IDS/IPS – IoT OT Security News

SonicWall SMA を攻撃するカスタム・マルウェア：背後にいるのは中国由来の UNC4540 ？

SonicWall SMA appliance infected by a custom malware allegedly developed by Chinese hackers

2023/03/09 SecurityAffairs — UNC4540 として追跡され中国由来とされている脅威アクターが、SonicWall SMA アプライアンスにカスタム・マルウェアを展開したことを、Mandiant の研究者たちが報告した。このマルウェアは、攻撃者によるユーザー認証情報の窃取を可能にし、ファームウェアのアップグレードによる永続性を実現し、シェルアクセスを提供するとされる。

Google One の新機能：VPN アクセス／Dark Web レポートでセキュリティを強化

Google One expands security features to all plans with dark web report, VPN access

2023/03/08 HelpNetSecurity — Google One に、２つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。

ArubaOS の深刻な脆弱性 CVE-2023-22747 などが FIX：RCE にいたる恐れ

Aruba Networks fixes six critical vulnerabilities in ArubaOS

2023/03/01 BleepingComputer — Aruba Networks が発表したのは、同社独自のネットワーク OS である ArubaOS の複数バージョンに影響する、６つの深刻 (Critical-Severity) の脆弱性について、顧客に通知するセキュリティ・アドバイザリである。この脆弱性は、Aruba Mobility Conductor／Aruba Mobility Controllers／Aruba-managed WLAN Gateway／SD-WAN Gateway に影響するものだ。Aruba Networksは、カリフォルニアに拠点を置く Hewlett Packard Enterprise の子会社であり、コンピュータ・ネットワークと無線接続ソリューションに特化した企業である。

Fortinet の脆弱性 CVE-2022-39952：Shodan 検索結果をベースにした推測は適切なのか？

Fortinet Shares Clarifications on Exploitation of FortiNAC Vulnerability

2023/02/24 SecurityWeek — Fortinet は、FortiNAC network access control (NAC) の脆弱性を狙った最近の悪用行為について、同社がセンセーショナルな報道と表現したことに関して、いくつかの重要な説明を行った。この脆弱性 CVE-2022-39952 は、悪用に成功したリモートの未認証の攻撃者により、任意のコードが実行される可能性を持つものだ。この問題は、Fortinet の内部で発見されている。

Fortinet FortiNAC／FortiWeb の深刻な脆弱性が FIX：緩和策や回避策は存在しない

Fortinet fixes critical RCE flaws in FortiNAC and FortiWeb

2023/02/17 BleepingComputer — Fortinet の FortiNAC／FortiWeb に対するセキュリティ・アップデートが公開された。そこで対処された２つの深刻な脆弱性は、認証されていない攻撃者による任意のコード／コマンド実行にいたる可能性のあるものだ。１つ目は、FortiNAC に影響を及ぼす脆弱性 CVE-2022-39952 であり、CVSS 値は 9.8 (Critical) である。FortiNAC は、ネットワーク・アクセス制御ソリューションであり、リアルタイムでのネットワークの可視化／セキュリティ・ポリシーの適用／脅威の検知と緩和を支援するものだ。

SonicWall の Web Content FIXilteringが無効化？ Windows 11 22H2 に限定した問題

SonicWall warns web content filtering is broken on Windows 11 22H2

2023/02/08 BleepingComputer — 今日、セキュリティ・ハードウェア・メーカーである SonicWall が発した警告は、Windows 11 バージョン 22H2 システムにおける WCF (Web Content FIXiltering) 機能に制限が生じるというものだ。SonicWall の Cloud Management Console サービスと、Capture Client の組み合わせは、Endpoint Detection & Response (EDR) 機能を備えた Windows／macOS 用のセキュリティ・ソリューションである。

