Palo Alto Networks – IoT OT Security News

SBOM の品質をチェック：米政府基準の最小限要素を満たすものは１％に過ぎない

Chainguard Trains Spotlight on SBOM Quality Problem

2023/01/19 SecurityWeek — ソフトウェア部品表で品質を管理しているソフトウェア・エンジニアが、驚くべき発見をした。現時点で作成されている SBOM のうち、米国政府が定義した「最小限の要素」を満たしているものは、わずか 1% に過ぎないというのだ。ソフトウェア・サプライチェーン・セキュリティの企業である Chainguard の新しいデータによると、既存のツールで生成された SBOM は、ソフトウェアの脆弱性／ライセンス／在庫の追跡を管理するために、SBOM 内で定義されている必要最小限のデータフィールドを満たしていないことが判明した。

WAF に JSON を投げ込む攻撃手法：バイパスが可能になるという Claroty の調査

Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls

2022/12/10 TheHackerNews — さまざまなベンダーの Web Application Firewalls (WAF) を回避したシステムへの侵入により、企業や顧客の機密情報へのアクセスを、脅威アクターに許す可能性のある、新たな攻撃方法が発見された。WAF は重要な防衛線であり、Web アプリケーションとの間で HTTP (S) トラフィックをフィルタリング／監視／ブロックし、CSRF／XSS／SQL インジェクション／ファイル・インクルードなどの攻撃からシステムを保護するものだ。

Palo Alto PAN-OS の脆弱性 CVE-2022-0030 が FIX：認証バイパスの恐れ

Palo Alto Networks fixed a high-severity auth bypass flaw in PAN-OS

2022/10/15 SecurityAffairs — Palo Alto Networks は、PAN-OS 8.1 に影響する深刻な認証バイパスの脆弱性 CVE-2022-0030 (CVSS：8.1) に対処するセキュリティ・パッチをリリースした。Palo Alto Networks はアドバイザリで、「Palo Alto Networks PAN-OS 8.1 の Web インターフェイスに、認証バイパスの脆弱性が存在する。この脆弱性により、同社の Firewall／Panorama アプライアンスに対して、特定の知識を持つネットワーク・ベースの攻撃者が、既存の PAN-OS 管理者になりすました操作が可能になる」と述べている。

CISA 警告 22/08/22：PAN-OS の深刻な脆弱性 CVE-2022-0028 を KEV リストに追加

CISA Warns of Active Exploitation of Palo Alto Networks’ PAN-OS Vulnerability

2022/08/23 TheHackerNews — 月曜日に米国の CISA は、Palo Alto Networks の PAN-OS に影響を与えるセキュリティ上の欠陥を、活発に悪用されている証拠に基づき、悪用脆弱性リスト (KEV：Known Exploited Vulnerabilities Catalog) に追加した。

OCFS でセキュリティ・アラートを正規化：AWS と Splunk が Black Hat で発表

New Cross-Industry Group Launches Open Cybersecurity Framework

2022/08/12 DarkReading — BLACK HAT USA – LAS VEGAS — Amazon Web Services (AWS) と Splunk は、各種の監視システムにおけるセキュリティ・アラートの標準化を推進するために、18種類のシステムおよびセキュリティ・ベンダーによる、業界としての取り組みを主導していく。その目的は、セキュリティ・チームのためにあり、セキュリティ・データを迅速に取り込み分析するための、ベンダーにとらわれない簡素化された分類法を提供することにある。

Palo Alto Networks 警告：PAN-OS に DDoS 攻撃参加を許す脆弱性 CVE-2022-0028

Palo Alto Networks: New PAN-OS DDoS flaw exploited in attacks

2022/08/12 BleepingComputer — Palo Alto Networks は、同社のネットワーク・ハードウェア製品で使用されている PAN-OS に存在する、深刻度の高い脆弱性を警告するセキュリティ・アドバイザリを発表した。この脆弱性 CVE-2022-0028 (CVSS v3 : 8.6) は、URL フィルタリング・ポリシーの設定ミスにより、未認証のリモート攻撃者による増幅された TCP サービス拒否 (DoS) 攻撃を許すものとなる。

