Chinese hackers behind attacks targeting SAP NetWeaver servers
2025/05/09 BleepingComputer — SAP NetWeaver インスタンスに影響を及ぼす、最も深刻度の高い脆弱性を狙う攻撃が、中国の脅威アクターにより進行中であると、Forescout Vedere Labs のセキュリティ研究者たちが結論付けている。SAP が 4月24日にリリースしたのは、NetWeaver Visual Composer における認証を必要としないファイル・アップロードの脆弱性 CVE-2025-31324 に対処する緊急パッチである。その直前に、サイバー・セキュリティ企業 ReliaQuest が、この脆弱性が攻撃の標的となっていると確認したが、そこから数日後にパッチがリリースされたことになる。
Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324:積極的な悪用を支える中国の攻撃インフラが見えてきた”Second Wave of Attacks Hitting SAP NetWeaver After Zero-Day Compromise
2025/05/06 SecurityWeek — SAP NetWeaver インスタンスに存在する、ゼロデイ脆弱性を悪用する脅威アクターたちが、第二波の攻撃を開始していると、エンタープライズ・アプリケーション・セキュリティ Onapsis が警告している。このゼロデイ脆弱性 CVE-2025-31324 (CVSS:10.0) は、2025年4月の Security Patch Day の速報を SAP が更新し、この脆弱性に対処する新たな注記を追加した後の、4月24日に公開されたものだ。
Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324:第二波の攻撃を観測”Google: 97 zero-days exploited in 2024, over 50% in spyware attacks
2025/04/29 BleepingComputer — Google Threat Intelligence Group (GTIG) によると、2024年には 75件のゼロデイ脆弱性が実際の攻撃で悪用され、そのうちの半数以上がスパイウェアによる攻撃に関連していたという。この数値は、2023年の 97件から減少しているが、2022年の 63件からは増加している。GTIG のアナリストたちは、この変動について、「ゼロデイ脆弱性の悪用件数は全体として増加傾向にあり、このばらつきは想定内である」と分析している。なお、Google によるゼロデイ脆弱性の定義は、「ベンダーがパッチを公開する前に実環境で悪用された脆弱性」である。
Continue reading “2024年に発生したゼロデイ攻撃は 97件:50%以上がスパイウェア攻撃に関連 – Google 調査”159 CVEs Exploited in Q1 2025 — 28.3% Within 24 Hours of Disclosure
2025/04/24 TheHackerNews — 2025 Q1 において、実環境で悪用された CVE は 159件にのぼり、2024 Q4 の 151件から増加していることが明らかになった。セキュリティ企業 VulnCheck は、「脆弱性の情報が公開されてから、悪用されるまでの時間の短縮という傾向が続いており、CVE 公開から 1 日以内に悪用された脆弱性は、28.3% に達している」と、The Hacker News に共有したレポートで述べている。
Continue reading “2025 Q1 に悪用された CVE は 159件:1日以内に攻撃が始まったのは 28.3% – VulnCheck 調査”Google Pushing ‘Sec-Gemini’ AI Model for Threat-Intel Workflows
2025/04/07 SecurityWeek — Google が発表したのは、脅威インテリジェンス部門 Mandiant のインシデント対応および、脅威分析ワークフローを支援するために設計された、実験的な人工知能モデルである。この “Sec-Gemini v1” と呼ばれる AI モデルは、Google の LLM である Gemini の機能と、Google Threat Intelligence (GTI)、Open Source Vulnerability (OSV) データベースなどの社内リソースを統合することで、ほぼリアルタイムのセキュリティ・データとツールを構成するという。
Continue reading “Google の Sec-Gemini が登場:Mandiant のデータと LLM を統合”2025/04/07 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2025-22457 は、スタックバッファ・オーバーフローに起因し、リモート・コード実行 (RCE) を引き起こすという深刻なものである。
Continue reading “CISA KEV 警告 25/04/04:Ivanti CS/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を登録”CL-UNK-0979 Exploit Zero-Day Flaw in Ivanti Connect Secure to Gain Access to Networks
2025/01/18 SecurityOnline — Ivanti 製品群における2件の深刻な脆弱性 CVE-2025-0282/CVE-2025-0283 に関する、詳細な脅威ブリーフィングを Palo Alto Networks が発表した。これらの脆弱性は、リモート・ネットワーク接続のための広く使用されている。Ivanti の Connect Secure/Policy Secure/ZTA Gateway アプライアンスに影響を及ぼすものだ。
