が情報を暴露した。この GooseEgg と名付けられたツールを活用して、侵害したシステムに深くアクセスする攻撃者は、欧米の政府や戦略的組織にとって深刻な脅威をもたらしている。

CrushFTP の脆弱性 CVE-2024-4040 が FIX：すでに悪用が観測されている

CVE-2024-4040: CrushFTP Users Targeted in Zero-Day Attack Campaign

2024/04/22 SecurityOnline — 人気のエンタープライズ・ファイル転送ソフトウェア CrushFTP のユーザーを標的とする、深刻な脆弱性が新たに出現した。このゼロデイ脆弱性 CVE-2024-4040 (CVSS：7.7) は、すべてのサポート対象プラットフォームにおいて、バージョン 10.7.1／11.1.0 未満を使用している組織に対して深刻なリスクをもたらす。この脆弱性により、最小限の権限しか持たない攻撃者は、VFS (Virtual File System) のサンドボックスをエスケープし、権限の及ばない機密ファイルへのアクセスを可能にする。

Oracle VirtualBox の脆弱性 CVE-2024-21111 に PoC：2024/04 Critical Patch で対処済み

Oracle VirtualBox Elevation of Privilege Vulnerability (CVE-2024-21111): PoC Published

2024/04/22 SecurityOnline — Oracle VirtualBox に存在する、深刻な脆弱性 CVE-2024-21111 の PoC エクスプロイトを、セキュリティ研究者である Naor Hodorov が公開した。この脆弱性は VirtualBox の 7.0.16 未満のバージョンに影響を及ぼし、VirtualBox を実行している Windows システムへの基本的なアクセス権を持つ攻撃者に、特権への昇格を許してしまう。

Laravel Framework の脆弱性 CVE-2024-29291：ゼロデイ状態で PoC も提供

Laravel Framework Hit by Data Exposure Vulnerability (CVE-2024-29291) – Database Credentials at Risk

2024/04/21 SecurityOnline — 先日に発見された、人気の Web 開発フレームワーク Laravel における脆弱性により、Web サイトやアプリケーションで、深刻なデータ侵害の可能性が生じている。この脆弱性 CVE-2024-29291 は、Laravel のバージョン 8〜11 に影響を及ぼし、機密性の高いデータベースのログイン認証情報が暴露される可能性があるという。

Palo Alto の脆弱性 CVE-2024-3400：脆弱なデバイス 22,500 台がインターネット公開

22,500 Palo Alto firewalls “possibly vulnerable” to ongoing attacks

2024/04/19 BleepingComputer — 2024年3月26日以降において、Palo Alto GlobalProtect ファイアウォール・デバイス約 22,500台に、活発な攻撃で悪用されているコマンド・インジェクションの脆弱性 CVE-2024-3400 が存在する可能性があるという。この脆弱性 CVE-2024-3400 は、GlobalProtect 機能における特定の Palo Alto Networks の PAN-OS バージョンに影響するものであり、未認証の攻撃者に任意のファイル作成をトリガーとするコマンド・インジェクションを許し、その結果として root 権限でのコマンド実行にいたる可能があるという。

MITRE が公表した 2024年1月の侵害：Ivanti のゼロデイを悪用する APT に侵入されていた

MITRE Revealed That Nation-State Actors Breached Its Systems Via Ivanti Zero-Days

2024/04/19 SecurityAffairs — 2024年4月に MITRE が公表したのは、その研究／試作ネットワークの１つに対して、セキュリティ侵害が生じていたことだ。同組織のセキュリティ・チームは直ちに調査を開始し、脅威アクターをログアウトさせ、サードパーティのフォレンジック・インシデント・レスポンス・チームに依頼し、社内の専門家と協力し、独自の分析を実施した。MITRE Corporation によると、この国家に支援された APT は、2024年1月に Ivanti Connect Secure の２つのゼロデイ脆弱性を連鎖させ、同社のシステムに侵入していた。

GPT-4 調査：脅威アドバイザリを読むだけで多くの脆弱性を悪用できる – University of Illinois

GPT-4 Can Exploit Most Vulns Just by Reading Threat Advisories

2024/04/19 DarkReading — GPT-4 を搭載した AI エージェントは、現実の世界のシステムに影響を及ぼしている、公開されている脆弱性の大半を、オンラインで読み込むだけで悪用できることが判明した。イリノイ大学アーバナ・シャンペーン校 (UIUC) が公開した最新の研究は、AI を悪用するサイバー脅威において、これまで 18ヶ月の間は停滞気味だった状況が、根本的に活性化する恐れがあるとしている。

