iOS – IoT OT Security News

Cisco IMC の脆弱性 CVE-2024-20295 などが FIX：PoC エクスプロイトも公開

Cisco Says PoC Exploit Available for Newly Patched IMC Vulnerability

2024/04/18 SecurityWeek — 4月17日に Cisco は、Integrated Management Controller (IMC) の脆弱性 CVE-2024-20295 (CVSS：8.8) に対するパッチと、PoC (Proof-of-concept) エクスプロイト・コードを公開した。この脆弱性は、 IMC の Command Line Interface (CLI) に影響を与えるものであり、Read Only 以上の権限を持つローカル攻撃者が、基盤となる OS 上で任意のコマンドを注入し、ルート権限を取得する事態につながるという。

Cisco の SNMP に脆弱性 CVE-2024-20295 に PoC：ただちにパッチ適用を！

Cisco Patches Vulnerabilities in Integrated Management Controller, SNMP Implementation

2024/04/17 SecurityOnline — 4月17日に Cisco が発表したのは、Integrated Management Controller (IMC) と、Cisco IOS／IOS XE ソフトウェア内の SNMP 実装に存在する、深刻な脆弱性に対処するための３つの緊急セキュリティ・アドバイザリである。これらのセキュリティ上の欠陥を悪用する攻撃者による、リモートコードの実行や、高機密性システムへの不正アクセスが生じる可能性があるという。

Cisco IOS の脆弱性 CVE-2024-20276 が FIX：DOS 攻撃が生じる恐れ

Cisco IOS Vulnerability Allows DOS Attacks Via Malicious Traffic

2024/04/08 GBHackers — Cisco が公表したのは、Catalyst 6000 Series Switch 用の Cisco IOS ソフトウェアにおける、サービス拒否 (DoS：Denial-of-Service) の脆弱性 CVE-2024-20276 (CVSS：7.4) に対する修正である。

Cisco IOS／IOS XE ソフトウェアに存在する複数の脆弱性が FIX：ただちにパッチを！

Cisco Addressed High-Severity Flaws In IOS and IOS XE Software

2024/02/28 SecurityAffairs — 今週に Cisco がリリースしたのは、複数の IOS／IOS XE ソフトウェアの脆弱性に対処するためのパッチである。それらの脆弱性を悪用する、未認証の攻撃者により、サービス拒否 (DoS) 状態が引き起こされる可能性がある。

Apple の RCE 脆弱性 CVE-2024-1580 が FIX：iOS／macOS での悪用を証明する PoC もリリース

Apple Patches Code Execution Vulnerability in iOS, macOS

2024/03/26 SecurityWeek — Apple がリリースしたのは、任意のコード実行の脆弱性を解決するための、iOS／macOS デバイス向けのセキュリティ・アップデートである。この脆弱性 CVE-2024-1580 は、境界外書き込みにつながる整数オーバーフローと説明されており、iOS／macOS の CoreMedia および WebRTC コンポーネントに影響を与えるものであり、画像処理中にトリガーされる可能性があるという。

MobSF の脆弱性 CVE-2024-29190 が FIX：人気のモバイル開発環境と PoC

CVE-2024-29190: SSRF Vulnerability Found in Popular Mobile App Testing Tool, MobSF

2024/03/24 SecurityOnline — Mobile Security Framework (MobSF) に存在する深刻な脆弱性が、. セキュリティ研究者たちにより発見された。この MobSF は、Android／iOS／Windows Mobile アプリケのセキュリティを、分析／テストするためのオープンソースツールであり、広く利用されている。

iPhone／iPad の脆弱性 CVE-2024-23225／23296 が FIX：危険なゼロデイ CISA KEV 登録

CVE-2024-23225 & CVE-2024-23296: Apple Patches Actively Exploited 0-Day Flaws

2024/03/05 SecurityOnline — iPhone／iPad ユーザーに対して、深刻なセキュリティ警告が発出された。Apple は、２つのゼロデイ脆弱性 CVE-2024-23225／CVE-2024-23296 を修正する緊急パッチを配布したが、すでに攻撃が始まっているという。この脆弱性を積極的に悪用するハッカーが、Apple デバイスを制御しているという。