Continue reading “Ivanti Connect Secure の CVE-2025-0282 を狙う CL-UNK-0979:攻撃のフェーズとツールが明らかに”QR codes bypass browser isolation for malicious C2 communication
2024/12/08 BleepingComputer — Mandiant が特定したのは、ブラウザの分離技術を回避し、QR コードを通じて Command and Control (C2) 操作を実現する、新しい方法である。このブラウザの分離技術とは、クラウド環境または仮想マシンでホストされるリモート Web ブラウザを介して、すべてのローカル Web ブラウザ・リクエストをルーティングするセキュリティ技術のことであり、日増しに普及するという状況にある。
Continue reading “Web ブラウザの分離技術を回避:QR コード C2 通信のための PoC ツールとは?”PoC Exploit Releases for Zero-Day CVE-2024-47575 Flaw in Fortinet FortiManager
2024/11/17 SecurityOnline — FortiManager/FortiAnalyzer デバイスに存在する、ゼロデイ脆弱性 CVE-2024-47575 (CVSS 9.8) の技術的詳細と PoC エクスプロイト・コードが、watchTowr のセキュリティ研究者である Sina Kheirkhah から公開された。FortiJump と命名された、この脆弱性 CVE-2024-47575 は、FGFM プロトコルにおける認証メカニズムの欠落に起因するものであり、リモートの認証されていない攻撃者に対して、任意のコード/コマンド実行を許すものだ。
Continue reading “FortiManager のゼロデイ脆弱性 FortiJump CVE-2024-47575:PoC が公開”AWS Seizes Domains Used by Russia’s APT29
2024/10/25 SecurityWeek — 10月24日に Amazon Web Services (AWS) が発表したのは、ロシアの脅威グループである APT29 が、フィッシング攻撃に用いたドメインの凍結に関する情報である。同社によると、APT29 が使用していたドメインの一部は、AWS のドメインであるかのような名称であったという。しかし、その攻撃の標的は、Amazon や顧客ではなく政府機関/軍事組織/企業であり、Microsoft Remote Desktop を介した Windows 認証情報の収集が目的だった。
Continue reading “AWS がロシアの APT29 ドメインを凍結:政府/軍事などにフィッシング攻撃”New Threat Group UNC5820 Targets FortiManager Zero-Day CVE-2024-47575 in Global Cyberattack
2024/10/24 SecurityOnline — 10月24日に Mandiant が公開したレポートは、FortiManager アプライアンスのゼロデイ脆弱性 CVE-2024-47575 を悪用する攻撃が、複数の業界に及んでいることを警告するものだ。この脆弱性の悪用に成功した攻撃者は、欠陥のある FortiManager デバイス上で任意のコード/コマンドの実行を達成し、深刻なセキュリティ・リスクを引き起こす可能性を手にする。
Continue reading “FortiManager のゼロデイ脆弱性 CVE-2024-47575:未知の脅威グループ UNC5820 が悪用”Google: 70% of exploited flaws disclosed in 2023 were zero-days
2024/10/16 BleepingComputer — Google Mandiant のセキュリティ・アナリストたちは、脅威アクターがソフトウェアのゼロデイ脆弱性を発見し、悪用する能力を向上させているという、懸念すべき新たな傾向について警告している。Mandiant によると、2023年に積極的な悪用が公表された 138件の脆弱性のうち、97件 (70.3%) がゼロデイとして悪用されたという。つまり、脆弱性の影響を受けるベンダーが、バグの存在を知る以前に、あるいは、パッチを適用する以前に、それらの欠陥を脅威アクターが攻撃で悪用したことを意味する。
Continue reading “2023年に悪用された脆弱性の 70%はゼロデイ:Google Mandiant 調査”Chinese Hacking Group APT41 Infiltrates Global Shipping and Tech Sectors, Mandiant Warns
2024/07/18 SecurityWeek — ヨーロッパとアジアの海運/ロジスティクス/テクノロジー/自動車産業の組織に侵入したとして摘発された、中国政府が支援する多発ハッキング・チーム APT41 によるマルウェア攻撃が、大規模なレベルで復活していることを、Mandiant の研究者たちが指摘している。Mandiant の警告によると、侵入された組織の大部分は英国/イタリア/スペイン/トルコ/タイ/台湾にあるという。これらの組織に侵入した APT41 は、遅くとも 2023年以降において、不正アクセスを長期にわたって維持することに成功しているようだ。
Continue reading “中国由来の APT41 が復活:世界のロジスティクスやテクノロジーなどの産業を狙っている – Mandiant”Hackers Downloaded Call Logs from Cloud Platform in AT&T Breach
