Exploit – Page 17 – IoT OT Security News

CISA KEV 警告 24/07/29：ServiceNow／Acronis Cyber Infrastructure の脆弱性を登録

Actively Exploited ServiceNow and Acronis Vulnerabilities Pose Significant Threats to Government and Private Sectors

2024/07/29 SecurityOnline — 米国 CISA は、KEV (Known Exploited Vulnerabilities) カタログに、３件の脆弱性 (CVE-2024-4879／CVE-2024-5217／CVE-2023-45249) を追加した。これらの脆弱性は、ServiceNow Now Platform と Acronis Cyber Infrastructure (ACI) サーバに存在するものであり、政府機関と民間企業の両方に重大なリスクをもたらしている。

VMware ESXi への認証バイパスの攻撃：複数のランサムウェアが悪用 – Microsoft

Microsoft: Ransomware gangs exploit VMware ESXi auth bypass in attacks

2024/07/29 BleepingComputer — VMware ESXi の認証バイパスの脆弱性を悪用するランサムウェア集団が、積極的な攻撃を展開していると、Microsoft が警告している。この Medium レベルの脆弱性 CVE-2024-37085 は、Microsoft のセキュリティ研究者である Edan Zwick／Danielle Kuznets Nohi／Meitar Pinto により発見され、6月25日にリリースされた ESXi 8.0 U3 で修正されている。このバグを悪用する攻撃者は、ESX Admins グループを作成し、新規ユーザーの追加を可能にするものであり、それらのユーザーに対しては、ESXi ハイパーバイザー上の完全な管理者権限が自動的に割り当てられるという。

Proofpoint の脆弱性 EchoSpoofing：フィッシング・キャンペーンに悪用されている

Phishing Campaign Exploited Proofpoint Email Protections for Spoofing

2024/07/29 SecurityWeek — Proofpoint のメール保護サービスの脆弱性を悪用し、有名企業に成りすますフィッシング・キャンペーンが展開されていることが、Guardio Labs のレポートにより明らかになった。このキャンペーンでは、１日あたり数百万通のフィッシング・メッセージが配信されている。攻撃者たちは、Proofpoint を悪王することで、フィッシング・メッセージが本物であるように見せかけている。彼らは、過剰なアクセス許可を与えるという、Proofpoint のミス・コンフィグを悪用することで、電子メールのセキュリティ保護を回避しているという。

OAuth と XSS のコンボ攻撃：数百万人の Web ユーザーをアカウント乗っ取りで脅かす

OAuth+XSS Attack Threatens Millions of Web Users With Account Takeover

2024/07/29 DarkReading — Web ユーザーの行動を追跡／記録するサービスの Hotjar と、人気のニュース・サイト Business Insider の API に、重大なセキュリティ欠陥が存在することが判明した。最新の認証規格が悪用され、長年の脆弱性が復活させられたことで、数百万人のユーザーがアカウント乗っ取りの危険にさらされている。API のセキュリティ会社である Salt Security の Salt Labs が、7月29日に公開したブログによると、認証規格の OAuth と、２つのサイトの XSS (cross-site scripting) の欠陥を組み合わせることで、攻撃者は機密データの窃取が可能になり、100万以上の Web サイトの正規ユーザーを装う悪質な活動の可能性が生じているという。

Raspberry Pi RaspAP の脆弱性 CVE-2024-41637 が FIX：PoC が提供

RaspAP Vulnerability: Root Access at Risk for Raspberry Pi Users

2024/07/29 SecurityOnline — Raspberry Pi デバイスを無線アクセス・ポイントにする人気のオープンソース・ツール RaspAP に、重大な脆弱性 CVE-2024-41637 が存在することが、セキュリティ研究者の Zonifer により発見された。この脆弱性の悪用に成功したローカルの攻撃者は、標準ユーザーから root ユーザーへの権限の昇格が可能になり、Raspberry Pi の完全な制御を奪う可能性を得る。

Apache Superset の脆弱性 CVE-2024-34693 が FIX：PoC エクスプロイトも提供

CVE-2024-34693: Apache Superset Arbitrary File Read Vulnerability, PoC Published

2024/07/28 SecurityOnline — Apache Software Foundation は、Apache Superset に存在する任意ファイル読み取りの脆弱性 CVE-2024-34693 に対処する、セキュリティ更新プログラムをリリースした。この脆弱性は、Apache Superset 内の MariaDB プロトコル実装における不適切な入力検証に起因し、バージョン 3.1.3 未満/4.0.0 に影響を及ぼすものだ。攻撃者は、local_infile パラメータを有効化し、MariaDB 接続を作成することで、この脆弱性の悪用を試行できる。

Cisco 製品の RADIUS プロトコルの脆弱性：PoC の提供と迅速なパッチ適用の必要性！

Cisco Confirms Critical RADIUS Protocol Vulnerability in Multi Products: Patch Now!