Apple Shortcuts の脆弱性 CVE-2024-23204 が FIX：ただちにパッチ適用を！

Apple Shortcuts Vulnerability (CVE-2024-23204): Technical Analysis and Mitigation

2024/02/22 SecurityOnline — 先日にパッチが適用された、Apple の自動化フレームワークである Shortcuts の脆弱性 CVE-2024-23204 は、macOS／iOS デバイスに重大なリスクをもたらすものだ。影響を受けるシステムは、Apple の TCC (Transparency, Consent, and Control) フレームワークをバイパスする可能性があるため、データ流出が発生する可能性が高くなる。

GoldPickaxe は iOS トロイの木馬：APAC のバンキングを狙っている

iOS Trojan Collects Face and Other Data for Bank Account Hacking

2024/02/19 SecurityWeek — 被害者の銀行口座から現金を盗む際に必要とされる、情報を取得するために設計された新しい iOS トロイの木馬を、中国のサイバー犯罪グループが配布していることを、サイバーセキュリティ企業 Group-IB の研究者たちが発見した。この GoldFactoryとして追跡されているマルウェアは、2023年に発見されたものであり、APAC 地域を標的としていると推測され、現在までにタイやベトナムで攻撃が行われているようだ。

iOS の脆弱性 CVE-2024-23208 に PoC がリリース：検証目的であり攻撃は発生しない

CVE-2024-23208 Exposed: A PoC Tool Unveils iOS Kernel Flaw

2024/02/04 SecurityOnline — Apple iOS 17.3 で修正された、カーネルの脆弱性 CVE-2024-23208 に対する PoC ツールを、ある研究者が公開した。この脆弱性 CVE-2024-23208 (CVSS：7.8) は、アプリケーションによりカーネル特権での任意のコード実行にいたるというものであり、デバイスのセキュリティに深刻な結果をもたらす可能性を持つものだ。

Apple macOS／iOS／tvOS のゼロデイ脆弱性 CVE-2024-23222 が FIX：悪用を観測

Apple fixes first zero-day bug exploited in attacks this year

2024/01/22 BleepingComputer — Apple は、セキュリティ・アップデートをリリースし、iPhone／Mac／Apple TV に影響を与える可能性があり、また、すでに攻撃で悪用されている、2024年初のゼロデイ脆弱性に対処した。1月22日に修正されたゼロデイ脆弱性 CVE-2024-23222 (iOS／macOS／tvOS) は、WebKit のタイプ・コンフュージョンの欠陥に起因し、標的デバイス上でのコード実行を攻撃者にゆるす可能性があるものだ。

Apple AirDrop のデバイス・ログの解読方法を中国が発見：ユーザーの電話番号などが特定可能に

China claims it cracked Apple’s AirDrop to find numbers, email addresses

2024/01/09 BleepingComputer — 中国の国営研究機関が発見したのは、Apple AirDrop 機能におけるデバイス・ログの解読方法だ。同機関は、この手法により、コンテンツを共有したユーザーの電話番号やメールアドレスを、政府が特定できるようになったと主張している。中国は以前から、国民に対する規制を行ってきた。同国が実施してきた規制策としては、モバイル・アプリへのアクセス・ブロックの Apple への要求がある。また、Signal などの暗号化されたメッセージング・アプリのブロックや、Great Firewall of China による中国国内での Web サイト閲覧規制なども挙げられる。

iOS／macOS の脆弱性 CVE-2023-41974：PoC エクスプロイトが登場

$70K Bounty for Revealing CVE-2023-41974 Flaw, PoC Published

2024/01/03 SecurityOnline — iOS／macOS の脆弱性 CVE-2023-41974 の PoC (Proof-of-concept) エクスプロイト・コードが公開された。この脆弱性は、Apple OS のカーネルにおける、解放済みメモリの使用の深刻な問題を明らかにしている。この脆弱性が悪用されると、カーネル特権で任意のコードを実行するための自由なアクセスを、アプリケーションに与える可能性があるという。