Fortinet FortiADC／FortiTester 深刻な脆弱性が FIX：HTTP リクエストを介した RCE

Fortinet fixed multiple command injection bugs in FortiADC and FortiTester

2023/01/04 SecurityAffairs — サイバー・セキュリティ・ベンダーである Fortinet は、同社製品に影響を及ぼす複数の脆弱性に対応した。また、Application Delivery Controller である FortiADC に影響を及ぼす、深刻なコマンド・インジェクションの脆弱性 CVE-2022-39947 (CVSS 8.6) について、顧客に警告を発している。この脆弱性 CVE-2022-39947 は、FortiADC の OS Command における特殊要素の不適切な無効化に起因し、特別に細工された HTTP リクエストを介した、任意のコード実行を許す可能性がある。

Fortinet FortiOS に緊急パッチ：認証バイパスの脆弱性 CVE-2022-42475 の悪用に対応

Fortinet Warns of Active Exploitation of New SSL-VPN Pre-auth RCE Vulnerability

2022/12/13 TheHackerNews — 月曜日に Fortinet は、同社の SSL-VPN 製品 FortiOS に影響を及ぼす深刻なセキュリティ脆弱性に対して緊急パッチをリリースし、この脆弱性が実際に悪用されていることを明らかにした。この深刻な脆弱性 CVE-2022-42475 (CVSS：9.3) は、ヒープベース・バッファ・オーバーフローの脆弱性であり、認証されていない攻撃者による、特別に細工したリクエストを介した任意のコード実行を引き起こす可能性がある。

Fortinet の深刻な脆弱性 CVE-2022-40684：アクセスを販売する IAB が登場？

Threat actors are offering access to corporate networks via unauthorized Fortinet VPN access

2022/11/29 SecurityAffairs — Cyble の研究者たちが認識しているのは、最近のパッチが適用された Fortinet 製品に存在する、深刻な脆弱性 CVE-2022-40684 を悪用する Initial Access Broker (IAB) が、企業ネットワークへのアクセスを販売している可能性が高いという状況である。10月の初旬に Fortinet は、FortiGate Firewall／FortiProxy Web Proxy に影響を及ぼす、認証バイパスの脆弱性 CVE-2022-40684 に対処している。この脆弱性の悪用に成功した攻撃者は、脆弱なデバイスにログインすることが可能であると、Fortinet は説明している。

Fortinet の深刻な脆弱性 CVE-2022-38374 などが FIX：XSS 攻撃の可能性

Fortinet fixed 16 vulnerabilities, 6 rated as high severity

2022/11/03 SecurityAffairs — Fortinet が FIX した脆弱性の中で、深刻度の高いものとしては、FortiADC の Log ページに存在する persistent XSS の脆弱性 CVE-2022-38374 がある。この問題の原因は、FortiADC の Web ページ生成時における、入力の不適切な無効化の脆弱性 [CWE-79] となる。この脆弱性の悪用に成功したリモートの未認証の攻撃者は、トラフィックやイベントのログビューで観測される HTTP フィールドを介して、persistent XSS 攻撃が可能となる。

SonicWall ランサムウェア統計 2022 Q3：米国は 51％減で APAC は 56％増

Ransomware Threat Shifts from US to EMEA and APAC

2022/10/26 InfoSecurity — SonicWall の 2022 Threat Mindset Survey によると、2022年 Q3 におけるランサムウェアの検出量は、過去２年間で最低となり、米国の組織への攻撃が衰退した。しかし、その他の地域での標的が、拡大していることも判明している。セキュリティ・ベンダーである SonicWall は、200カ国以上に展開された、100万個以上のセキュリティ・センサーなどを用いた独自の脅威検知ネットワークにより、こうした現状を明らかにしている。

Palo Alto PAN-OS の脆弱性 CVE-2022-0030 が FIX：認証バイパスの恐れ

Palo Alto Networks fixed a high-severity auth bypass flaw in PAN-OS

2022/10/15 SecurityAffairs — Palo Alto Networks は、PAN-OS 8.1 に影響する深刻な認証バイパスの脆弱性 CVE-2022-0030 (CVSS：8.1) に対処するセキュリティ・パッチをリリースした。Palo Alto Networks はアドバイザリで、「Palo Alto Networks PAN-OS 8.1 の Web インターフェイスに、認証バイパスの脆弱性が存在する。この脆弱性により、同社の Firewall／Panorama アプライアンスに対して、特定の知識を持つネットワーク・ベースの攻撃者が、既存の PAN-OS 管理者になりすました操作が可能になる」と述べている。