2024/07/28 SecurityOnline — Cisco が公表したのは、ネットワーク・アクセス用の認証／認可フレームワークとして広く使用されている、RADIUS プロトコルに存在する重大な脆弱性 CVE-2024-3596 のセキュリティ・アドバイザリである。この脆弱性により、攻撃者は多要素認証 (MFA：multi-factor authentication) をバイパスし、ネットワークに不正にアクセスする可能性を得る。

Acronis の脆弱性 CVE-2023-45249 が FIX：ユーザー操作を必要としない攻撃が発生

Acronis warns of Cyber Infrastructure default password abused in attacks

2024/07/26 BleepingComputer — Acronis が顧客に発している警告は、インフラストラクチャの重要なセキュリティ上の欠陥に、パッチを適用するよう促すものである。デフォルトの認証情報を用いる攻撃者が、この脆弱性 CVE-2023-45249 の悪用に成功すると、欠陥のあるサーバの認証がバイパスされることになる。Acronis Cyber Protect (ACI) は、マルチテナント型の統合プラットフォームであり、リモート・エンドポイント管理／バックアップ／仮想化機能などを連携させるものだ。さらに、ディザスタ・リカバリのワークロードを実行し、企業のバックアップ・データを安全に保存する。

ServiceNow の脆弱性 CVE-2024-4879：PoC を利用する脅威アクターたちの標的に！

Critical ServiceNow RCE flaws actively exploited to steal credentials

2024/07/25 BleepingComputer — ServiceNow の公開されているエクスプロイトを悪用して連鎖させ、政府機関や民間企業に侵入してデータを盗む攻撃を、脅威アクターたちが展開している。この悪質な活動は Resecurity により報告され、１週間の監視期間を経た結果、政府機関／データセンター／エネルギー／プロバイダー／ソフトウェア開発企業など、複数の被害者が存在することが特定された。2024年7月10日に ServiceNow から、この脆弱性に対するセキュリティ・アップデートがリリースされたが、数万台のシステムが攻撃に対して、潜在的に脆弱な状況を引きずっている。

Microsoft SmartScreen の脆弱性 CVE-2024-21412：マルウェア拡散に悪用されている

Hackers Exploit Microsoft Defender Smartscreen Bug CVE-2024-21412 To Deliver Acr, Lumma, And Meduza Stealers

2024/07/25 SecurityAffairs — 脆弱性 CVE-2024-21412 (CVSS：8.1) を悪用して、ACR Stealer／Lumma／Meduza などの情報スティーラーを拡散するマルウェア・キャンペーンが、Fortinet FortiGuard Labs の研究者たちにより発見された。悪用が観測された CVE-2024-21412 は、Microsoft Windows SmartScreen に存在する脆弱性であり、インターネット・ショートカット・ファイルのセキュリティ機能バイパスの欠陥だとされる。

Windows Hello for Business に脆弱性：導入方法の弱点を突く PoC が公開

Critical Vulnerability in Windows Hello for Business Discovered by Researcher

2024/07/24 SecurityOnline — Microsoft の Windows Hello for Business (WHfB) 認証システムに存在する深刻な脆弱性を、研究者である Yehuda Smirnov が発見した。これまで、無敵と考えられていたバイオメトリック・セキュリティの信頼性に対して、彼の発見は疑問を投げかけるものだ。WHfB とは、2016年の時点で Windows 10 の商用／企業バージョンに導入されたものであり、フィッシング攻撃に対する防波堤として設計されている。このシステムは、コンピュータの TPM (Trusted Platform Module) に埋め込まれた暗号キーを採用し、生体認証または暗証番号により起動するものだ。しかし、Accenture の倫理的ハッカーで構成される Red Team の一員である Yehuda Smirnov が、認証要求のパラメーターを変更することで、この防御の回避が可能になることを発見した。

CISA KEV 警告 24/07/23：Internet Explorer と Twilio Authy の脆弱性を登録

U.S. CISA Adds Microsoft Internet Explorer And Twilio Authy Bugs To Its Known Exploited Vulnerabilities Catalog

2024/07/24 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、以下の脆弱性を Known Exploited Vulnerabilities（KEV）カタログに追加した：