Apple iOS／macOS の深刻な脆弱性が FIX：ゼロデイ対応も含まれる

Apple Releases Security Updates to Patch Critical iOS and macOS Security Flaws

2023/12/12 TheHackerNews — 12月1日に Apple は、iOS／iPadOS／macOS／tvOS／watchOS／Safari のセキュリティ・パッチをリリースし、複数の脆弱性に対処した。さらに、先日に公開された２つのゼロデイ脆弱性についても、古いデバイスへのバックポートを行った。それらの中には、iOS／iPadOS の AVEVideoEncoder／ExtensionKit／Find My／ImageIO／Kernel／Safari Private Browsing／WebKit における、12件の脆弱性に対するアップデートも含まれる。なお、macOS Sonoma 14.2 に関しては、ncurses ライブラリに影響を及ぼす６件のバグを含む 39件の脆弱性を解決している。

Apple iOS／macOS の２件のゼロデイ脆弱性が FIX：APT による悪用を観測？

Apple Addressed 2 New Ios Zero-Day Vulnerabilities

2023/11/30 SecurityAffairs — Apple の iPhone／iPad／Mac デバイスに影響を及ぼす、２件のゼロデイ脆弱性に対する緊急のセキュリティ・アップデートがリリースされた。この２件の脆弱性は、WebKit ブラウザ・エンジンに存在し、野放し状態の攻撃で積極的に悪用されている。

iLeakage というサイドチャネル攻撃：Apple A／M Series 上の Safari から機密情報を抽出

iLeakage: New Safari Exploit Impacts Apple iPhones and Macs with A and M-Series CPUs

2023/10/26 TheHackerNews — iLeakage と呼ばれる新しいサイドチャネル攻撃を、ある研究者グループが考案した。それは、Apple iOS／iPadOS／macOS デバイスで動作する A／M Series CPU の脆弱性を悪用して、Safari から機密情報を抽出するものだ。この最新の研究について、研究者である Jason Kim／Stephan van Schaik／Daniel Genkin／Yuval Yarom は、「攻撃者は Safari に任意の Web ページを表示させ、投機的実行を使用して、その中に存在する機密情報を抽出することが可能になる」と述べている。

Apple iOS ゼロデイを狙う Triangulation：巧妙な手口と検出回避のテクニックとは？

iOS Zero-Day Attacks: Experts Uncover Deeper Insights into Operation Triangulation

2023/10/24 TheHackerNews — Apple iOS デバイスを標的とする TriangleDB というインプラントは、少なくとも４種類のモジュールを搭載するようだ。その内容は、マイクの録音／iCloud Keychain の抽出／SQLite データベースからのデータの窃取／位置情報の窃取などと推定されている。この Operation Triangulation と名付けられたキャンペーンを操る敵対者は、侵害したデバイスから機密情報を密かに盗み出す一方で、その痕跡を隠蔽するために多大な労力を費やしたと、Kaspersky は詳述している。

Apple iOS のゼロデイ CVE-2023-42824 が FIX：バージョン 17.0.3 で対応

Apple patches another iOS zero-day under attack (CVE-2023-42824)

2023/10/05 HelpNetSecurity — Apple は、iOS／iPadOS 向けのセキュリティ・アップデートをリリースして、悪用が確認されているゼロデイ脆弱性 CVE-2023-42824 を修正した。この脆弱性はカーネルに存在し、影響を受ける iPhone／iPad におけるローカルの脅威アクターに対して、特権への昇格を許す可能性があるという。