Ivanti Avalanche の脆弱性 CVE-2024-29204：Poc エクスプロイト・コードが公開された

Exploit Code Released for Severe Ivanti Avalanche Vulnerability (CVE-2024-29204)

2024/04/19 SecurityOnline — さまざまな企業で利用されている MDM (Mobile Device Management) ソリューション Ivanti Avalanche で確認された、深刻な脆弱性 CVE-2024-29204 (CVSS：9.8) に対する、PoC (proof-of-concept) エクスプロイト・コードが公開された。この脆弱性の悪用に成功した、認証されていないリモートの攻撃者は、脆弱なシステム上で任意のコード実行が可能になる。

OpenMetadata の脆弱性：Kubernetes 上で暗号通貨のマイニングに悪用されている

Hackers Exploit OpenMetadata Flaws to Mine Crypto on Kubernetes

2024/04/18 TheHackerNews — OpenMetadata の深刻な脆弱性を悪用する脅威アクターたちが、Kubernetes のワークロードに不正アクセスし、暗号通貨マイニングに悪用していることが判明した。Microsoft Threat Intelligence チームによると、この脆弱性は、2024年4月の始めから武器化されているという。

Cisco IMC の脆弱性 CVE-2024-20295 などが FIX：PoC エクスプロイトも公開

Cisco Says PoC Exploit Available for Newly Patched IMC Vulnerability

2024/04/18 SecurityWeek — 4月17日に Cisco は、Integrated Management Controller (IMC) の脆弱性 CVE-2024-20295 (CVSS：8.8) に対するパッチと、PoC (Proof-of-concept) エクスプロイト・コードを公開した。この脆弱性は、 IMC の Command Line Interface (CLI) に影響を与えるものであり、Read Only 以上の権限を持つローカル攻撃者が、基盤となる OS 上で任意のコマンドを注入し、ルート権限を取得する事態につながるという。

Atlassian の脆弱性 CVE-2023-22518：Linux 版 Cerber ランサムウェアの配布に悪用されている

Linux Cerber Ransomware Variant Exploits Atlassian Servers

2024/04/17 InfoSecurity — パッチ未適用の Atlassian サーバを悪用する攻撃者たちが、Cerber ランサムウェア (別名：C3RB3R) の Linux 亜種を展開していることが確認された。Atlassian Confluence Data Center／Server に存在する、深刻なセキュリティ脆弱性 CVE-2023-22518 の悪用に成功した攻撃者たちは、認証なしで Confluence をリセットし、管理者アカウントを作成することが可能になる。

Fortinet の脆弱性 CVE-2023-48788 を悪用するキャンペーン：Metasploit Powerfun ペイロードなどを配信

Hackers Exploit Fortinet Flaw, Deploy ScreenConnect, Metasploit in New Campaign

2024/04/17 TheHackerNews — Fortinet FortiClient EMS デバイスにおいて、最近になって公開された脆弱性を悪用することで、ScreenConnect および Metasploit Powerfun ペイロードを配信する新たなキャンペーンが、サイバー・セキュリティ研究者たちにより発見された。このキャンペーンは、SQLインジェクションの脆弱性 CVE-2023-48788 (CVSS：9.3) を悪用するものであり、特別に細工されたリクエストを介して、認証されていない攻撃者が不正なコードやコマンドを実行する可能性が生じる。

Cisco の SNMP に脆弱性 CVE-2024-20295 に PoC：ただちにパッチ適用を！

Cisco Patches Vulnerabilities in Integrated Management Controller, SNMP Implementation

2024/04/17 SecurityOnline — 4月17日に Cisco が発表したのは、Integrated Management Controller (IMC) と、Cisco IOS／IOS XE ソフトウェア内の SNMP 実装に存在する、深刻な脆弱性に対処するための３つの緊急セキュリティ・アドバイザリである。これらのセキュリティ上の欠陥を悪用する攻撃者による、リモートコードの実行や、高機密性システムへの不正アクセスが生じる可能性があるという。

Palo Alto PAN-OS の脆弱性 CVE-2024-3400：いくつかの PoC が登場している

Researchers Released Exploit Code For Actively Exploited Palo Alto PAN-OS Bug

2024/04/17 SecurityAffairs — Palo Alto Networks の PAN-OS に存在する、脆弱性 CVE-2024-3400 に関する技術的分析と、脆弱なファイアウォールでシェルコマンドの実行を証明する PoC エクスプロイトが、watchTowr Labs の研究者たちによりリリースされた。この脆弱性 CVE-2024-3400 (CVSS：10.0) は、Palo Alto Networks の PAN-OS ソフトウェアにおける、深刻なコマンド・インジェクションの欠陥である。