CVE-2012-4792：Microsoft Internet Explorer の Use-After-Free 脆弱性
CVE-2024-39891：Twilio Authy 情報漏洩の脆弱性

1Panel に SQLi の脆弱性 CVE-2024-39911 (CVSS:10) が FIX：早急なパッチ適用を

1Panel Users Urged to Patch After Critical SQLi Flaws (CVE-2024-39911, CVSS 10) Discovered

2024/07/22 SecurityOnline — OSS のサーバー管理ツール 1Panel に、SQL インジェクションの致命的な脆弱性 CVE-2024-39911 が見つかり、世界中の数百万台の Linux サーバが危険に直面している。この脆弱性の CVSS スコアは 10.0 と評価されており、容易に悪用される可能性が高いと示唆される。

Telegam ゼロデイ脆弱性：ビデオを装いながら悪意の Android APK を配信

Telegram zero-day allowed sending malicious Android APKs as videos

2024/07/22 BleepingComputer — EvilVideo と呼ばれる Telegram for Android のゼロデイ脆弱性により、攻撃者は動画ファイルに偽装した悪意のある Android APK ペイロードを送信できるようになった。ロシア語圏の XSS ハッキング・フォーラムで、2024年6月6日に脅威アクター Ancryno は、この欠脆弱性 Telegram v10.14.4 以下に存在すると投稿し、Telegram のゼロデイ・エクスプロイトの販売を開始した。

FFI という新たな脆弱性：Windows Code Integrity を回避する恐れ

New ‘False File Immutability’ Vulnerability Poses Significant Threat to Windows Security

2024/07/22 SecurityOnline — False File Immutability (FFI) と呼ばれる新たに発見された脆弱性クラスにより、重要なセキュリティ・メカニズムである Windows Code Integrity (CI) 回避の可能性が生じるため、サイバーセキュリティ・コミュニティ内で深刻な懸念を引き起こしている。この脆弱性については、発見者である Elastic Security の Gabriel Landau から詳細が公開されており、書き込み権限なしにオープンされたファイルは変更できないという、大前提の欠陥が突かれるものだという。

1Panel の SQLi 脆弱性 CVE-2024-39907 (CVSS 9.8) が FIX：PoC も提供されている

CVE-2024-39907 (CVSS 9.8): SQLi Flaw Exposes 1Panel Users to Remote Takeover, PoC Published

2024/07/22 SecurityOnline — OSS Web ベースのサーバー管理コントロール・パネル 1Panel に、深刻な脆弱性 CVE-2024-39907 が発見された。この SQL インジェクションの欠陥は、CVSS スコアが 9.8 と高く、悪用されると深刻な影響を与える可能性があることが示唆されている。

Citrix NetScaler デバイスの脆弱性 CVE-2023-6548：NHS England が悪用を確認と警告

NHS England Issues Cyber Alert for Exploited CVE-2023-6548 Vulnerability in NetScaler Devices

2024/07/19 SecurityOnline — 現時点において Citrix の NetScaler Gateway／NetScaler ADC デバイスの脆弱性 CVE-2023-6548 が悪用されているという、CrowdStrike からの新たな情報をもとに、NHS England National Cyber Security Operations Centre (CSOC) がサイバー・アラートを発表している。当初、この脆弱性は深刻度が低いと評価されていたが、現在では再評価され、リモートの未認証の攻撃者が、ユーザー特権を必要とせずに任意のコード実行を可能にすることから、Critical に分類されている。

Splunk Enterprise の深刻な脆弱性 CVE-2024-36991 が FIX：PoC も提供されている

Critical Splunk flaw can be exploited to grab passwords (CVE-2024-36991)

2024/07/18 HelpNetSecurity — 先日に修正された、Windows 上の Splunk Enterprise に影響を及ぼす脆弱性 CVE-2024-36991 について、「当初に考えられていたよりも深刻なものだ」と、SonicWall の脅威リサーチャーたちが指摘している。IT コンサルタントの Mohamed Nabil Ali により公開された、いくつかの PoC エクスプロイトは、インターネットに面した脆弱なエンドポイントの、一括スキャンが可能なことを証明し、”/etc/passwd” ファイルの読み取りなども達成している。