Fortinet の脆弱性 CVE-2022-40684 に PoC エクスプロイト：直ちにパッチ適用を！

Exploit available for critical Fortinet auth bypass bug, patch now

2022/10/13 BleepingComputer — FortiOS／FortiProxy／FortiSwitchManager アプライアンスに影響を及ぼす深刻な認証バイパスの脆弱性に対して、PoC エクスプロイトコードが利用可能になった。この脆弱性 CVE-2022-40684 の悪用に成功した攻撃者は、FortiGate firewall／FortiProxy Web proxy／FortiSwitch Manager (FSWM) on-premise management instance などの、管理インターフェイスにおける認証プロセスのバイパスが可能になる。

Fortinet の認証バイパスの脆弱性 CVE-2022-40684：野放し状態での悪用を確認

Fortinet says critical auth bypass bug is exploited in attacks

2022/10/10 BleepingComputer — 今日、Fortinet は、先週にパッチを適用した深刻な認証バイパスの欠陥が、野放し状態で悪用されていることを認めた。このセキュリティ上の脆弱性 CVE-2022-40684 は、管理インターフェイスの認証バイパスに起因するものであり、攻撃に成功したリモートの攻撃者に対して、FortiGate Firewalls／FortiProxy Web Proxies に加えて、FortiSwitch Manager (FSWM) のオンプレミス管理インスタンスへのログインを許してしまうものである。

Palo Alto Networks 警告：PAN-OS に DDoS 攻撃参加を許す脆弱性 CVE-2022-0028

Palo Alto Networks: New PAN-OS DDoS flaw exploited in attacks

2022/08/12 BleepingComputer — Palo Alto Networks は、同社のネットワーク・ハードウェア製品で使用されている PAN-OS に存在する、深刻度の高い脆弱性を警告するセキュリティ・アドバイザリを発表した。この脆弱性 CVE-2022-0028 (CVSS v3 : 8.6) は、URL フィルタリング・ポリシーの設定ミスにより、未認証のリモート攻撃者による増幅された TCP サービス拒否 (DoS) 攻撃を許すものとなる。

SonicWall 警告：SQL インジェクションの深刻な脆弱性へのパッチ適用を推奨

SonicWall: Patch critical SQL injection bug immediately

2022/07/22 BleepingComputer — 今日、SonicWall は、GMS (Global Management System)／Analytics On-Prem 製品における、SQL インジェクションの脆弱性に対してセキュリティ・アドバイザリを公開した。SonicWall PSIRT は、このアドバイザリで、Analytics On-Prem の以下のバージョンを使用しているユーザーに対して、パッチ適用済みバージョンへの迅速なアップグレードすることを強く推奨している。

Cisco／Fortinet 製品群の深刻な脆弱性 CVE-2022-20812／CVE-2022-26117 などが FIX

Cisco and Fortinet Release Security Patches for Multiple Products

2022/07/06 TheHackerNews — 水曜日に Cisco は、複数の製品に存在する 10件のセキュリティ欠陥に対するパッチを配布した。そのうちの１件は、深刻度 Critical と評価され、絶対パストラバーサル攻撃を行うために武器となる可能性がある。Cisco Expressway および Cisco TelePresence Video Communication Server (VCS) に影響を及ぼす、脆弱性 CVE-2022-20812 および CVE-2022-20813 について、Cisco は「リモート攻撃者が任意のファイルを上書きし、影響を受けるデバイスで NULL バイト・ポイズニング攻撃を行える」と述べている。