2024/07/12 InfoSecurity — 通信大手の AT&T が明らかにしたのは、脅威アクターにより、顧客データが不正にダウンロードされたことだ。サードパーティのクラウド・プラットフォーム上の AT&T のワークスペースから、ハッカーがデータを不正ダウンロードしたことを、7月12日に発表した声明で同社は認めている。米証券取引委員会 (SEC) への提出書類によると、同社は 2024年4月19日の時点で、通話ログが不正にアクセス/コピーされたことを初めて知ったようだ。
Continue reading “AT&T 侵害の現状:Snowflake からダウンロードしたデータの販売を呼びかける脅威アクターたち”Neiman Marcus confirms data breach after Snowflake account hack
2024/06/25 BleepingComputer — 高級小売店の Neiman Marcus は、最近の Snowflake データ盗難攻撃の被害に遭遇し、同社から盗み出されたデータベースの売却を、ハッカーが試みていたことを明らかにした。同社がメイン州の司法長官事務所に提出したデータ流出通知によると、この流出により影響を受けた人々は 64,472人に及ぶという。この通知の中で Neiman Marcus は、「2024年4月 〜 5月に、Neiman Marcus グループが使用しているデータベース・プラットフォームに、脅威アクターが不正アクセスしていたことが、5月に入ってから判明した。さらに、当社の調査により、データベース・プラットフォーム上の個人情報が、この脅威アクターにより盗み出されていたことが判った」と述べている。
Continue reading “Neiman Marcus のデータ侵害:Snowflakeアカウントのハッキングで個人情報が漏えい”Multifactor Authentication Is Not Enough to Protect Cloud Data
2024/06/22 DarkReading — UNC5537 として知られるサイバー犯罪者グループが、大暴れしている。この1ヶ月の間に、ShinyHunters または Scattered Spider に関連すると思われる身代金要求グループが、Ticketmaster から5億6000万件以上の顧客記録を盗み出し、5月28日に再構成されたリークサイト BreachForums に掲載し、$500,000 を要求した。その2日後に、このグループはスペインを拠点とする Santander Bank から 3,000万件の口座記録を盗んだと主張し、$2 million を要求している。そして、両社とも、このポストの後に情報漏えいを認めた。
Continue reading “MFA だけではクラウド・データ保護は無理:Snowflake 侵害から得るべき5つの教訓”‘ONNX’ MFA Bypass Targets Microsoft 365 Accounts
2024/06/19 DarkReading — 高度に組織化された PhaaS (phishing-as-a-service operation) が、金融企業の Microsoft 365 アカウントを標的とし、2FA (two-factor authentication) バイパスや QR コードの悪用といった高度な回避技術を活用する、BEC (business email compromise) 攻撃を仕掛けていることが、研究者たちにより明らかになった。 6月18日のブログで EclecticIQ のセキュリティ・アナリストたちは、金融機関を標的とする広範なフィッシング・キャンペーンを、2024年2月の時点で発見したと述べている。標的となった組織には、アメリカ大陸/ヨーロッパ/中東/アフリカ (EMEA) 地域における、銀行/プライベート・ファンディング会社/信用組合のサービス・プロバイダーなどが含まれていたという。
Continue reading “ONNX という PhaaS と QR コード:Microsoft 365 アカウントに BEC 攻撃を展開”UNC3886 Uses Fortinet, VMware 0-Days and Stealth Tactics in Long-Term Spying
2024/06/19 TheHackerNews — Fortinet/Ivanti/VMware デバイスのゼロデイ脆弱性を悪用する、中国由来のサイバースパイ・アクターたちは、侵害した環境への自由なアクセスを維持するために、複数の永続化メカニズムを利用していることが確認されている。Mandiant の研究者たちは、「彼らの持続性メカニズムの対象となるのは、ネットワークデバイス/ハイパーバイザー/仮想マシンなどであり、プライマリ・レイヤーが検出/排除された場合であっても、代替チャネルが利用可能であることを保証している」と、最新レポート述べている。問題となっている脅威の主体は UNC3886 であり、Mandiant は、「洗練され、慎重で、回避的である」と評している。
Continue reading “Fortinet/VMware の脆弱性を悪用:中国由来の UNC3886 が実現している永続性とは?”YetiHunter: Open-source threat hunting tool for Snowflake environments
2024/06/14 HelpNetSecurity — Snowflake 環境における侵害の証拠を照会するために、ユーザー企業が利用できる脅威検出/ハンティング・ツール YetiHunter を、クラウド ID 保護企業の Permiso が作成した。クラウド・ベースのデータ・ストレージと分析の企業である Snowflake が、先日に発表したのは、攻撃者に侵害された認証情報が悪用され、同社の一部顧客のアカウントへの不正アクセスが発生していることだ。
Continue reading “Snowflake 侵害をトリアージ:YetiHunter という OSS ハンティング・ツールが登場”Cylance confirms data breach linked to ‘third-party’ platform