Cisco IOS／IOS XE の脆弱性 CVE-2023-20109：RCE 悪用が観測されている

Cisco urges admins to fix IOS software zero-day exploited in attacks

2023/09/28 BleepingComputer — 9月27日 (水) に Cisco は、攻撃者に狙われている IOS／IOS XE ソフトウェアのゼロデイ脆弱性にパッチを当てるよう顧客に警告した。Cisco Advanced Security Initiatives Group (ASIG) の X. B. により発見された、この脆弱性 CVE-2023-20109 (深刻度 Medium) は、GET VPN 機能の Group Domain of Interpretation (GDOI) および G-IKEv2 プロトコル内における、不十分な属性検証に起因するものだ。

iOS／Android のゼロデイを悪用：エジプトの野党指導者を狙った MitM 攻撃が発覚

Predator Spyware Delivered to iOS, Android Devices via Zero-Days, MitM Attacks

2023/09/25 SecurityWeek — Google の Threat Analysis Group によると、iOS／Chrome のゼロデイ脆弱性の悪用と中間者攻撃 (MitM) により、Predator スパイウェアが iPhone／Android デバイスに配信されているという。先週に Apple が通知したのは、脆弱性 CVE-2023-41991 (署名検証バイパス)／CVE-2023-41992 (ローカル特権の昇格)／CVE-2023-41993 (悪意の Web ページを介した任意のコード実行) という３つのゼロデイにして、パッチが適用されたことである。Apple は、iOS／macOS などのソフトウェアの脆弱性を修正したが、その一方で、悪用を認識しているのは、iOS のバージョン 16.7 以前のデバイスのみだと指摘していた。

Apple が３件のゼロデイ脆弱性を FIX：攻撃での積極的な悪用を確認

Apple emergency updates fix 3 new zero-days exploited in attacks

2023/09/21 BleepingComputer — Apple は、iPhone／Mac ユーザーを狙った攻撃で悪用された、新たなゼロデイ脆弱性３件を修正する緊急セキュリティアップデートをリリースした。今年に入ってから修正されたゼロデイ脆弱性は、これで合計16件となった。２つのバグは、WebKit ブラウザエンジンに存在する CVE-2023-41993 と、Security フレームワークに存在する CVE-2023-41991 である。悪意のアプリを用いた署名検証の回避や、細工された Web ページを介した任意のコード実行にいたる恐れがあるという。

CISA KEV 警告 23/09/11：Apple のゼロデイ CVE-2023-41064 など

CISA Adds Recently Discovered Apple Zero-Days To Known Exploited Vulnerabilities Catalog

2023/09/11 SecurityAffairs −−− 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iMessage ゼロクリック攻撃で悪用される脆弱性 BLASTPASS を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。これらのゼロデイ脆弱性 CVE-2023-41064／CVE-2023-41061 は、Image I/O および Wallet フレームワークに存在し、iPhone に NSO Group の Pegasus スパイウェアをインストールするために悪用されていた。

Apple にゼロデイ CVE-2023-41064／CVE-2023-41061：スパイウェアが狙っている

Apple discloses 2 new zero-days exploited to attack iPhones, Macs

2023/09/07 BleepingComputer — Apple がリリースした緊急のセキュリティ・アップデートは、iPhone／Mac ユーザーを狙う攻撃で悪用されている、２つの新たなゼロデイ脆弱性を修正するものだ。同社のアドバイザリには、「Apple は、この問題が積極的に悪用された可能性があるという報告を認識している」と記されている。それぞれの脆弱性は、Walletフレームワークの CVE-2023-41061 と、Image I/O の CVE-2023-41064 である。

VPN 製品の大半に影響：TunnelCrack 攻撃でトラフィック・リークにいたる脆弱性とは？

Almost all VPNs are vulnerable to traffic-leaking TunnelCrack attacks

2023/08/14 HelpNetSecurity — 世の中に出回っている大半の VPN 製品に影響を及ぼす複数の脆弱性が、攻撃者に悪用されていることが、研究者たちにより発見された。その悪用に成功した攻撃者たちにより、トラフィック盗聴／情報窃取／デバイス攻撃などが行われる可能性があるという。ニューヨーク大学の Nian Xue と、ニューヨーク大学アブダビ校の Yashaswi Malla／Zihang Xia／Christina Pöpper、そして、KU ルーヴェン大学の Mathy Vanhoef は、「私たちが検証した攻撃方式では、コンピューティング・コストが掛からないため、適切なネットワークア・クセスさえあれば誰もが実行可能であり、それぞれの環境で用いられている VPN プロトコルには非依存である」と主張している。