LockBit 3.0 と BlackMatter の関係を分析：専門家たちが指摘する類似点とは？

2022/07/27 TheHackerNews — サイバー・セキュリティ研究者たちは、ランサムウェア LockBit の最新版と、2021年11月に消えたランサムウェア DarkSide のリブランド版 BlackMatter との類似性を、あらためて指摘している。LockBit 3.0(LockBit Black) と呼ばれる新バージョンは、2022年6月にリリースされ、暗号通貨の支払いオプションとして Zcash を追加し、新しいリークサイトとバウンティプログラムを立ち上げた。

ロシアの国家支援 APT29 ハッキング・グループ：DropBox／Google を介してマルウェアを配布

Russian Hackers Using DropBox and Google Drive to Drop Malicious Payloads

2022/07/19 TheHackerNews — APT29 として知られるロシアの国家支援されたハッキング・グループが、Google Drive や Dropbox などの正規のクラウド・サービスを利用して、侵害したシステム上に悪意のペイロードを配信するという、新しいフィッシング・キャンペーンを立ち上げていることが判明した。

Brute Ratel C4 という強力なレッドチーム・ツール：Cobalt Strike のように悪意のペイロード化するのか？

2022/07/06 SecurityAffairs — Palo Alto Networks Unit 42 の研究者は、2022年5月19日にVirusTotal データベースにアップロードされたことで、大半のアンチウイルス製品が良性と判断していたサンプルに、レッドチーム／敵対攻撃シミュレーションのためのツールである、Brute Ratel C4 (BRc4) に関連するペイロードが含まれていたことを発見した。Cobalt Strike Beacons とは異なり、BRc4 ペイロードは普及していないが、同様の機能を備えている。このツールは、EDR (endpoint detection and response) や AV (antivirus) などによる、セキュリティ検出を回避するように設計されている。VirusTotal 上のベンダー間で検知されなかったことからも、このツールの有効性は明らかだ。

HP Teradici PCoIP に影響をおよぼす OpenSSL の脆弱性 CVE-2022-0778

Critical HP Teradici PCoIP flaws impact 15 million endpoints

2022/04/12 BleepingComputer — HP は、Windows／Linux／macOS 向けの Teradici PCoIP クライアント／エージェントに存在する深刻な脆弱性が、1500万台のエンド・ポイントに影響を与える可能性があるとして、警告を発している。先日に公開された OpenSSL 証明書解析バグにより、Teradici にに無限ループが生じることが発見された。

Palo Alto Networks の Firewall／VPN に OpenSSL の脆弱性が影響をおよぼす

Palo Alto Networks firewalls, VPNs vulnerable to OpenSSL bug

2022/04/07 BleepingComputer — 4月2日に、米国のサイバー・セキュリティ企業である Palo Alto Networks は、同社の Firewall／VPN／XDR 製品の一部に、３週間前に公開された深刻度の高い OpenSSL 無限ループの脆弱性 CVE-2022-0778 が存在すると顧客に警告した。この脆弱性の悪用に成功した脅威アクターは、サービス拒否状態を引き起こし、未パッチのソフトウェアを実行しているデバイスを、リモートからクラッシュさせることが可能となる。

OpenSSL の脆弱性 CVE-2022-0778 の追跡調査：各ベンダーたちの現状について

Cybersecurity Vendors Assessing Impact of Recent OpenSSL Vulnerability

2022/03/31 SecurityWeek — ３月の初めに発生した OpenSSL の脆弱性が、自社の製品やサービスに与える影響について、セキュリティ／クラウド／ストレージなどのベンダーたちが評価を進めている。OpenSSL プロジェクトが公開した更新プログラムでは、証明書の解析に関連する深刻度の高いサービス拒否 (DoS) 脆弱性に対してパッチが適用されている。このセキュリティ・ホールは、Google の脆弱性研究者である Tavis Ormandy が報告したものであり、CVE-2022-0778 として追跡され、OpenSSL の Ver 1.0.2／1.1.1／3.0 に影響を及ぼしている。このリリースにより、Ver 1.0.2zd／1.1.1n／3.0.2 で修正されている。