TP-Link Router の脆弱性 CVE-2023-1389：１年前の欠陥がボットネットに狙われている

Old Vulnerability, New Attacks: Botnets Swarm Exploited CVE-2023-1389 in TP-Link Routers

2024/04/16 SecurityOnline — TP-Link Archer AX21 ルーターの既知の脆弱性を狙った大規模な攻撃について、FortiGuard Labs のサイバー・セキュリティ専門家たちが警鐘を鳴らしている。この脆弱性は１年前に修正されたものであるが、パッチの未適用のデバイスを悪用する攻撃者により、危険なボットネットの増加に拍車が掛かっている。これらのボットネットには、Moobot／Mirai などが含まれており、それぞれが異なる悪意のアクティビティに特化している。

Windows Kernel の脆弱性 CVE-2024-21338 に PoC：2024年2月の月例パッチを確認！

PoC Exploit Released for 0-day Windows Kernel Elevation of Privilege Vulnerability (CVE-2024-21338)

2024/04/15 SecurityOnline — 国家に支援される北朝鮮のハッキンググループ Lazarus が悪用した、危険なゼロデイ脆弱性 CVE-2024-21338 の技術的詳細と概念実証 PoC エクスプロイトコードが、最近になってセキュリティ研究者たちから公開された。この脆弱性は Windows カーネル自体に存在し、攻撃者に対してシステムレベルでの制御を許し、セキュリティ・ツールの無効化も可能となる。

Palo Alto のゼロデイ CVE-2024-3400：公開の３週間前から Python バックドア

Hackers Deploy Python Backdoor in Palo Alto Zero-Day Attack

2024/04/13 TheHackerNews — Palo Alto Networks の PAN-OS ソフトウェアに存在するゼロデイ脆弱性だが、昨日に明るみに出る前の 2024年3月26日の時点から、３週間にわたり脅威アクターたちに悪用されてきたことが判明した。Palo Alto Networks の Unit 42 は、Operation MidnightEclipse という名称で、この活動を追跡している。現時点では、単一の脅威アクターの仕業であるとしているが、その出所は不明とされる。この脆弱性 CVE-2024-3400 (CVSS：10.0) は、コマンド・インジェクションの欠陥であり、認証されていない攻撃者に対して、ファイアウォールの root 権限を用いた任意のコード実行を許すものである。

XZ Utils バックドア汚染：Rust Crate liblzma-sys 侵害から手口を辿ってみる

2024/04/12 TheHackerNews —XZ Utilsのバックドアに関連する “テストファイル” が、liblzma-sys という名の Rust crate に紛れ込んでいることが、Phylum の新たな調査で明らかになった。この liblzma-sys は、現時点において 21,000回以上もダウンロードされており、XZ Utils データ圧縮ソフトウェアの一部である、基礎ライブラリ liblzma 実装へのバインディングを、Rust 開発者に提供している。問題のバージョンは、0.3.2 である。

Microsoft Windows の脆弱性 CVE-2023-35628 に PoC：ゼロクリック攻撃を証明！

PoC Released for Zero-Click CVE-2023-35628 Vulnerability in Microsoft Windows

2024/04/12 SecurityOnline — Akamai の研究者である Ben Barnea が発表したのは、Microsoft Windows に存在する深刻な脆弱性 CVE-2023-35628 (CVSS：8.1) に関する、技術的詳細および PoC エクスプロイトである。この脆弱性は、特に Outlook クライアントに影響を及ぼし、Windows Explorer を介して悪用される可能性があるという。また、この脆弱性は、ユーザー操作を必要とすることなく、悪用される可能性があるため、世界中のユーザーに対して深刻な脅威をもたらす、他に類を見ない危険なものである。

XZ Utils バックドア騒動：ソフトウェア・セキュリティの問題点が浮き彫りに

XZ Utils Scare Exposes Hard Truths About Software Security

2024/04/11 DarkReading ‐‐‐ ほぼ全ての主要 Linux ディストリビューションに搭載されている、データ圧縮ユーティリティである XZ Utils に、バックドアが注入されていたことが、最近になって判明した。このインシデントから痛感させられるのは、OSS コンポーネントを利用する組織は、ソフトウェアの安全性を確保する責任を、最終的に負う必要があるということだ。