SonicWall ファイアウォールにおける深刻な DoS 脆弱性 CVE-2022-22274 が FIX

Critical SonicWall firewall patch not released for all devices

2022/03/28 BleepingComputer — セキュリティ・ハードウェア・メーカーである SonicWall は、オペレーティングシステム SonicOS に存在する、サービス拒否 (DoS) 攻撃やリモートコード実行 (RCE) を生じる可能性のある、深刻な脆弱性を修正したことを発表した。このセキュリティ上の欠陥は、スタックベースのバッファ・オーバーフローの脆弱性であり、CVSS 値は 9.4 で、複数の SonicWall ファイアウォールに影響を及ぼす。

CISA の脆弱性カタログに８件が追加：Apple／SonicWall などに注意

CISA adds 8 vulnerabilities to list of actively exploited bugs

2022/01/31 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、現在進行形の攻撃での利用が確認されている脆弱性のカタログに、新旧取り混ぜた８件の脆弱性を追加した。これらの脆弱性を公表する目的は、サーバー攻撃に対する意識を高め、連邦政府組織が指定された厳しい期限までにアップデートを適用する義務があることを思い出させる点にある。

SonicWall の RCE 脆弱性 CVE-2021-20038：標的型攻撃が進行中

Attackers now actively targeting critical SonicWall RCE bug

2022/01/24 BleepingComputer — SonicWall の Secure Mobile Access (SMA) ゲートウェイに影響をおよぼす深刻な脆弱性だが、先月に対処されていながら、現在でも悪用されようとしている。この脆弱性 CVE-2021-20038 は、スタックバッファ・オーバーフローを引き起こす可能性があり、WAF が有効な場合であっても、SMA 100 シリーズのアプライアンス (SMA 200／210／400／410／500v を含む) に影響をおよぼす。

SonicWall の Y2K22 問題：メールセキュリティとファイアウォールに障害が発生

SonicWall: Y2K22 bug hits Email Security, firewall products

2022/01/07 BleepingComputer — 今日、SonicWall は、同社のメール・セキュリティ製品およびファイアウォール製品の一部が Y2K22 バグに見舞われ、2022年1月1日以降のメッセージログ更新やジャンクボックス操作に障害が発生していたことを確認した。同社によると、影響を受けたシステムでは、メールユーザーおよび管理者により、ジャンク・ボックスへのアクセスや、新たに受信したメールのジャンク解除などが不能になるという。また、メッセージログ更新が不能であることから、メッセージログを介した送受信メールを追跡も不可能になるという。

US／UK が警告：イランのハッカーが Microsoft Exchange／Fortinet FortiOS を悪用

US, UK warn of Iranian hackers exploiting Microsoft Exchange, Fortinet

2021/11/17 BleepingComputer — 今日、米国／英国。／オーストラリアのサイバーセキュリティ機関は、イランの支援を受けたハッキング・グループに関連する、Microsoft Exchange ProxyShell と Fortinet の脆弱性が継続的に悪用されていると警告した。この警告は、CISA／FBI／ACSC (Australian Cyber Security Centre)／NCSC (United Kingdom’s National Cyber Security Centre) の４機関により共同で発表されている。

Palo Alto Networks が拡張するクラウドのためのセキュリティ・ポートフォリオとは？

Palo Alto Networks Extends Cloud Security Portfolio

2021/11/16 SecurityBoulevard — Palo Alto Networks は、オンライン会議 Ignite ’21 において、セキュリティ・プラットフォーム Prisma Cloud 3.0 を発表し、クラウド・インフラを保護するツールと、アプリケーションを保護するエージェントレス・オプションを追加すると述べた。同時に、Cloud Access Security Broker (CASB) を刷新し、機械学習アルゴリズム／NLP (自然言語処理) を活用することで、何千もの SaaS アプリケーションのデータを即時的／自動的に保護するという。

SonicWall SMA 100 の脆弱性：デバイスの乗っ取りを脅威アクターが狙っている

SonicWall fixes critical bug allowing SMA 100 device takeover

2021/09/24 BleepingComputer — SonicWall は、Secure Mobile Access (SMA) 100シリーズ製品群に存在する、認証されていない攻撃者による、管理者権限のリモートで取得という、深刻なセキュリティ上の欠陥に対処した。CVE-2021-20034 は、不適切なアクセス制御の脆弱性であり、攻撃を受けやすい SMA 100 シリーズのアプライアンスには、SMA 200／210／400／410／500v が含まれる。

