Shadowserver – IoT OT Security News

CISA KEV 警告 24/05/01：GitLab の脆弱性 CVE-2023-7028 を KEV に追加

CISA says GitLab account takeover bug is actively exploited in attacks

2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS：10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。

CrushFTP の脆弱性 CVE-2024-4040：1,400 台以上のサーバが危険に晒されている

Over 1,400 CrushFTP Internet-Facing Servers Vulnerable To Cve-2024-4040 Bug

2024/04/26 SecurityAffairs — 1,400台以上の CrushFTP インターネット接続サーバが、深刻な脆弱性 CVE-2024-4040 を狙う攻撃に対して脆弱であることが判明した。CrushFTP に存在する、VFS サンドボックス・エスケープの脆弱性 CVE-2024-4040 は、Airbus CERT の Simon Garrelou により発見されたものだ。

Palo Alto の脆弱性 CVE-2024-3400：Siemens 製品に影響をおよぼすことが判明

Siemens Industrial Product Impacted by Exploited Palo Alto Firewall Vulnerability

2024/04/23 SecurityWeek — 最近に公表された Palo Alto ファイアウォールの脆弱性 CVE-2024-3400 は、遅くとも１ヶ月前から攻撃で悪用されており、 Siemens の産業用製品の１つに影響が生じたことが判明した。4月19日に公開したアドバイザリで Siemens は、Palo Alto の NGFW (Next-Generation Firewall) でコンフィグレーションされた、同社の Ruggedcom APE1808 デバイスが、CVE-2024-3400 の影響を受けている可能性があることを明らかにした。

Palo Alto の脆弱性 CVE-2024-3400：脆弱なデバイス 22,500 台がインターネット公開

22,500 Palo Alto firewalls “possibly vulnerable” to ongoing attacks

2024/04/19 BleepingComputer — 2024年3月26日以降において、Palo Alto GlobalProtect ファイアウォール・デバイス約 22,500台に、活発な攻撃で悪用されているコマンド・インジェクションの脆弱性 CVE-2024-3400 が存在する可能性があるという。この脆弱性 CVE-2024-3400 は、GlobalProtect 機能における特定の Palo Alto Networks の PAN-OS バージョンに影響するものであり、未認証の攻撃者に任意のファイル作成をトリガーとするコマンド・インジェクションを許し、その結果として root 権限でのコマンド実行にいたる可能があるという。

Ivanti の新たな脆弱性 CVE-2024-21894：日本の存在する危険なインスタンスは 2,000 ？

New Ivanti RCE flaw may impact 16,000 exposed VPN gateways

2024/04/05 BleepingComputer — インターネット上に公開されている Ivanti の Connect Secure／Poly Secure ゲートウェイ約 16,500 台に、リモートコード実行 (RCE) の脆弱性が存在する可能性がある。今週初めにベンダーが対処した、この脆弱性 CVE-2024-21894 は、Ivanti Connect Secure 9.x／22.x の IPSec コンポーネントに存在する、深刻度の高いヒープオーバーフローに起因するものだ。認証されていないユーザーが、特別に細工したリクエストを送信することにより、サービス拒否 (DoS) やリモートコード実行にいたる可能性がある。

Ivanti に新たな脆弱性 CVE-2024-21894 などが発生：RCE／DoS 攻撃の恐れ

Ivanti fixes VPN gateway vulnerability allowing RCE, DoS attacks

2024/04/03 BleepingComputer — IT セキュリティ・ソフトウェア企業 Ivanti がリリースしたのは、同社の Connect Secure／Policy Secure ゲートウェイに影響を及ぼす、複数のセキュリティ脆弱性を修正するためのパッチである。脆弱性 CVE-2024-21894 の悪用に成功した未認証の脅威アクターは、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモート・コードの実行やサービス拒否状態を、パッチを適用していないアプライアンス上で引き起こす可能性を得る。

CISA KEV 警告 24/03/25：Fortinet FortiClient EMS の脆弱性 CVE-2023-48788 の悪用

Recent Fortinet FortiClient EMS Vulnerability Exploited in Attacks

2024/03/26 SecurityWeek — 米国のサイバーセキュリティ機関 CISA は、先日に公開された Fortinet FortiClient Enterprise Management Server (EMS) の脆弱性 CVE-2023-48788 が、サイバー攻撃で悪用されているとユーザー組織に警告している。このエンタープライズ・エンドポイント管理ソリューションに影響を及ぼす脆弱性は、特別に細工されたリクエストを介して任意のコード／コマンドの実行を許すため、未認証の攻撃者により悪用される可能性のある、深刻な SQL インジェクションのバグになると説明されている。