CISA KEV 警告 24/07/17：Adobe／SolarWinds／VMware の脆弱性を登録

CISA Adds Three New Vulnerabilities to Known Exploited Vulnerabilities Catalog

2024/07/17 SecurityOnline — 米国 CISA は、KEV (Known Exploited Vulnerabilities) カタログに、積極的に悪用されている３件の脆弱性 (CVE-2024-34102／CVE-2024-28995／CVE-2022-22948) を追加した。サイバー犯罪者たちは、これらの脆弱性を積極的に悪用して不正アクセスを行い、データを盗み、重要なインフラを麻痺させる可能性を持つ。ユーザー組織に対しては、システムに直ちにパッチを適用することが求められている。

Apache HugeGraph の脆弱性 CVE-2024-27348：悪用の試みが観測されている

Critical Apache HugeGraph Vulnerability Under Attack – Patch ASAP

2024/07/17 TheHackerNews — 最近に公開された Apache HugeGraph-Server の RCE 脆弱性 CVE-2024-27348 (CVSS：9.8) を悪用する、脅威アクターたちの動きが活発化している。この脆弱性は、HugeGraph の Gremlin Traversal Language Interface に存在し、リモート・コマンド実行につながる欠陥だと説明されており、HugeGraph 1.3.0 未満の全てのバージョンに影響を及ぼすものだ。

Microsoft Outlook のバグが FIX：セキュリティ誤報が修正された

Microsoft finally fixes Outlook alerts bug caused by December updates

2024/07/16 BleepingComputer — Outlook の 2023年12月のセキュリティ更新プログラムをインストールした後に、Microsoft Outlook Desktop に不正なセキュリティ警告が表示される問題が、昨日になって、ようやく修正された。2月上旬から Microsoft が調査を進めていたのは、ICS (Internet Calendaring and Scheduling) ファイルをダブルクリックすると、予期せぬ警告が表示されるという報告に関するものだ。具体的に言うと、誤ったメッセージである、「この場所は安全でない可能性がある」や、「Microsoft Officeは潜在的なセキュリティ上の懸念を特定した」が表示されると、多数の Microsoft 365 ユーザーから指摘されていたのだ。

Microsoft MHTMLの脆弱性 CVE-2024-38112：Void Banshee APT が Atlantida スティーラーの配布に悪用

Void Banshee APT Exploits Microsoft MHTML Flaw to Spread Atlantida Stealer

2024/07/16 TheHackerNews — Void Banshee という APT グループが、最近に公開された Microsoft の MHTML ブラウザ・エンジンのゼロデイ脆弱性 CVE-2024-38112 を悪用し、Atlantida 情報窃取ツールを配信していることが確認された。この活動を 2024年5月中旬に観測したサイバーセキュリティ企業 Trend Micro によると、この脆弱性は、特別に細工されたインターネット・ショートカット (URL) ファイルを使用する、多段階攻撃チェーンの一部として使用されていたという。

WordPress Profile Builder の脆弱性 CVE-2024-6695 が FIX：近々に PoC がリリースされる

CVE-2024-6695 (CVSS 9.8) in Popular WordPress Plugin Exposes 50,000 Sites to Admin Hijacking

2024/07/15 SecurityOnline — WordPress Profile Builder は、5万以上のアクティブなインストールを誇るプラグインだが、そこに存在する深刻な脆弱性 CVE-2024-6695 (CVSS：9.8) が、セキュリティ研究者の John Castro により発見された。この脆弱性の悪用に成功した攻撃者は、ユーザー・アカウントを事前に必要とすることなく、脆弱な Web サイトの管理者権限を取得する可能性を手にする。

Python Setuptools ライブラリの脆弱性 CVE-2024-6345 が FIX：PoC も公開される

Security Flaw CVE-2024-6345 in Setuptools Exposes Python Projects to RCE

2024/07/15 SecurityOnline — Python プロジェクトのパッケージ化／配布／インストールにおいて、広範に使用されるライブラリ Setuptools に、深刻な脆弱性が発見された。この脆弱性 CVE-2024-6345 (CVSS：8.8) は、”package_index” モジュールに存在するものであり、システム上で RCE を引き起こす恐れがある。

Moxa 製品群と Linux Netfilter の脆弱性 CVE-2024-1086：ほぼ FIX の状態

CVE-2024-1086: Linux Kernel Vulnerability Impacts Numerous Moxa Products

2024/07/15 SecurityOnline — Linux Kernel で発見された深刻な脆弱性が、多数の Moxa 産業用ネットワーキング／コンピューティング製品に影響を及ぼすことが判明した。この脆弱性 CVE-2024-1086 (CVSS： 7.8) の悪用に成功した攻撃者は、システム破壊や権限昇格などを達成し、不正アクセスやシステムの乗っ取りにつながる可能性を手にする。