Intel CPU のメモリ・リーク：Spectre v2 という攻撃手法を研究者たちが公表

Researchers Resurrect Spectre v2 Attack Against Intel CPUs

2024/04/10 SecurityWeek — Intel プロセッサーを標的とする Spectre v2 攻撃の新たなバリエーションについて、オランダの VU アムステルダム大学の VUSec Cybersecurity Group が発表した。2018年に Spectre と Meltdown による CPU 攻撃が公表された際、最も危険と名指しされた亜種は、Spectre v2 または Spectre BTI (Branch Target Injection) だった。複数の CPU メーカーが、ハードウェア／ソフトウェアによる緩和策を開発してきたが、それらの攻撃を行う新たな方法を、研究者たちは発見し続けている。

Microsoft Windows における２件のゼロデイ：Sophos と ZDI と Google が発見

Microsoft fixes two Windows zero-days exploited in malware attacks

2024/04/09 BleepingComputer — Microsoft は April 2024 Patch Tuesday において、積極的に悪用されるゼロデイ脆弱性２件を修正した。１つ目の脆弱性 CVE-2024-26234 は、プロキシ・ドライバのなりすましを許す欠陥だと説明されている。2023年12月に Sophos X-Ops により発見され、有効な Microsoft Hardware Publisher 証明書を使用して署名された悪意のドライバを追跡するために、同社の Team Lead である Christopher Budd により報告されたものだ。

Microsoft の脆弱性 CVE-2024-29988：積極的な悪用を ZDI が観測

CVE-2024-29988: ‘In-the-Wild’ Flaw Among Microsoft’s April 2024 Patch Tuesday

2024/04/09 SecurityOnline — Microsoft の April 2024 Patch Tuesday でリリースされたのは、同社のソフトウェア・エコシステム全体にまたがる、脆弱性 147件に対する大量の修正である。この膨大なアップデートと、すでにゼロデイ脆弱性が活発に悪用されているという報告が示すのは、サイバー・セキュリティにおける絶え間のない戦いである。今月のアップデートでは、Windows／Office／Azure／.NET Framework／SQL Server などにおける深刻な弱点が対象とされている。

Fortinet の FortiClient EMS の脆弱性 CVE-2023-48788：悪用キャンペーンが検出された

Critical Fortinet Vulnerability Exploited: Hackers Deploy Remote Control Tools and Backdoors

2024/04/08 SecurityOnline — Fortinet の FortiClient Enterprise Management System (EMS) において、先日にパッチが適用された脆弱性 CVE-2023-48788 を狙う憂慮すべきキャンペーンを、Red Canary のセキュリティ研究者たちが発見した。この脆弱性に対してパッチが適用されていない場合には、完全な管理者権限を取得する攻撃者により、脆弱なシステム上でのリモートコード実行の可能性が生じる。

XZ Utils の脆弱性 CVE-2024-3094 とバックドア：検出のためのツール／スクリプト／ルールが公開

XZ Utils backdoor: Detection tools, scripts, rules

2024/04/08 HelpNetSecurity — XZ Utils のバックドアに関する分析が続く中で、Linux システム上のバックドアの存在を検出するためのツールやアドバイスが、複数のセキュリティ企業から提供され始めた。先日に判明したのは、オープンソースの XZ Utils 圧縮ユーティリティに対して、バックドア CVE-2024-3094 が、熟練した脅威アクターにより注入されていたことである。脅威アクターたちの狙いは、主要 Linux ディストリビューションに悪意のパッケージを埋め込むことで、世界中の Linux システムに対する SSH ステルス・アクセスを、無制限に獲得することにある。

CData の深刻な脆弱性 CVE-2024-31848／31849 などが FIX：PoC も提供されている

CData Products Targeted: Path Traversal Vulnerability Opens Door to Sensitive Data

2024/04/07 SecurityOnline — CData における複数のビジネス統合製品の Java ベースのデプロイメントにおいて、新たに発見されたパストラバーサル脆弱性が、ユーザー組織に重大な脅威をもたらすと、Tenable のセキュリティ研究者たちが警告している。この脆弱性に対して、パッチを適用せずに放置すると、未認証の攻撃者による機密データの窃取や、アプリケーションの完全な制御が奪われる可能性が生じる。