Apple が大規模なセキュリティ・アップデートを実施：カーネルの脆弱性 CVE-2023-38606 などが FIX

Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks

2023/07/24 SecurityWeek — 7月24日に Apple は、同社の主力プラットフォームである iOS／macOS／iPadOS に対して、大規模なセキュリティ・アップデートを行なった。今回のアップデートには、iOS／macOS におけるコード実行の深刻な脆弱性に対するパッチも含まれている。また、Apple によると、iOS／iPadOS／macOS 搭載デバイスに影響する、カーネルの脆弱性 CVE-2023-38606 は、iOS 15.7.1 以下において、すでに活発に悪用されていたという。

Apple が Rapid Security Response (RSR) アップデートを提供：ゼロデイ CVE-2023-37450 に対応

Apple releases emergency update to fix zero-day exploited in attacks

2023/07/10 BleepingComputer — Apple が Rapid Security Response (RSR) アップデートの新ラウンドを発行したのは、完全にパッチが適用された iPhone／Mac／iPad への攻撃で悪用されている、新たなゼロデイバグに対処するためである。この、匿名のセキュリティ研究者により報告された CVE-2023-37450 の脆弱性について、iOS と macOS のアドバイザリには、「Apple は、この問題が活発に悪用されている可能性があるという報告を認識している」と記されている。

Mobile／BYOD に迫る脅威：企業資産へのアクセスの 60% はモバイルからという現実

Mobile Malware and Phishing Surge in 2022

2023/06/28 InfoSecurity — Zimperium の最新レポートによると、2022年に大幅に増加したものとして、モバイル・マルウェア／モバイル専用フィッシングサイト／モバイルの脆弱性が挙げられるという。モバイル・セキュリティ・ベンダーである Zimperiumは、zLabs の社内調査と、サードパーティ・データ、パートナーの知見などから、Global Mobile Threat Report 2023 を作成した。

Apple が iOS／macOS／Safari のゼロデイ脆弱性に対応：ゼロクリックで RCE という強敵

Apple addressed actively exploited zero-day flaws in iOS, macOS, and Safari

2023/06/22 SecurityAffairs — Apple は、iOS／iPadOS／macOS／watchOS／Safari で発見された脆弱性のうち、野放し状態で活発に悪用されている脆弱性に対処した。具体的に言うと、先日に公開された Triangulation オペレーションでも悪用されていた、セロデイ脆弱性 CVE-2023-32434／CVE-2023-32435 である。Kaspersky の研究者たちは、Triangulation オペレーションを調査し、iOS デバイスにスパイウェアを配信するために採用された、エクスプロイト・チェーンに関する詳細を発見した。6月の上旬に Kaspersky の研究者たちは、Triangulation という名の長期的なキャンペーンの一環として、ゼロクリックのエクスプロイトで iOS デバイスを標的にする未知の APT グループを発見している。

iOS の iMessage を侵害するゼロクリック攻撃：ロシアが米情報機関を非難している

Russia Blames US Intelligence for iOS Zero-Click Attacks

2023/06/01 SecurityWeek — 2023年6月1日に、ロシアに本拠を置く Kaspersky は、企業ネットワーク内の iOS デバイスに対して、ゼロクリックの iMessage エクスプロイトを仕掛ける APT アクターを発見したと発表した。同じ日に、ロシアの連邦保安庁 (FSB：Federal Security Service) も、国内の契約者や外国公館が所有する数千台の iOS デバイスを標的とした、スパイ・キャンペーンが進行していることについて、米国の情報機関を非難した。ソ連の KGB を引き継いだ、ロシアのセキュリティ機関 FSB は、NATO 諸国／中国／イスラエル／シリアに赴任する外交官の iPhone が、”米国の諜報機関による偵察オペレーション” により感染したと主張している。