脆弱性 CosmicSting CVE-2024-34102：１時間に 3～5件のペースで侵害される Magento ストア

Critical Magento Flaw Exploited: CosmicSting (CVE-2024-34102) Strikes Global Brands

2024/07/15 SecurityOnline — Adobe Commerce と Magento を用いるストアへの、深刻な脅威である脆弱性 CVE-2024-34102 (別名：CosmicSting) は、現在も活発に悪用され続けている。セキュリティ企業 Sansec の新たな調査では、攻撃の急増が明らかになり、１時間あたり 3～5件のペースでオンラインストアが侵害されているとのことだ。その被害者には、国際的なブランドも含まれているようだ。

OpenSSH で２番目のバグを発見：Windows への “regreSSHion” の影響は無いと Microsoft が公表

Microsoft Says Windows Not Impacted by regreSSHion as Second OpenSSH Bug Is Found

2024/07/15 SecurityWeek — 先日に報告された、OpenSSH における 2つ目の RCE 脆弱性は、注目を集めている１つ目の脆弱性 “regreSSHion” CVE-2024-6387 の分析中に見つかったものだ。この問題は、Openwall の創設者である、Alexander Peslyak (別名：Solar Designer) により発見されている。なお、Qualys の研究者により発見された “regreSSHion” の脆弱性は、公開された時点において、数百万台の OpenSSH サーバに影響を与える可能性があると考えられていた。

CISA KEV 警告 24/07/15：GeoServer の脆弱性 CVE-2024-36401 を登録：PoC も提供

CVE-2024-36401 (CVSS 9.8): Critical GeoServer Flaw Under Active Attack, PoC Available

2024/07/15 SecurityOnline — 7月15日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、地理空間データ用のオープンソース・ソフトウェア・サーバとして人気の OSGeo GeoServer GeoTools に存在する、脆弱性 CVE-2024-36401 を KEV カタログに追加した。この脆弱性は、脅威アクターたちにより積極的に悪用されており、GeoServerを使用している組織にとって、早急なパッチ適用が最優先事項となっている。

SonicWall SMA100 の２つの脆弱性が FIX：すでに PoC が提供されている！

Critical Vulnerabilities Patched in SonicWall SMA100, PoC Published

2024/07/14 SecurityOnline — SSD Secure Disclosure による最近の脆弱性分析で、SonicWall SMA100 シリーズに２つのセキュリティ欠陥が報告された。SSD Labs Korea の SeongJoon Cho により発見された、これらの脆弱性は、認証前の蓄積型 XSS (Cross-Site Scripting) と、認証後のリモート・コマンド・インジェクションに分類されている。これらの脆弱性の悪用に成功した未認証の攻撃者は、任意のコマンドを実行する可能性を得るため、ユーザーに重大な影響が生じる。

PHP の脆弱性 CVE-2024-4577：Mitel 製品群にも影響が及び始めた

Mitel Issues Critical Security Advisory for PHP Argument Injection Vulnerability

2024/07/14 SecurityOnline — ビジネス・コミュニケーションを提供する Mitel が、２つのセキュリティ・アドバイザリ (OBSO-2407-01／24-0018) を公開した。それらは、PHP スクリプト・エンジンの深刻な脆弱性が、Mitel 製品群にも影響を及ぼすと警告するものである。この PHP の脆弱性は、CVE-2024-4577 (CVSS 9.8) として特定されており、Windows システム上で Apache／PHP-CGI を使用しているケースにおける、PHP 8.1.29 未満／8.2.20 未満／8.3.8 未満に影響を及ぼすものである。

PoC の武器化までの時間が短縮：22分後に攻撃に使用されたケースも – Cloudflare

Hackers use PoC exploits in attacks 22 minutes after release

2024/07/13 BleepingComputer — 脅威アクターたちは、利用可能な PoC (proof-of-concept) エクスプロイト・コードを、実際の攻撃で武器化するまでの時間を短縮している。中には、エクスプロイトが公開されてから、22分間で武器化するというケースも発見されている。この動向は、Cloudflare の Application Security report for 2024 で報告されたものだ。同レポートは、2023年5月〜2024年3月までの活動をカバーし、新たな脅威の傾向を浮き彫りにしている。現在、平均で 5,700万件/秒の HTTP リクエストを処理している Cloudflare は、公開された CVE に対するスキャンが、継続して活発化しているのを観測している。そして、コマンド・インジェクションや、利用可能な PoC を武器化しようとする試みが、それに続いているという。