2024/06/10 BleepingComputer — サイバーセキュリティ企業 Cylance は、ハッキング・フォーラムで販売されているデータの正当性を認めた上で、サードパーティのプラットフォームから盗まれた古いデータだと述べている。Sp1d3r と呼ばれる脅威アクターが、盗み出されたデータを $750,000 で販売しているのを、最初に見つけたのは Dark Web Informer である。このデータには、顧客/従業員の電子メール 34,000,000件、および、Cylance のユーザー/パートナー/従業員たちを特定できる情報などの、相当量の情報が含まれているようだ。
Continue reading “BlackBerry Cylance のデータがダークウェブで販売されている:Snowflake 侵害との関連性は?”Snowflake account hacks linked to Santander, Ticketmaster breaches
2024/05/31 BleepingComputer — 最近に発生した Santander と Ticketmaster への侵害を主張する攻撃者は、クラウド・ストレージ企業 Snowflake の従業員のアカウントをハッキングし、データを盗んだと述べている。しかし Snowflake は、この情報漏洩について、顧客アカウントの安全性が不十分だったことに原因があると主張している。Snowflake クラウド・データ・プラットフォームは、世界の大企業を含む 9,437社の顧客に利用されている。その中には、Adobe/AT&T/Capital One/Doordash/HP/Instacart/JetBlue/Kraft Heinz/Mastercard/Micron/NBC Universal/Nielsen/Novartis/Okta/PepsiCo/Siemens/US Foods/Western Union/Yamaha などが名を連ねている。
Continue reading “Snowflake のデータ侵害:Santander/Ticketmaster の侵害と関連している?”MITRE Attributes The Recent Attack To China-Linked UNC5221
2024/05/07 SecurityAffairs — MITRE が共有したのは、先日の攻撃に関連する攻撃者/マルウェア/タイムラインなどの、ハッキングの詳細情報である。2024年4月に MITRE は、同社の研究/試作ネットワークの1つに、セキュリティ侵害があったことを公表した。同組織のセキュリティ・チームは直ちに調査を開始し、脅威行アクターをログアウトさせ、サードパーティのフォレンジック・インシデント対応チームと社内の専門家を協力させ、独自の分析を実施した。
Continue reading “MITRE への侵害:中国由来の APT UNC5221 の侵害の手法とマルウェアを分析する”Google Debuts New Security Products, Hyping AI and Mandiant Expertise
2024/05/06 SecurityWeek — Mandiant を $5.6 billion で買収した Google だが、それから僅か2年足らずで、野心的なエンタープライズ・セキュリティ戦略を具体化し始めている。具体的に言うと、脅威インテリジェンスとセキュリティ・オペレーションの新製品を発表し、AI の魔法を使って急成長するサイバー・セキュリティ市場への参入を宣言している。
Continue reading “Google の最新セキュリティ製品:AI とMandiant のノウハウをプッシュ – RSA Con 2024”Microsoft Outlook Flaw Exploited by Russia’s APT28 to Hack Czech, German Entities
2024/05/04 TheHackerNews — 5月3日 (金) にチェコとドイツの両国は、ロシアに支援される 脅威アクター APT28 により実施された、長期的なサイバースパイ・キャンペーンの標的であったことを明らかにし、EU/NATO/英国/米国から非難を浴びた。チェコ共和国の外務省 (MFA) は声明の中で、2023年初頭に明るみに出た Microsoft Outlook の脆弱性を悪用する攻撃により、同国内の無名の団体が被害を受けたと述べている。MFA は、「政治団体/国家機関/重要インフラを標的とするサイバー攻撃は、国家安全保障に対する脅威であるだけではなく、我々の自由な社会が基盤としている民主主義のプロセスを混乱させるものだ」と述べている。
Continue reading “Outlook の脆弱性 CVE-2023-23397 と APT28:チェコとドイツに対するスパイ行為が発覚”Chinese Threat Actors Deploy New TTPs to Exploit Ivanti Vulnerabilities
2024/04/05 InfoSecurity — Ivanti の脆弱性を悪用した後に、横方向へと移動する新しいテクニックを、中国の脅威アクターたちが開発していることが、Mandiant の新しい調査により明らかになった。4月4日付けのブログ記事で Mandiant は、中国と関連があると疑われる5つのスパイ・グループの活動について詳述している。Ivanti の Connect Secure/Policy Secure ゲートウェイでは、脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 の悪用が既に発見/報告されているが、この活度は、その後に続くものである。
Continue reading “Ivanti 製品の脆弱性:中国系のハッカーが新たな TTP を開発している”New Ivanti RCE flaw may impact 16,000 exposed VPN gateways