CISA KEV 警告 23/05/22：iPhone／iPad／Mac の３つの脆弱性を追加

CISA adds iPhone bugs to its Known Exploited Vulnerabilities catalog

2023/05/22 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、iPhone／iPad／Mac に影響を及ぼす３件のつのゼロデイ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この３つの問題は、WebKit ブラウザ・エンジンに存在する、脆弱性 CVE-2023-32409／CVE-2023-28204／CVE-2023-32373 となる。

BrutePrint という新たな攻撃手法：スマフォの指紋認証をブルートフォースで突破

Android phones are vulnerable to fingerprint brute-force attacks

2023/05/21 BleepingComputer — BrutePrint と呼ばれる新しい攻撃手法について、Tencent Labs と Zhejiang University の研究者たちが調査結果を発表した。この攻撃は、最新のスマートフォンの指紋をブルートフォースしてユーザー認証を突破し、デバイスを制御するものだ。ブルートフォース攻撃では、コード／キー／パスワードなどを解読して、アカウント／システム／ネットワークなどへ不正アクセスするために、あらゆる手段が試みられている。

Apple の iPhone／Mac／WebKit の脆弱性が FIX：３件のゼロデイを含む数十件の欠陥

Apple Patches 3 Exploited WebKit Zero-Day Vulnerabilities

2023/05/19 SecurityWeek — 5月19日にリリースされた、Apple のセキュリティ・アップデートにより、iPhone／Mac への攻撃で悪用される可能性のある、数十件の脆弱性が FIX した。その中には、ブラウザ・エンジンである WebKit に影響を及ぼす、３件のゼロデイ脆弱性も含まれている。積極的に悪用される脆弱性のうち、CVE-2023-28204／CVE-2023-32373 は、匿名の研究者たちが Apple に報告したものだ。これらの脆弱性の悪用に成功した攻撃者は、特別に細工された Web コンテンツを処理させる (悪意のサイトに誘導するなど) ことでユーザーを騙し、機密情報の漏えいや任意のコード実行を可能にするという。

DLL サイドローディングの二重化：追跡が困難なスティルス攻撃を東アジアで検出 – Sophos

Hackers start using double DLL sideloading to evade detection

2023/05/03 BleepingComputer — Dragon Breath／Golden Eye Dog／APT-Q-27 として知られる APT ハッキング・グループが、古典的な DLL サイドローディング手法を組み合わせる、いくつかの複雑なバリエーションを用いて、検知を回避し始めている。これらの攻撃のバリエーションは、Telegram などのクリーンなアプリケーションを悪用する最初のベクターから始まり、セカンド・ステージのペイロード (クリーンな場合もある) をサイドロードし、そのサイドロードにより悪意のマルウェア・ローダー DLL をロードするものだ。

Google の Passkey：すべてのアカウントで安全なパスワードレス・サインインを実現

Google adds passkeys support for passwordless sign-in on all accounts

2023/05/03 BleepingComputer — Google は、すべてのサービスとプラットフォームにおいて、Passkey for Google Accounts のサポートを展開している。それにより、ユーザーはログイン時に、パスワードの入力や、2-Step Verification (2SV) に頼ること無く、Google アカウントにサインインできるようになる。Google の Product Managers である Christiaan Brand と Sriram Karra は、「私たちは、すべての主要なプラットフォームで、Google アカウント全体に対する Passkey のサポートを開始した。これにより、ユーザーは Google サービス全体で Passkey を活用し、パスワード不要のサインイン・エクスペリエンスを実現できるようになった」と述べている。

Apple と Google が連携：AirTags 悪用などによる不正追跡を排除するスタンダードとは？

Apple and Google Join Forces to Stop Unauthorized Tracking Alert System

2023/05/03 TheHackerNews — Apple と Google が連携して取り組み始めたのは、たとえば AirTags のようなデバイスが悪用され、ユーザーの知らないうちに追跡されている場合に警告し、安全上のリスクを取り除くための仕様のドラフトである。両社は共同声明で、「この業界初の仕様により、Bluetooth 位置追跡デバイスは、Android／iOS プラットフォームにおいて、不正な追跡の検出と警告の対象になる」と述べている。