Fabasoft PDF.js ライブラリの脆弱性 CVE-2024-4367 が FIX：PoC エクスプロイトが提供

Fabasoft Tackles PDF.js Vulnerability (CVE-2024-4367), Safeguarding eGovernment and Enterprise Search Solutions

2024/07/13 SecurityOnline — Fabasoft が発表したのは、人気の PDF.js ライブラリに存在する、深刻度の高い脆弱性 CVE-2024-4367 に対処するセキュリティ・アドバイザリである。Codean Labs により発見された、この脆弱性の悪用に成功した攻撃者は、悪意の PDF ファイルをユーザーが開いたときに、その Web ブラウザ内で任意の JavaScript コードを実行する可能性を得る。

Akira ランサムウェア攻撃：２時間強で LATAM Airline からのデータ窃取を完了

Akira Ransomware: Lightning-Fast Data Exfiltration in 2-ish Hours

2024/07/12 DarkReading — Akira ランサムウェアの攻撃者は、わずか２時間強で被害者のデータを盗み出せるようになった。つまり、サイバー犯罪者が最初のアクセスから情報流出までに要する平均時間に、大きな変化がもたらされている。この動向は、BlackBerry Threat Research and Intelligence Team の発表で明かされたものだ。同チームは 7月11日に、6月に発生した LATAM Airline への Akira ランサムウェア攻撃に関するブログを公開した。BlackBerry の攻撃分析によると、Akira は Secure Shell (SSH)プロトコルを使用して、パッチが適用されていない Veeam バックアップ・サーバーを介したイニシャル・アクセスを獲得し、翌日に Akira ランサムウェアを展開する前に、重要な情報の窃取に成功したという。

D-Link DIR-823x の脆弱性 CVE-2024-39202：パッチ未適用で PoC が登場

CVE-2024-39202: RCE Flaw Found in D-Link DIR-823X Firmware, Patch in Development

2024/07/11 SecurityOnline — D-Link DIR-823X AX3000 デュアルバンド・ギガビット無線ルーターに、脆弱性 CVE-2024-39202 が発見され、ユーザーに重大なリスクをもたらすことが判明した。この脆弱性は、2024年7月7日に、サードパーティのセキュリティ研究者 Adesh Kolte から D-Link に報告されたものだ。

PHP の脆弱性 CVE-2024-4577：脅威アクターたちが悪用してマルウェアを配布 – Akamai

Multiple Threat Actors Exploit PHP Flaw Cve-2024-4577 To Deliver Malware

2024/07/11 SecurityAffairs — PHP の脆弱性 CVE-2024-4577 を悪用する脅威アクターたちが、Gh0st RAT／RedTail cryptominers／XMRig などの多様なマルウェア・ファミリーを配信していると、Akamai の Security Intelligence Response Team (SIRT) が警告している。Akamai は、「新たな CVE-2024-4577 を迅速に悪用した脅威アクターたちは、脆弱性情報の公開から悪用までの時間が、短縮されているという傾向を維持している。Akamai のハニーポット・ネットワークでは、この PHP の欠陥を標的とする悪用の試みが、公開から 24時間以内に確認されている」と述べている。

Microsoft SharePoint Server に３つの脆弱性： RCE の PoCも公開

RCE Vulnerabilities in Microsoft SharePoint Server: PoC Exploit Code Published

2024/07/10 SecurityOnline — Microsoft SharePoint Server に存在する、３つの脆弱性 (CVE-2024-38023／CVE-2024-38024／CVE-2024-38094) に対する PoC エクスプロイトが、セキュリティ研究者である Janggggg により公開された。現時点で、詳細な技術情報は開示されていないが、これらの脆弱性に関連する潜在的なリスクは、提供された PoC エクスプロイト・コードにより十分に証明される。これらの脆弱性は、すべて RCE の脆弱性に分類され、特権昇格された攻撃者は、影響を受けるシステムを乗っ取る可能性を手にする。

EstateRansomware という新たなランサムウェア：Veeam Backup & Replication の脆弱性を悪用

New Ransomware Group Exploiting Veeam Backup Software Vulnerability

2024/07/10 TheHackerNews — Veeam Backup & Replication ソフトウェアの、すでにパッチが適用されているセキュリティ欠陥が、EstateRansomware という新たなランサムウェアに悪用されている。この脅威を 2024年4月初旬に発見したのは、シンガポールに本社を置く Group-IB であり、その悪質な活動は CVE-2023-27532 (CVSS：7.5) を悪用して行われたと述べている。ターゲットの環境へのイニシャル・アクセスは、Fortinet FortiGate firewall SSL VPN アプライアンスの、休眠アカウントを使用して確立されていた。