2024/04/05 BleepingComputer — インターネット上に公開されている Ivanti の Connect Secure/Poly Secure ゲートウェイ約 16,500 台に、リモートコード実行 (RCE) の脆弱性が存在する可能性がある。今週初めにベンダーが対処した、この脆弱性 CVE-2024-21894 は、Ivanti Connect Secure 9.x/22.x の IPSec コンポーネントに存在する、深刻度の高いヒープオーバーフローに起因するものだ。認証されていないユーザーが、特別に細工したリクエストを送信することにより、サービス拒否 (DoS) やリモートコード実行にいたる可能性がある。
Continue reading “Ivanti の新たな脆弱性 CVE-2024-21894:日本の存在する危険なインスタンスは 2,000 ?”Zero-Day Vulnerabilities Surged by Over 50% Annually, Says Google
2024/03/27 InfoSecurity — Google が検出したゼロデイ脆弱性の量は、2022年から2023年にかけて 50% 以上も増加し、サードパーティ製コンポーネントのバグが増加しているとのことだ。Google TAG (Threat Analysis Group) と Mandiant の研究者で構成される調査チームは、2023年を振り返る “We’re All in this Together” で調査の結果を明らかにしている。2023年に発見されたゼロデイ脆弱性は合計で 97件であり、2021年の106件に僅かに及ばなかった。
Continue reading “Google のゼロデイ調査:2022/2023 の比較で50% 以上も増加”Chinese State-Linked Hackers Target Critical Systems; Exploit F5 and ScreenConnect Flaws
2024/03/22 SecurityOnline — UNC5174 という新たな脅威アクターが、ゼロデイおよび最近にパッチが適用された脆弱性を悪用して、一連の標的型侵入を仕掛けていることが、Mandiant のレポートにより明らかになった。同グループの活動は、技術力の高い標的攻撃により、特に政府/防衛/学術などの分野における、価値の高い組織をターゲットにするものだ。
Continue reading “UNC5174 という中国ハッカー:F5/ScreenConnect の脆弱性を悪用して攻撃を展開”China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks
2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド/台湾/オーストラリア/米国/香港などのシステムに影響を与えたという。
Continue reading “中国のハッカー Evasive Panda:水飲み場とサプライチェーンを組み合わせる戦術とは?”Five Eyes Alliance Warns Of Attacks Exploiting Known Ivanti Gateway Flaws
2024/03/01 SecurityAffairs — Five Eyes Intelligence Alliance が発表したのは、Ivanti Connect Secure/Policy Secure Gateway に存在する、既知の脆弱性を悪用する脅威者について警告する、共同サイバー・セキュリティ勧告である。この勧告には、Connect Secure/Policy Secure の脆弱性 CVE-2023-46805/CVE-2024-21887/CVE-2024-21893 の悪用に関する詳細が記載されている。複数の脅威アクターたちが一連の問題を連鎖させ、認証を回避し、悪意のリクエストを作成し、昇格した権限で任意のコマンドを実行している。
Continue reading “Five Eyes Alliance の脆弱性警告:Ivanti が反論する永続化の実態とは?”State-sponsored hackers know enterprise VPN appliances inside out
2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード/パッチ適用/工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。
Continue reading “Ivanti Connect Secure VPN の脆弱性:中国由来ハッカーによるマルウェア展開で悪用”ScreenConnect flaws exploited to deliver all kinds of malware (CVE-2024-1709, CVE-2024-1708)
2024/02/26 HelpNetSecurity — 先日にパッチが適用された、ConnectWise ScreenConnect ソフトウェアの脆弱性 CVE-2024-1709/CVE-2024-1708 が、多くの攻撃者に悪用されており、様々な悪意のペイロードが配信されている。
Continue reading “ScreenConnect の脆弱性 CVE-2024-1709/CVE-2024-1708:活発な悪用が確認された”Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities
2023/02/01 TheHackerNews — Ivanti の Connect Secure VPN/Policy Secure デバイスを標的とするポスト・エクスプロイトの活動において、UNC5221 という中国由来のスパイ・アクターなどが採用する新たなマルウェアを確認したと、Google 傘下の Mandiant が発表した。それらのマルウエアに含まれるのは、BUSHWALK/CHAINLINE/FRAMESTING/LIGHTWIRE などの、カスタム Web シェルの亜種である。