Fortinet VPN アカウント 50万件が流出：脆弱性 CVE-2018-13379 に要注意

Hackers leak passwords for 500000 Fortinet VPN accounts

2021/09/08 BleepingComputer — 昨年の夏に悪用されたデバイスからスクレイピングされた、約50万件の Fortinet VPN のログイン名／パスワードのリストが、ある脅威行アクターにより流出させられた。そのときに悪用された Fortinet の脆弱性はパッチがリリースされているが、多くの VPN 認証情報は依然として有効だと、この脅威アクターは主張している。

Palo Alto Networks のクラウド誤設定検出ツール：背景にある問題とは？

Palo Alto Networks Adds Cloud Misconfiguration Tool

2021/08/31 SecurityBoulevard — 今日、Palo Alto Networks は、Bridgecrew by Prisma Cloud の機能を拡張し、複数のクラウド間でのコンフィグレーション・ドリフトを検出するためのツールを発表した。Bridgecrew Drift Detection は、オープンソースの Yor Project をベースにし、IaC テンプレートに属性と所有権の詳細を自動的にタグ付けするとともに、クラウド・リソースに伝達される固有の ID を付与する。

CISA 警告：Pulse Secure に潜むスティルス・マルウェアに注意せよ

CISA warns of stealthy malware found on hacked Pulse Secure devices

2021/07/21 BleepingComputer — 今日のことだが、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、感染した Pulse Secure デバイスで見つかった十数個のマルウェア・サンプルを公表したが、それらはアンチ・ウイルス製品では、ほとんど検出されないものだと警告している。遅くとも 2020年6月以降には、米国の政府機関および、重要インフラ事業体、各種の民間組織の Pulse Secure デバイスが、脅威アクターによる攻撃の対象となっている。

Fortinet が root RCE の脆弱性 CVE-2021-32589 を FIX

Fortinet fixes bug letting unauthenticated hackers run code as root

2021/07/20 BleepingComputer — Fortinet は、ネットワーク管理ソリューションである FortiManager と FortiAnalyzer をアップデートし、最高権限での任意のリモートコード実行 (RCE : Remote Code Execution) という深刻な脆弱性を修正した。FortiManager と FortiAnalyzer は、最大で 10万台のデバイスに対応する、エンタープライズ・グレードのネットワーク管理ソリューションである。

SonicWall NSM の深刻な脆弱性 CVE-2021-20026 が FIX された

SonicWall addresses critical CVE-2021-20026 flaw in NSM devices

2021/07/06 SecurityAffairs — Positive Technologies の研究者である Nikita Abramov が、SonicWall の Network Security Manager (NSM) に影響を与えるコマンド・インジェクションの脆弱性 CVE-2021-20026 の詳細を発表した。5月末に SonicWall は、オンプレミス版の Network Security Manager (NSM) に影響をおよぼす脆弱性 CVE-2021-20026 について、直ちに対処するよう顧客に呼びかけていた。

Palo Alto Networks Cortex XSOAR の深刻な脆弱性 CVE-2021-3044 が FIX された

Palo Alto Networks fixes critical flaw (CVE-2021-3044) in Cortex XSOAR

2021/06/23 SecurityAffairs — Palo Alto Networks の研究者たちが、同社の Cortex XSOAR SOAR platform に影響をおよぼす欠陥を発見した。この不適切な認証の脆弱性 CVE-2021-3044 の CVSS スコアは 9.8 となっている。同社のセキュリティ・アドバイザリーには、「Palo Alto Networks Cortex XSOAR には不適切な認証の脆弱性があり、Cortex XSOAR サーバにネットワーク・アクセスした、リモートの非認証の攻撃者が、REST API を介して不正な操作を行うことができる。

Tag: IDS/IPS