Windows の脆弱性 CVE-2024-38112：悪意の “.url” を IE に開かせる可能性 – Check Point

Check Point Research Details 0-Day Flaw (CVE-2024-38112), Threatens Windows Users

2024/07/09 SecurityOnline — 無害に見える Windows Internet Shortcut ファイル (.url) を武器にして、無防備なユーザーを狙う新たなゼロデイ攻撃を、Check Point Research のサイバーセキュリティ研究者たちが発見した。この、脆弱性 CVE-2024-38112 を悪用する巧妙な攻撃は、長らく使われていなかった Internet Explorer (IE) ブラウザを復活させことで、最新の Windows 10／11 の OS 上であっても、悪意のコードを実行させる可能性を持つものだ。

WordPress Modern Events Calendar の脆弱性 CVE-2024-5441 が FIX：15万サイトが標的に！

Hackers target WordPress calendar plugin used by 150,000 sites

2024/07/09 BleepingComputer — WordPress Modern Events Calendar は、15万以上の Web サイトで利用される人気のプラグインである。このプラグインの脆弱性を悪用するハッカーによりたちが、標的とするサイトに任意ファイルをアップロードし、リモート・コード実行を試みている。Webnus が開発した Modern Events Calendar は、リアル／バーチャル／ハイブリッドのイベントを組織し、管理するために使用されるプラグインである。

BlastRADIUS の脆弱性 CVE-2024-3596 が FIX：PoC と防御策を解説する

BlastRADIUS Vulnerability (CVE-2024-3596): Flaw in RADIUS Protocol Exposes Networks to Attack

2024/07/09 SecurityOnline — RADIUS プロトコルで新たに発見された、”BlastRADIUS” と呼ばれる脆弱性 CVE-2024-3596 が、ネットワーク・セキュリティに深刻なリスクをもたらしている。カリフォルニア大学サンディエゴ校の研究者たちは、この脆弱性に対する実用的なエクスプロイトを発表し、RADIUS プロトコルに対する攻撃が初めて証明された。すでに FreeRADIUS は、ガイダンスとアップデートを公開し、この深刻な脅威を軽減している。

Windows Hyper-V の権限昇格の脆弱性 CVE-2024-38080：悪用が検出されている

Microsoft Warns of Windows Hyper-V Zero-Day Being Exploited

2024/07/09 SecurityWeek — 今日は Microsoft の July 2024 Patch Tuesday であり、４件のゼロデイ脆弱性を含む、142件の脆弱性に対するセキュリティ更新プログラムがリリースされた。その中でも、Windows Hyper-V の権限昇格の脆弱性 CVE-2024-38080 (CVSS：7.8) が、攻撃者に悪用されているという。同社は、「この脆弱性の悪用に成功した攻撃者は、SYSTEM 権限を獲得する可能性がある」と警告している。

Microsoft 2024-07 月例アップデート：４件のゼロデイと 142件の脆弱性に対応

Microsoft July 2024 Patch Tuesday fixes 142 flaws, 4 zero-days

2024/07/09 BleepingComputer — 今日は Microsoft の July 2024 Patch Tuesday であり、積極的に悪用されている２件の欠陥と、公表されている２件のゼロデイを含む、全体で 142件の脆弱性対するセキュリティ・アップデートが提供された。今回の Patch Tuesday では、５件の深刻な脆弱性が修正されたが、そのすべてがリモート・コード実行の不具合である。

VMware vCenter Server の RCE 脆弱性 CVE-2024-22274：PoC エクスプロイトが提供される

VMware vCenter Server RCE (CVE-2024-22274): PoC Exposes Systems to Remote Takeover

2024/07/08 SecurityOnline — VMware vCenter Server の深刻な脆弱性 CVE-2024-22274 には、すでにパッチが適用されているが、その悪用を証明する PoC エクスプロイトがリリースされた。この脆弱性の CVSS スコアが 7.2 であり、管理者権限を持つ攻撃者による悪用が成功すると、基盤となるオペレーティング・システム上で任意のコマンド実行が可能となり、仮想インフラ全体が危険にさらされる恐れがある。

CISA KEV 警告 24/07/02：Cisco NX-OS の脆弱性を悪用する中国由来の Velvet Ant

CISA Adds Cisco Nx-Os Command Injection Bug To Its Known Exploited Vulnerabilities Catalog

2024/07/08 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco NX-OS コマンド・インジェクション脆弱性 CVE-2024-20399 を、KEV カタログに追加した。今週に Cisco は、NX-OS のゼロデイ脆弱性 CVE-2024-20399 (CVSS：6.0) 対処している。この脆弱性を悪用する中国由来の Velvet Ant が、root として未知のマルウェアを展開するために、脆弱なスイッチを悪用している。

Ghostscript の脆弱性 CVE-2024-29510 の悪用が観測された：直ちにアップデートを！

Critical Ghostscript Flaw Exploited In The Wild. Patch It Now!

