Security – IoT OT Security News

新規の脅威アクター Storm-0501：オンプレからクラウドに侵入して Microsoft 365 アカウントを狙う

Ransomware attackers hop from on-premises systems to cloud to compromise Microsoft 365 accounts

2024/09/30 HelpNetSecurity — RaaS (ransomware-as-a-service) 組織の１つである Storm-0501 が、標的のクラウドとオンプレミスの環境を侵害していることが確認された。9月26日に公開したブログで Microsoft は、「最新の脅威アクターである Storm-0501 は、企業のオンプレミス環境からクラウド環境へと移動するために、脆弱な認証情報や過剰な特権のアカウントを悪用していることが確認された。彼らは認証情報を盗み、それを使ってネットワークを制御し、最終的にクラウド環境への持続的なバックドア・アクセスを確立する。そして、オンプレミスにランサムウェアを展開していた」と詳述している。

FileSender の脆弱性 CVE-2024-45186 が FIX：認証情報の漏えいなどが生じる恐れ

CVE-2024-45186: FileSender Vulnerability Poses Risk to User Credentials, Immediate Action Required

2024/09/13 SecurityOnline — 大容量ファイルを安全に送信するための機能を、認証済みのユーザーに提供する Web アプリ FileSender に、深刻なセキュリティ上の欠陥が確認された。このサーバ・サイド・テンプレート・インジェクションの脆弱性 CVE-2024-45186 の悪用に成功した未認証の攻撃者は、サーバの認証情報の取得を達成し、機密データやシステムを危険にさらす可能性を手にする。なお、この脆弱性は、セキュリティ研究者の Jonathan Bouman により発見されたものだ。

Citrix Workspace App の脆弱性 CVE-2024-7889／7890 が FIX：権限昇格が生じる恐れ

Citrix Workspace App Users Urged to Update Following Two Privilege Escalation Flaws

2024/09/13 SecurityOnline — Citrix Workspace App for Windows に影響を及ぼす、２つの脆弱性 CVE-2024-7889／CVE-2024-7890 に関するセキュリティ勧告が、Cloud Software Group から公表された。これらの脆弱性の悪用に成功した、低レベルのアクセス権を持つ攻撃者は、権限を最高レベル (SYSTEM) に昇格させ、侵害したシステムを完全に制御する可能性を手にする。

CrowdStrike 障害の余波：Windows カーネル連携方法の再設計を Microsoft が発表

Post-CrowdStrike Fallout: Microsoft Redesigning EDR Vendor Access to Windows Kernel

2024/09/13 SecurityWeek — Microsoft が発表した計画は、CrowdStrike のアップデートの不具合により、7月に発生した世界的な IT 障害に対応するものであり、Windows カーネルとマルウェア対策製品との連携方法を再設計するものである。現時点においては、この再設計に関する技術的な詳細は公表されていない。しかし Microsoft は、セキュリティ・ベンダーが “outside of kernel mode” を活用するための、新たなプラットフォームとしての機能を Windows 11 に搭載し、ソフトウェアの信頼性を確保する予定だとしている。

Spring Security の脆弱性 CVE-2024-38810 が FIX：アプリに未認証アクセスの可能性

CVE-2024-38810: Spring Security Flaw Leaves Applications Open to Unauthorized Access

2024/08/20 SecurityOnline — Spring Security で、深刻度の高い脆弱性 CVE-2024-38810 が発見された。この脆弱性の影響を受けるアプリケーションにおいては、機密データへの不正アクセスが生じる可能性があるという。この脆弱性は、Spring Security のバージョン 6.3.0／6.3.1 に影響を及ぼす。

サイバー攻撃に対する検知能力：悪意のアクションの 44% が見逃されている – Picus Security

Organizations fail to log 44% of cyber attacks, major exposure gaps remain

2024/08/02 HelpNetSecurity — Picus Security の BLUE REPORT 2024 によると、同社が自動侵入テストを実施したところ、テスト環境の 40％において、ドメイン管理者アクセスにつながる攻撃が可能だったという。ドメイン管理者アクセス権の獲得は、組織の IT インフラ内で最高レベルのアクセス権であり、攻撃者にマスターキーを与えるようなものであるため、特に懸念される。このレポートは、Picus Security Validation Platform によりシミュレートされた、1億3600万件以上のサイバー攻撃の、世界的かつ包括的な分析に基づいている。

Spring Security の脆弱性 CVE-2024-22257 が FIX：機密システムへの不正アクセスが生じる恐れ

CVE-2024-22257: Spring Security Flaw Opens Door to Broken Access Control Attacks

20224/03/18 SecurityOnline — Java ベースのアプリケーション保護に広く使われているフレームワーク Spring Security に、深刻な脆弱性が発見された。この脆弱性は CVE-2024-22257 (深刻度 “High”) の悪用に成功した攻撃者は、認証をバイパスして機密システムに不正アクセスすることが可能になるという。

X.Org Server の脆弱性 CVE-2023-6377／CVE-2023-6478 が FIX：直ちにアップデートを！

X.Org Server’s Latest Security Update: A Closer Look at CVE-2023-6377 and CVE-2023-6478

2023/12/20 SecurityOnline — 先日に X.Org は、X.Org Server と XWayland に存在する、２つの深刻な脆弱性 CVE-2023-6377／CVE-2023-6478 に対処するアップデートをリリースした。これらの脆弱性は、現代のソフトウェア環境の複雑さと、入り組んだ状況、そして、強固なセキュリティ対策の継続的な必要性を浮き彫りにしている。

Google Play にインド APT 由来のスパイウェア：VPN／Chat アプリを装っていた

Android spyware camouflaged as VPN, chat apps on Google Play

2023/06/19 BleepingComputer — Google Play 上の３件の Android アプリが、標的のデバイスから位置情報や連絡先リストなどを収集するに、国家に支援された脅威アクターにより運用されていたことが判明した。それらの悪意の Android アプリを発見した Cyfirma は、「遅くとも 2018年以降において、東南アジアの著名な組織を標的としている、インドのハッキング・グループ APT-C-35 (DoNot) が操作していたと、中程度の信頼性で判断している」と述べている。

アプリケーションのセキュリティを基本路線に引き戻すには

Getting Application Security Back on the Rails

2021/08/09 StateOfSecurity — 米国の National Institute of Standards and Technology (NIST) は Interagency Report 7695 において、アプリケーションを「コンピュータを用いてデータを収集／保存／処理／表示するためのシステム」と定義している。この広範な用語には、エンタープライズ・アプリケーションと、コンシューマ・アプリケーション、さらにはモバイル・アプリも含まれる。セキュリティは、これらすべてのタイプのアプリケーションで重要だが、その焦点は必ずしも同じではない。以下、その理由を見ていこう。