Linux Kernel cgroups に存在するコンテナ・エスケープの脆弱性 CVE-2022-0492 が FIX

CVE-2022-0492 flaw in Linux Kernel cgroups feature allows container escape

2022/03/06 SecurityAffairs — Linux カーネルの脆弱性 CVE-2022-0492 (CVSS: 7.0) にパッチが適用されたが、この脆弱性の悪用に成功した攻撃者には、コンテナをエスケープし、コンテナ・ホスト上で任意のコマンドを実行する可能性が生じる。この問題は、cgroups (control groups) と呼ばれるプロセスの集合体に関するリソース使用量 (CPU／メモリ／ディスクI/O／ネットワーク) を算出／分離／制限するための、Linux カーネルの機能に影響をおよぼす特権昇格の欠陥である。

医療用輸液ポンプのセキュリティ：古いデバイスの古い脆弱性が危険な状況に

Infusion Pumps Impacted by Years-Old Critical Vulnerabilities: Report

2022/03/03 SecurityWeek — Palo Alto Networks の Unit 42 の研究者たちによると、約10万台以上の医療用輸液ポンプが、３年ほど前に公開された深刻な脆弱性の影響を受けていることが判明した。医療機関や病院のネットワーク上に存在する、20万台以上の輸液ポンプをスキャンした結果、これらのネットワーク接続機器の 75％が既知の脆弱性の影響を受け、サイバー攻撃の可能性にさらされていることが判明した。

CISA が編纂するリスト：サイバー・セキュリティのための無償ツール／サービス

CISA compiles list of free cybersecurity tools and services

2022/02/19 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃からの防御を強化し、組織のセキュリティ能力を高めるための、無料のサイバー・セキュリティ・サービス／ツールのリストを公開した。このリストは、包括的なものではなく、また、変化にも対応できるものだが、サイバー・セキュリティ・プログラムのための、基本的なセキュリティ対策と組み合わせることで、企業のサイバー・セキュリティ・リスク管理を成熟させることを目的としている。

ロシアのハッキング・グループ Gamaredon：標的はウクライナの西側政府組織

Russian Gamaredon Hackers Targeted ‘Western Government Entity’ in Ukraine

2022/02/04 TheHackerNews — 先月に、ロシアのハッキング・グループ Gamaredon は、ウクライナで活動する欧米政府機関への侵入を試みましたが、それは両国間の緊張が続く中でのことだった。Palo Alto Networks 脅威インテリジェンス・チーム Unit 42 は、2月3日に公開した新しいレポートの中で、「このフィッシング攻撃は 1月19日に行われたと述べ、別のフィッシングやマルウェアをサポートするために使用されている、彼らのインフラの３つの大規模なクラスターをマッピングした」と付け加えている。

Microsoft RDP 脆弱性 CVE-2022-21893：データ窃取やスマートカード PIN 傍受が生じる

Microsoft RDP Bug Enables Data Theft, Smart-Card Hijacking

2022/01/13 DarkReading — 少なくとも、Microsoft Windows Server 2012 R2 以降のシステムは、Remote Desktop Services プロトコルの脆弱性の影響を受けるようだ。この脆弱性により、RDP 経由でリモートシステムに接続した攻撃者は、接続している正当なユーザーたちの、そのマシン上のファイル・システムにアクセスすることが可能になる。

Hikvision の脆弱性 CVE-2021-36260：Mirai ベースの Moobot ボットネットが狙っている

Moobot botnet spreads by exploiting CVE-2021-36260 flaw in Hikvision products

2021/12/09 SecurityAffairs — Mirai_based Moobot ボットネットは、Hikvision の Web サーバーに存在する、コマンド・インジェクションの脆弱性 CVE-2021-36260 を悪用して、急速に広まっている。Moobot は、2021年2月に Palo Alto Unit 42 の研究者たちにより発見されたものだが、最近の攻撃ではマルウェアの機能が強化されていることが判明している。

Palo Alto Networks が拡張するクラウドのためのセキュリティ・ポートフォリオとは？

Palo Alto Networks Extends Cloud Security Portfolio

2021/11/16 SecurityBoulevard — Palo Alto Networks は、オンライン会議 Ignite ’21 において、セキュリティ・プラットフォーム Prisma Cloud 3.0 を発表し、クラウド・インフラを保護するツールと、アプリケーションを保護するエージェントレス・オプションを追加すると述べた。同時に、Cloud Access Security Broker (CASB) を刷新し、機械学習アルゴリズム／NLP (自然言語処理) を活用することで、何千もの SaaS アプリケーションのデータを即時的／自動的に保護するという。