Continue reading “Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測:中国由来の APT UNC5221 の活動と重複”Hackers Exploiting Ivanti VPN Flaws to Deploy KrustyLoader Malware
2024/01/31 TheHackerNews — 最近に公開された Ivanti Connect Secure (ICS) VPN (Virtual Private Network) デバイスの2つのゼロデイ脆弱性が、KrustyLoader というペイロードの配信に悪用されている。KrustyLoader とは、オープンソースの Sliver 攻撃シミュレーション・ツールを投下するために使用される、Rust ベースのツールのことである。悪用が確認されている脆弱性 CVE-2023-46805 (CVSS:8.2)/CVE-2024-21887 (CVSS:9.1) は、認証されていない攻撃者に対して、影響を受けやすいアプライアンス上でのリモート・コード実行を許す可能性があるものだ。
Continue reading “Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887:KrustyLoader マルウェアの配布に悪用”CISA Adds VMware vCenter Server Bug To Its Known Exploited Vulnerabilities Catalog
2024/01/23 SecurityAffairs — U.S. Cybersecurity and Infrastructure Security Agency (CISA) は、VMware vCenter Server に存在する、Out-of-Bounds Write の脆弱性 CVE-2023-34048 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。vCenter Server は、VMware の仮想化およびクラウド・コンピューティング・ソフトウェアの重要なコンポーネントであり、また、VMware の仮想化データセンターの集約的かつ包括的な管理プラットフォームとして機能する。
Continue reading “CISA KEV 警告 24/01/22:VMware vCenter の脆弱性 CVE-2023-34048 を追加”CISA Issues Emergency Directive to Federal Agencies on Ivanti Zero-Day Exploits
2024/01/20 TheHackerNews — 2024年1月19日に、米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure (ICS)/Ivanti Policy Secure (IPS) 製品に存在し、活発に悪用されている2つのゼロデイ脆弱性に対して緩和策を実施するよう、連邦民間行政機関 (FCEB) に緊急指令を発出した。今回の指令は、これらの脆弱性 (認証バイパスの CVE-2023-46805/コード・インジェクション CVE-2024-21887) が、複数の脅威アクターにより広く悪用されていることを受けて発令された。これらの脆弱性の悪用に成功した攻撃者は、悪意のリクエストを作成して、システム上で任意のコマンド実行が可能になる。
Continue reading “CISA 警告:Ivanti の脆弱性 CVE-2023-46805/CVE-2024-21887 の活発な悪用”China-Linked Apt UNC3886 Exploits VMware Zero-Day Since 2021
2024/01/19 SecurityAffairs — 中国由来の APT グループ UNC3886 が、遅くとも 2021年後半から、VMware vCenter Server のゼロデイ脆弱性 CVE-2023-34048 を悪用していることが、Mandiant の研究者たちにより報告された。vCenter Server は、VMware の仮想化およびクラウド・コンピューティング・ソフトウェア群の重要なコンポーネントであり、VMware の仮想化データセンターのための、集権的かつ包括的な管理プラットフォームとして機能している。
Continue reading “VMware の脆弱性 CVE-2023-34048:2021年から中国の APT がゼロデイとして悪用”Ivanti Connect Secure zero-days now under mass exploitation
2024/01/15 BleepingComputer — Ivanti の Connect Secure VPN および Policy Secure Network Access Control (NAC) アプライアンスに影響を及ぼす、2つのゼロデイ脆弱性が大規模なレベルで悪用されている。脅威インテリジェンス企業 Volexity が発見した、このゼロデイ脆弱性は 2023年12月以降の攻撃で悪用されてきた。そして、2024年1月11日からは複数の脅威グループが、CVE-2023-46805 (認証バイパス) および CVE-2024-21887 (コマンド・インジェクション) 脆弱性を連鎖させ、広範な攻撃を行っている。
Continue reading “Ivanti Connect Secure の2つの脆弱性:複数の脅威アクターにより攻撃がエスカレート”Ivanti Connect Secure zero-days exploited to deploy custom malware