Android アプリ侵害：$20K で機能満載のハッキング・ツールが購入できる時代

Apps for Sale: Cybercriminals Sell Android Hacks for Up to $20K a Pop

2023/04/11 DarkReading — サイバー犯罪者たちは、Google Play ストアのセキュリティを回避する手段を見つけ出し、既存の Android アプリをトロイの木馬化するツールを開発している。それらのツールの最高値は、サイバー犯罪市場で１件あたり $20,000 だという。Kaspersky の研究者たちは、4月10日のブログ記事で、最も人気のあるダークウェブ・フォーラムの９つを幅広く調査した結果を発表した。2019年と2023年の活動を追跡したところ、アプリ開発者アカウントへのアクセス／ボットネット／悪意の Android アプリなどを、時には一度に数千ドルで取引される市場が盛んであることが判明した。

Apple の深刻なゼロデイ脆弱性が FIX：iOS／iPadOS／macOS で活発に悪用されている

Apple Releases Updates to Address Zero-Day Flaws in iOS, iPadOS, macOS, and Safari

2023/04/08 TheHackerNews — 2023年4月7日 (金) に Apple は、iOS／iPadOS／macOS および、Web ブラウザ Safari のセキュリティ・アップデートをリリースし、野放し常態で悪用されている２つのゼロデイ脆弱性に対処した。Apple は、１つ目の脆弱性 CVE-2023-28205 はメモリ管理の欠陥であり、２つ目の脆弱性 CVE-2023-28206 は入力検証の欠陥である。同社は、それぞれの脆弱性に対処した上で、活発に悪用された可能性があると認めている。

CISA KEV 警告 23/04/01：スパイウェアなどを対象に９件の危険な脆弱性を追加

CISA adds bugs exploited by commercial surveillance spyware to Known Exploited Vulnerabilities catalog

2023/04/01 SecurityAffairs — CISA は、KEV (Known Exploited Vulnerabilities) カタログに、９件の脆弱性を新たに追加した。そのうちの５件は、セキュリティ監視ベンダーが自社の商用スパイウェアでモバイル機器を狙うために使用するエクスプロイトの一部である。これらの脆弱性のカタログへの追加は、Google Threat Analysis Group (TAG) が最近に発表した、Android／iOS／Chrome などに対して複数のゼロデイ脆弱性を使用した２つの異なるキャンペーンに関する詳細レポートを受けたものだ。

Google TAG 警告：複数の Zero-Day／N-Day エクスプロイトを用いるキャンペーンについて

Google TAG shares details about exploit chains used to install commercial spyware

2023/03/29 SecurityAffairs — Android／iOS／Chrome に対して複数のゼロデイ・エクスプロイトを悪用する、２つのキャンペーンの詳細を、Google Threat Analysis Group (TAG) が公開した。専門家たちは、どちらのキャンペーンも、限定的で高度な標的型であったと述べている。攻撃の背後にいる脅威アクターは、エクスプロイトに Zero-Day と N-Day の両方を使用していたという。これらのエクスプロイト・チェーンは、ターゲットのデバイスに商用スパイウェアや悪意のアプリをインストールするために使用されていたようだ。

Brave のユーザー保護機能が前進：open in app のブロックで pool-party 攻撃に対抗

Brave browser to block “open in app” prompts, pool-party attacks

2023/02/24 BleepingComputer — プライバシー保護に特化したブラウザ Brave の次期メジャー・バージョンでは、”open in app” のような煩わしいプロンプトがブロックされ、pool-party 攻撃に対する保護の強化が始まる予定だという。この、邪魔な “open in app” ポップアップは、ブラウザのプライバシー保護機能が適用されない空間へと、訪問者を連れて行くことを目的としており、広範なユーザー・データが、アプリの作成者により自由に収集される可能性を生じる。

macOS／iOS で権限昇格の新たなバグ：Pegasus スパイウェアの二の舞はゴメンだ！

New Privilege Escalation Bug Class Found on macOS and iOS

2023/02/21 InfoSecurity — Trellix のサイバー・セキュリティ研究者たちが、macOS／iOS に存在する６つの脆弱性と、新しいバグクラスに関する調査結果を発表した。今日の未明に公開された同社のアドバイザリでは、新しいクラスの権限昇格の脆弱性は、NSO Group のモバイル・マルウェア Pegasus を展開するために macOS／iOS の機能を悪用した、ForcedEntry 攻撃に基づくものだと述べられている。