Palo Alto の GlobalProtect VPN で深刻なゼロデイ脆弱性が発見された

Palo Alto Warns of Zero-Day Bug in Firewalls Using GlobalProtect Portal VPN

2021/11/10 TheHackerNews — Palo Alto Networks の GlobalProtect VPN における、新たなゼロデイ脆弱性が公開された。この脆弱性を悪用すると、認証されていないネットワークベースの攻撃者が、感染したデバイス上で root ユーザー権限で、任意のコードを実行することが可能となる。この、CVE-2021-3064 (CVSS：9.8) として追跡されているセキュリティ上の弱点は、PAN-OS 8.1.17 より前の PAN-OS 8.1x に影響する。マサチューセッツ州のサイバーセ・キュリティ企業である Randori が、この問題を発見／報告している。

CISA／FBI 警告：Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害

Experts Detail Malicious Code Dropped Using ManageEngine ADSelfService Exploit

2021/11/08 TheHackerNews — Zoho ManageEngine ADSelfService Plus における、セルフサービス・パスワード管理およびシングル・サインオン (SSO) のソリューションだが、先日にパッチが適用された深刻な脆弱性を悪用され、テクノロジー／防衛／ヘルスケア／エネルギー／教育などの業界の、少なくとも９組織が不正な侵入を許してしまった。

中国系ハッキング・グループが Zoho の脆弱性を介して世界のインフラを狙っている

Hackers with Chinese links breach defense, energy targets, including one in US

2021/11/01 CyberScoop — 中国政府系のハッキング・グループと、類似した戦術とツールを用いたスパイ活動により、世界各地の防衛／教育／エネルギー／医療などの９つの組織が、９月以降に侵入を許していたことが、新たな調査で明らかになった。日曜日に Palo Alto Networks は、米国 National Security Agency の Cybersecurity Collaboration Center の協力を得て、この調査結果を発表した。同センターは、主に防衛関連企業と協力して脅威情報の収集と共有を行っている。

Microsoft Azure クロス・アカウント・コンテナ乗っ取りの脆弱性が FIX

Microsoft fixes bug letting hackers take over Azure containers

2021/09/09 BleepingComputer — Microsoft は、Azure Container Instances に存在する、Azurescape と呼ばれる脆弱性を修正した。この脆弱性により、プラットフォーム上の他の顧客が所有するコンテナを、悪意のコンテナが乗っ取ることが可能になる。Azurescape を悪用した攻撃者は、他のユーザーのコンテナでコマンドを実行し、プラットフォームにデプロイされている、すべてのデータにアクセスすることができるようだ。

Palo Alto Networks のクラウド誤設定検出ツール：背景にある問題とは？

Palo Alto Networks Adds Cloud Misconfiguration Tool

2021/08/31 SecurityBoulevard — 今日、Palo Alto Networks は、Bridgecrew by Prisma Cloud の機能を拡張し、複数のクラウド間でのコンフィグレーション・ドリフトを検出するためのツールを発表した。Bridgecrew Drift Detection は、オープンソースの Yor Project をベースにし、IaC テンプレートに属性と所有権の詳細を自動的にタグ付けするとともに、クラウド・リソースに伝達される固有の ID を付与する。

QNAP NAS と OpenSSL 脆弱性：現時点では対応中とのこと

QNAP works on patches for OpenSSL bugs impacting its NAS devices

2021/08/30 BleepingComputer — 先週のこと、NAS メーカーの QNAP は、OpenSSL によるパッチが適用されたリモートコード実行 (RCE) およびサービス拒否 (DoS) の脆弱性に対処するため、セキュリティ・アップデートの調査と作業を行っている。脆弱性 CVE-2021-3711 CVE-2021-3712 は、QTS / QuTS hero / QuTScloud / HBS 3 Hybrid Backup Sync を実行する QNAP NAS デバイスに影響する。