2024/01/12 BleepingComputer — 今週に公開された Ivanti Connect Secure の2つのゼロデイ脆弱性だが、スパイ行為を目的とした複数のカスタム・マルウェア・ファミリーの展開において、2023年12月初旬から悪用されていたことが判明した。これらの脆弱性 CVE-2023-46805/CVE-2024-21887 の悪用に成功した攻撃者は、認証をバイパスして、脆弱なシステム上で任意のコマンド注入を可能にしていた。ただし Ivanti は、少数の顧客が標的にされていたに過ぎないと述べている。
Continue reading “Ivanti Connect Secure のゼロデイ脆弱性:カスタム・マルウェアのデプロイを観測”Mandiant’s X account hacked by crypto Drainer-as-a-Service gang
2024/01/10 BleepingComputer — Google 傘下のサイバー・セキュリティ企業 Mandiant によると、同社の Twitter/X アカウントが、先週に Drainer-as-a-Service (DaaS) ギャングに乗っ取られたという。同社は、「通常であれば、このようなインシデントは、2FA により軽減されるはずだった。しかし、いくつかのチームにおける変更と、X の 2FA ポリシーの変更が重なり、十分な保護が達成されていなかった。このようなことが、二度と起こらないようにするために、プロセスを変更した」と述べている。
Continue reading “Mandiant の X アカウントがハックされた: Drainer-as-a-Service により暗号資産が盗まれる”Ivanti warns of Connect Secure zero-days exploited in attacks
2024/01/10 BleepingComputer — Ivanti の Connect Secure (ICS) および Policy Secure に存在する2つのゼロデイ脆弱性が公表されたが、それらを組み合わせるリモートの攻撃者により、標的のゲートウェイ上で任意のコマンド実行が可能になることが判明している。1つ目の脆弱性 CVE-2023-46805 は、ゲートウェイの Web コンポーネントにおける認証バイパスであり、制御チェックを回避する攻撃者に対して、制限されたリソースへのアクセスを許すものである。そして、2つ目の脆弱性 CVE-2024-21887 は、コマンド・インジェクションを許すものである。 したがって、認証された管理者が、特別に作成されたリクエストを送信することで、脆弱なアプライアンス上での任意のコマンド実行が可能になるという。
Continue reading “Ivanti が警告:脆弱性 CVE-2023-46805/CVE-2024-21887 の連鎖が生み出す最悪の事態”US SEC’s X account hacked to announce fake Bitcoin ETF approval
2024/01/09 BleepingComputer — 2024年1月9日に、米国証券取引委員会 SEC の X アカウントがハッキングされた。同日の午後には、ハッキングされた SEC のアカウントから、証券取引所における Bitcoin ETF の承認に関するフェイク情報が投稿された。投稿された内容は、「今日に、SEC は、Bitcoin ETF の登録証券取引所への上場を承認した。承認された Bitcoin ETF は、継続的な投資家保護を確保するため、継続的な監視とコンプライアンス措置の対象となる」というものだ。
Continue reading “米 SEC の X アカウントのハッキング :Bitcoin ETF 承認のフェイク・ニュースが投稿”Hacked Mandiant X Account Abused for Cryptocurrency Theft
2024/01/04 SecurityWeek — 2024年1月3日に、Mandiant の X (旧 Twitter) アカウントがハッキングされ、暗号通貨詐欺を目的とした Web サイトへと、ユーザーを誘い込むために悪用されていたことが判明した。Google Cloud の一部である Mandiant のアカウントは、”Phantom” により改名され、プロフィール画像と説明文が変更されており、正規の暗号通貨ウォレットである Phantom Wallet と関連があるかのように改ざんされていた。
Continue reading “Mandiant の X (旧 Twitter) アカウント乗っ取りが発生:Phantom 暗号通貨詐欺に悪用”CVE-2023-7102: A zero-day flaw affects Barracuda Email Security Gateway
2023/12/25 SecurityOnline — 複雑なサイバー・セキュリティの世界において、いまの Barracuda Networks が直面しているのは、Spreadsheet::ParseExcel ライブラリに存在する、2つのゼロデイ脆弱性 CVE-2023-7102/CVE-2023-7101 という難題である。これらの脆弱性は、サードパーティ・ライブラリ Spreadsheet::ParseExcel の任意のコード実行 (ACE:Arbitrary Code Execution) の欠陥に起因するものであり、中国の脅威アクター UNC4841 による悪用が確認されている。また、この脆弱性は、同社の Email Security Gateway (ESG) デバイスを標的として、メールに添付されたファイル (Excel 形式) を介して悪用されていたことが、Barracuda と Mandiant の共同調査で判明している。
Continue reading “Barracuda ESG におけるゼロデイ脆弱性 CVE-2023-7102:エクスプロイトも観測?”Xfinity discloses data breach affecting over 35 million people