Magento の脆弱性 CVE-2024-20720：Magecart 攻撃が観測されている

Magecart Attackers Pioneer Persistent E-Commerce Backdoor

2024/04/06 DarkReading — Magecart 攻撃者たちが、新しい手口を確立しようとしている。それは、自動的にマルウェアをプッシュできる永続的なバックドアを、電子商取引 Web サイト内に隠し持つ戦術である。Sansec の研究者たちによると、その脅威アクターが悪用するのは、Adobe Magento eコマース・プラットフォームに存在する、深刻なコマンド・インジェクションの脆弱性 CVE-2024-20720 (CVSS：9.1) であるという。

Ivanti 製品の脆弱性：中国系のハッカーが新たな TTP を開発している

Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities

2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる５つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure／Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805／CVE-2024-21887／CVE-2024-21893 の悪用が既に発見／報告されているが、この活度は、その後に続くものである。

Ivanti の新たな脆弱性 CVE-2024-21894：日本の存在する危険なインスタンスは 2,000 ？

New Ivanti RCE flaw may impact 16,000 exposed VPN gateways

2024/04/05 BleepingComputer — インターネット上に公開されている Ivanti の Connect Secure／Poly Secure ゲートウェイ約 16,500 台に、リモートコード実行 (RCE) の脆弱性が存在する可能性がある。今週初めにベンダーが対処した、この脆弱性 CVE-2024-21894 は、Ivanti Connect Secure 9.x／22.x の IPSec コンポーネントに存在する、深刻度の高いヒープオーバーフローに起因するものだ。認証されていないユーザーが、特別に細工したリクエストを送信することにより、サービス拒否 (DoS) やリモートコード実行にいたる可能性がある。

Chrome と Pwn2Own：３つ目の深刻な脆弱性 CVE-2024-3159 が FIX：報奨金は $42,500

Google Patches Chrome Flaw That Earned Hackers $42,500 at Pwn2Own

2024/04/03 SecurityWeek — 4月2日 (火) に Google は、2024年3月に開催された Pwn2Own ハッキング・コンテストで証明された、新たなゼロデイ脆弱性を解決する Chrome アップデートを発表した。この、深刻度の高い脆弱性 CVE-2024-3159 は、V8 JavaScript および WebAssembly エンジンに存在する、境界外メモリ・アクセスの問題に起因すると説明されている。

XZ Utils の脆弱性 CVE-2024-3094：バックドア検出の無料スキャナーを Binarly が開発／提供

Binarly Released The Free Online Scanner To Detect The Cve-2024-3094 Backdoor

2024/04/02 SecurityAffairs — 3月29日に Microsoft のエンジニアである Andres Freund が明らかにしたのは、xz ツールとライブラリの最新バージョンにバックドアが存在するという現実である。この脆弱性は、CVE-2024-3094 (CVSS：10.0) として追跡されている。Red Hat は、Fedora の開発版／実験版が稼働しているシステムを直ちに使用中止するよう、ユーザーに呼びかけている。XZ は、一般的なデータ圧縮フォーマットであり、Linux ディストリビューションにおける、コミュニティ主導型と商用型の大半に実装されている。

XZ Utils for Linux に仕込まれた悪意のコード：RCE を引き起こすという調査結果

Malicious Code in XZ Utils for Linux Systems Enables Remote Code Execution

2024/04/02 TheHackerNews — 主要 Linux ディストリビューションで広範に使用されている、OSS ライブラリ XZ Utils に挿入された悪意のコードは、リモートからのコード実行も可能であることが、新たな分析により明らかになった。脆弱性 CVE-2024-3094 (CVSS：10.0) を悪用する大胆なサプライチェーン侵害は、Microsoft のエンジニアであり、PostgreSQL の開発者でもある Andres Freund が、先週に警告したものである。このデータ圧縮ユーティリティにバックドアが存在するため、リモートの攻撃者がセキュア・シェル認証を回避し、影響を受けたシステムへの完全なアクセスを提供することが明らかになっている。

WallEscape 脆弱性 CVE-2024-28085：Linux のパスワードが漏えいする可能性とは？

‘WallEscape’ Linux Vulnerability Leaks User Passwords

2024/04/01 SecurityWeek — Linux システムの util-linux コア・ユーティリティ・パッケージで発見された新たな脆弱性について、セキュリティ研究者たちが文書化を進めている。それによると、悪用に成功した攻撃者は、ユーザー・パスワードの漏えいや、クリップボード内容の改ざんなどを引き起こす可能性があるという。”WallEscape” と名付けられた脆弱性 CVE-2024-28085 は、コマンドライン引数におけるエスケープシーケンスをフィルタリングしない、util-linux の “wall” コマンドに影響を及ぼすものである。