LockBit ランサムウェアが復活：セキュリティ・ベンダーたちが警鐘を鳴らす

Security Vendors Sound the Alarm on LockBit Ransomware’s Return

2021/08/19 DarkReading — 2019年に登場した Ransomware-as-a-Service (RaaS) である LockBit の運営者が再登場し、マルウェアの改良版を発表するとともに、ダークウェブや標的となる組織内からアフィリエイトを募るという、不吉で積極的なキャンペーンを展開している。

Cisco ISA/FTD/WSA をバイパスするデータ侵害が発見された

Hackers can bypass Cisco security products in data theft attacks

2021/08/19 BleepingComputer — Cisco によると、認証されていない攻撃者が、複数の製品に搭載されている TLS Inspection フィルタリング技術を回避することで、顧客のネットワーク内にある脆弱化されたサーバーから、データが流出するさ可能性があるとのことだ。この攻撃は、脅威アクターが SNI (Server Name Identification) リクエスト・フィルタリングの脆弱性を悪用することに起因し、3000 Series Industrial Security Appliances (ISAs) および、Firepower Threat Defense (FTD)、Web Security Appliance (WSA) に影響が生じる可能性がある。

QNAP と Synology の NAS を狙う eCh0raix ランサムウェアとは？

eCh0raix ransomware now targets both QNAP and Synology NAS devices

2021/08/10 BleepingComputer — 新たに発見された eCh0raix ランサムウェアの亜種は、QNAP と Synology の NAS デバイスを暗号化するための機能を追加している。このランサムウェア (QNAPCrypt とも呼ばれる) は、2016年6月に初めて表面化したものであり、BleepingComputer フォーラムのトピックで、被害者による攻撃の報告がなされてきた。このランサムウェアは、QNAP NAS デバイスに波状攻撃を仕掛けてきたが、その中でも大規模だったのは、2019年6月と 2020年6月の攻撃である。

CISA と Microsoft / Google / Amazon が連携してランサムウェアと戦う

CISA teams up with Microsoft, Google, Amazon to fight ransomware

2021/08/05 BleepingComputer — CISA が発表した官民連携の JCDC (Joint Cyber Defense Collaborative) は、ランサムウェアなどのサイバー脅威から、米国の重要インフラを守ることを目的とするものだ。この新しい取り組みは、重要インフラを標的とする悪意のサイバー活動に対する、国家としての耐性を高めるために、CISA が連邦機関および、SRTT (state / local / tribal / territorial) パートナー、民間企業と協力し、サイバー防衛計画を策定することを目的とする。CISA の Director である Jen Easterly は、「CISA と省庁間で協力して活動することに同意してくれた産業界のパートナーは、サイバー侵入から国の重要な機能を守るという共通のコミットメントと、新しいソリューションを生み出す想像力を持っている。

中国のハッカーたちが脆弱化した MS Exchange に PlugX マルウェアを注ぎ込む

Chinese Hackers Implant PlugX Variant on Compromised MS Exchange Servers

2021/07/28 TheHackerNews — 今年の３月に明らかになった、Microsoft Exchange Server の欠陥を悪用する中国のサイバー犯罪組織が、これまで文書化されていなかったリモート・アクセス・トロイの木馬 (RAT) の亜種を、東南アジア諸国の侵入したシステムに埋め込んでいる。Palo Alto Networks の脅威インテリジェンス・チームである Unit 42 は、今回の侵入を PKPLUG (別名：Mustang Panda / HoneyMyte) という名の脅威アクターによるものとし、侵入されたサーバーの１つに配信された、Thor と呼ばれるモジュール型 PlugX マルウェアの新バージョンを確認したと述べている。

Palo Alto Networks Cortex XSOAR の深刻な脆弱性 CVE-2021-3044 が FIX された

Palo Alto Networks fixes critical flaw (CVE-2021-3044) in Cortex XSOAR

2021/06/23 SecurityAffairs — Palo Alto Networks の研究者たちが、同社の Cortex XSOAR SOAR platform に影響をおよぼす欠陥を発見した。この不適切な認証の脆弱性 CVE-2021-3044 の CVSS スコアは 9.8 となっている。同社のセキュリティ・アドバイザリーには、「Palo Alto Networks Cortex XSOAR には不適切な認証の脆弱性があり、Cortex XSOAR サーバにネットワーク・アクセスした、リモートの非認証の攻撃者が、REST API を介して不正な操作を行うことができる。