2024/07/08 SecurityAffairs — Ghostscript の脆弱性 CVE-2024-29510 が、積極的に悪用されていることが判明した。この脆弱性の悪用に成功した攻撃者は、-dSAFER サンドボックスをエスケープし、リモート・コード実行の可能性を手にする。Ghostscript とは、GNU プロジェクトとして提供される、PostScript 言語および PDF ファイルのインタープリタであり、これらの形式のドキュメントの処理／レンダリングに使用されている。

OpenSSH の脆弱性 regreSSHion CVE-2024-6387：Cisco 製品群への影響が判明

Cisco Confirms Critical OpenSSH regreSSHion (CVE-2024-6387) Flaw in Multiple Products

2024/07/07 SecurityOnline — 先日に Cisco が公開したのは、”regreSSHion” と命名された深刻度の高い脆弱性 CVE-2024-6387 (CVSS：8.1) が、Cisco 製品群およびクラウド・サービスの OpenSSH サーバー・コンポーネントに、影響を及ぼすと警告するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、無許可のリモートの攻撃者は、影響を受けるシステム上で任意のコード実行が可能となり、システムの完全な侵害を達成する手がかりを得る。

Microsoft SmartScreen の脆弱性 CVE-2024-21412：情報窃取マルウェアの展開に悪用されている

Cybercriminals Escalate Attacks Exploiting Microsoft SmartScreen Flaw (CVE-2024-21412)

2024/07/07 SecurityOnline — Microsoft Defender SmartScreen の脆弱性 CVE-2024-21412 を悪用するサイバー攻撃が急増していることが、Cyble Research and Intelligence Labs (CRIL) が公開したレポートにより明らかになった。この脆弱性に対しては、すでにパッチが適用されているが、以前にも DarkGate や Water Hydra などの脅威グループのキャンペーンで悪用されていた。しかし、現在では、Lumma や MeduzaStealer といった情報窃取マルウェアを展開する、サイバー犯罪者たちにより広く悪用されている。

Logsign Unified SecOps Platform の脆弱性 CVE-2024-5716／5717 が FIX：直ちにアップデートを！

Logsign Unified SecOps Platform Urgent Update Addresses Critical RCE Vulnerabilities

2024/07/04 SecurityOnline — セキュリティ運用のための包括的なソフトウェア・ソリューションである、Logsign の Unified SecOps Platform に、２つの脆弱性 CVE-2024-5716／CVE-2024-5717 が発見された。これらの脆弱性を組み合わせると、HTTP リクエストを介して Web サーバ上で認証なしで、リモート・コードの実行が可能になる。それにより、リモートの攻撃者がシステムに不正にアクセス／コントロールする可能性が生じる。

SnailLoad という TCP の脆弱性 CVE-2024-39920：PoC エクスプロイトが提供

SnailLoad (CVE-2024-39920): New Side-Channel Attack Exposes Your Web Activity

2024/07/03 SecurityOnline — グラーツ工科大学のセキュリティ研究者は、新しい脆弱性 CVE-2024-39920 を発表し、SnailLoad と命名した。このサイド・チャネル攻撃は TCP (Transmission Control Protocol) の脆弱性を悪用するものであり、ユーザーによる Web サイトへの訪問や、ストリーミング・ビデオの参照などのアクティビティが、リモートの攻撃者により監視される可能性が生じる。

Twilio Authy の API に脆弱性：3,300万件の電話番号を含むユーザー情報が流出

Hackers abused API to verify millions of Authy MFA phone numbers

2024/07/03 BleepingComputer — Twilio が認めたのは、数百万人の Authy 多要素認証ユーザーの電話番号を確認できる脅威アクターたちが、SMS フィッシングや SIM スワッピングなどの攻撃を仕掛けてくる可能性があることだ。Authy は、MFA をサポートしている Web サイトにおいて、多要素認証コードを生成するモバイル・アプリだが、その API エンドポイントの安全性が欠如していた。2024年6月下旬に、ShinyHunters という脅威アクターが流出させた CSV ファイルには、Authy サービスに登録された 3,300万件の電話番号を含まれていた。