CISA KEV 警告 23/02/14：Windows／Office／iOS の脆弱性を悪用リストに追加

CISA warns of Windows and iOS bugs exploited as zero-days

2023/02/16 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃において野放し状態で悪用される脆弱性４件をバグリストに追加した。そのうち２件は、Microsoft 製品に影響するものだ。パッチ未適用の Windows システム上で、Common Log File System Driver やグラフィック・コンポーネントの脆弱性の悪用に成功した攻撃者に対して、リモート実行 (CVE-2023-21823) および特権昇格 (CVE-2023-23376) を許してしまう。

iPhone／iPad／Mac の新たなゼロデイ CVE-2023-23529 などが FIX

Apple fixes new WebKit zero-day exploited to hack iPhones, Macs

2023/02/13 BleepingComputer — Apple リリースした緊急セキュリティ・アップデートは、iPhone／iPad／Mac へのハッキング攻撃で使われる、新たなゼロデイ脆弱性に対処するものだ。今回のアップデートで修正されたゼロデイ脆弱性 CVE-2023-23529 [1, 2] は、WebKit の混乱を悪用し、侵害したデバイス上で OS クラッシュを誘発し、コード実行を許すものだ。

iOS デバイスを汚染するアドウェア Vastflux：ピーク時で 120億／日のリクエスト

Massive ad-fraud op dismantled after hitting millions of iOS devices

2023/01/21 BleepingComputer — iOS を主体として展開された、Vastflux という名の大規模な広告詐欺作戦は、 120社のパブリッシャーから提供される 1,700件以上のアプリを偽装していたが、サイバー・セキュリティ企業 HUMAN の研究者たちにより阻止されたことが明らかになった。このオペレーション名は、広告配信テンプレート VAST と、単一のドメインに関連する大量の IP アドレスや DNS レコードを迅速に変更することで、悪意のあるコードを隠す回避手法 fast flux に由来しているという。HUMAN のレポートによると、ピーク時の Vastflux では 120億以上／日の入札リクエストが生成され、約 1100万台のデバイス (大半が iOS エコシステム) に影響を与えたとされている。

WhatsApp がプロキシのサポートを開始：インターネット遮断を回避する

WhatsApp adds proxy support to help bypass Internet blocks

2023/01/05 BleepingComputer — 今日から WhatsApp は、インターネットが遮断された場合や、政府によるサービス・ブロックに直面した場合に、プロキシ・サーバ経由で接続できるようになった。この新しいプロキシ・サポート・オプションは、最新の WhatsApp iOS／Android アプリを利用している全てのユーザーに提供される。WhatsApp によると、プロキシ経由で接続しても、メッセージは End-to-End の暗号化で保護されるため、プライバシーとセキュリティは維持されるという。そのため、プロキシ・サーバ運営者／Meta／WhatsApp などの第三者が、メッセージの内容にアクセスすることはできず、ユーザーと受信者だけがメッセージを読むことができるようになる。

Google の同意なき位置情報の追跡：米国で $29.5M の罰金が追加される

Google to Pay $29.5 Million to Settle Lawsuits Over User Location Tracking

2023/01/01 TheHackerNews — Google は、同社の不誠実な位置追跡に関して、インディアナ州とワシントン D.C. から提訴された２つの訴訟で、合計 $29.5 million を支払うことに同意した。明示的な同意なしに、ユーザーの位置を追跡したとして、Google は両州から訴えられ、ワシントン D.C. に $9.5 million、インディアナ州に $20 million の支払うことが決定した。今回の和解は、2022年11月に Google が同様の申し立てについて、40州に支払うことで合意した $391.5 million に追加されるものだ。同社は、テキサス州とワシントン州で、さらに２件の位置情報追跡に関する訴訟に直面している。