2023/12/18 BleepingComputer — 12月18日に Comcast Cable Communications が明らかにしたのは、Xfinity 事業のシステムから、顧客の機密情報が窃取されたことである。その原因は、10月の時点で、同社の Citrix Server で発生した不正侵入にあるという。同社が 10月25日に発見したのは、10月16日〜10月19日において、同社のネットワーク上で悪意の活動が行われていた証拠である。Citrix Bleed と呼ばれる深刻な脆弱性 CVE-2023-4966 に対処したセキュリティ・アップデートが、Ctrix からリリースされてから、およそ2週間後の出来事だった。
Continue reading “Comcast で発生した Citrix Bleed CVE-2023-4966 侵害:3500万人以上の個人情報が漏えい”Citrix warns admins to kill NetScaler user sessions to block hackers
2023/11/21 BleepingComputer — 11月21日に Citrix が管理者に呼びかけたのは、NetScaler アプライアンスの脆弱性 Citrix Bleed (CVE-2023-4966) に対するパッチを適用した後であっても、追加の対策を講じて脆弱なデバイスを保護する必要があることだ。必要なセキュリティ・アップデートを適用するだけでは不十分であり、以前のユーザー・セッションを全て消去し、アクティブなセッションを全て終了することが推奨されている。現在進行中の Citrix Bleed 悪用の攻撃で認証トークンが盗み出され、パッチを適用した後であっても侵害したデバイスへの不正アクセスが可能という状況を考えると、このステップは、きわめて重要である。
Continue reading “Citrix NetScaler のセッションは削除すべき:脆弱性 CVE-2023-4966 対策を提示”Google Warns How Hackers Could Abuse Calendar Service as a Covert C2 Channel
2023/11/06 TheHackerNews — Google Calendar サービスを悪用して、Command and Control (C2) インフラをホストする PoC エクスプロイトを、複数の脅威アクターが共有していることを、Google 自身が警告している。この、Google Calendar RAT (GCR) と呼ばれるツールは、Gmail アカウントを介して、C2 サーバとして Google Calendar Events を悪用するものだ。そして、2023年6月に GitHub に公開さてから、脅威アクターたちの間で共有されているという。
Continue reading “Google Calendar の悪用が露見:イベント記述を介して C2 通信が行われる”Hackers use Citrix Bleed flaw in attacks on govt networks worldwide
2023/11/01 BleepingComputer — Citrix Bleed と名付けられた 脆弱性CVE-2023-4966 を悪用する攻撃者が、南北アメリカ/ヨーロッパ/アフリカ/アジア太平洋地域の、政府/技術/法律などの組織を標的としている。Mandiant の研究者たちによると、現在進行中の4つのキャンペーンはCitrix NetScaler ADC/Gateway アプライアンスの脆弱性を標的としており、2023年8月下旬から攻撃が行われているようだ。
Continue reading “Citrix Bleed を解析:セッション・クッキー窃取と LOLBIN によるステルス化”Citrix Bleed: Mass exploitation in progress (CVE-2023-4966)
2023/10/30 HelpNetSecurity — Citrix NetScaler ADC/Gateway デバイスに影響を及ぼす、深刻な情報漏えいの脆弱性 CVE-2023-4966 (Citrix Bleed) が、脅威アクターたちにより積極的に悪用されている。セキュリティ研究者である Kevin Beaumont によると、あるランサムウェア・グループが、Citrix Bleed 攻撃チェーンを自動化するための Python スクリプトを配布し、また、その他のグループは、実用的なエクスプロイトを活用し始めているという。
Continue reading “Citrix Bleed CVE-2023-4966:Python による自動攻撃チェーンが出回っている”Citrix warns admins to patch NetScaler CVE-2023-4966 bug immediately
2023/10/23 BleepingComputer — 10月23日 (月) に Citrix が発表したのは、脆弱性 CVE-2023-4966 のを悪用する攻撃から、すべての NetScaler ADC/Gateway アプライアンスを直ちに保護すべきだという警告である。Citrix は2週間前に、この深刻な機密情報漏洩の脆弱性 CVE-2023-4966 (CVSS 9.4) にパッチを適用した。この脆弱性は、未認証の脅威アクターが、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモートから悪用できるものだとされる。
Continue reading “Citrix NetScaler の脆弱性 CVE-2023-4966:いくつかの悪用の事例が確認されている”
IoT OT Security News 
You must be logged in to post a comment.