Microsoft Exchange サーバ 1万7000台が脆弱：不適切なインターネット公開をドイツ当局が指摘

Germany warns of 17K vulnerable Microsoft Exchange servers exposed online

2024/03/26 BleepingComputer — 3月12日にドイツの国家サイバー・セキュリティ当局が警告したのは、同国内に存在する少なくとも 1万7000台の Microsoft Exchange サーバがオンライン上に露出し、重大なセキュリティ脆弱性を抱えていることだ。Federal Office for Information Security (BSI) によると、ドイツでは約4万5000台の Microsoft Exchange サーバ Outlook Web Access (OWA) を有効化しており、インターネットからアクセスできるという。これらのサーバーの約 12%は、古いバージョンの Exchange (2010／2013) を使用しており、それぞれに対するセキュリティ・アップデートは、2020年10月と2023年4月に終了している。

Fortinet FortiGate のゼロデイ脆弱性 CVE-2024-21762：PoC が公開された

PoC Releases for 0-day CVE-2024-21762 FortiGate SSLVPN Flaw, Over 133K Remain Vulnerable

2024/03/19 SecurityOnline — FortiOS SSL VPN の重大な脆弱性 CVE-2024-21762 (CVSS：9.6) に対する、PoC (Proof-of-concept) エクスプロイト・コードが公開された。この脆弱性は、リモート・コード実行 (RCE：Remote Code Execution) につながる可能性を持ち、また、悪用を示唆する強力な証拠も発見されている。

VMware ESXi の脆弱性 CVE-2024-22252：16,000 台ものインスタンスが危険に晒されている

Thousands of VMware ESXi Instances Exposed to Critical CVE-2024-22252 Vulnerability

2024/03/10 SecurityOnline — 約 16,500 台の VMware ESXi インスタンスに、深刻なセキュリティ脆弱性 CVE-2024-22252 が存在していることが判明したと、Shadowserver Foundation のセキュリティ研究者たちが警鐘を鳴らしている。この脆弱性の悪用に成功した攻撃者は、影響を受けたシステム上で悪意のコードを実行する可能性がある。

FortiOS／FortiProxy の脆弱性 CVE-2024-21762：150,000 台のデバイスが危険に晒されている

Critical Fortinet flaw may impact 150,000 exposed devices

2024/03/08 BleepingComputer — 約 150,000 台の Fortinet FortiOS／FortiProxy が、深刻なセキュリティ脆弱性 CVE-2024-21762 の危険に晒されていることが、Shadowserver のスキャンにより判明した。この脆弱性の悪用に成功した攻撃者は、認証なしでコード実行を行う可能性がある。2024年2月に、米国のサイバー防衛局である CISA (Cybersecurity and Infrastructure Security Agency) は、この脆弱性を KEV (Known Exploited Vulnerabilities Catalog) カタログに追加し、この脆弱性が攻撃者たちにより積極的に悪用されていることを警告している。

ConnectWise ScreenConnect の脆弱性：LockBit ランサムウェアによる攻撃が続いている

New ScreenConnect RCE flaw exploited in ransomware attacks

2024/02/22 BleepingComputer — ConnectWise ScreenConnect に存在する脆弱性の悪用に成功した攻撃者が、パッチ未適用のサーバに侵入し、侵害したネットワーク上に LockBit ランサムウェアのペイロードを展開している。この認証バイパスの脆弱性 CVE-2024-1709 (CVSS：10.0) の悪用が始まったのは、ConnectWise がセキュリティ更新プログラムをリリースし、複数のサイバー・セキュリティ企業が PoC エクスプロイトを公開した翌日の、2月20日 (火) からである。さらに ConnectWise は、深刻度の高いパス・トラバーサル脆弱性 CVE-2024-1708 に対しても、パッチを適用している。

Microsoft Exchange の脆弱性 CVE-2024-21410：28,500 台以上のサーバが危険な状況

Over 28,500 Exchange servers vulnerable to actively exploited bug

2024/02/19 BleepingComputer — 最大で 97,000台の Microsoft Exchange サーバに、深刻な権限昇格の脆弱性 CVE-2024-21410 が存在する可能性があることが判明した。2月13日に Microsoft は、この脆弱性に対処したが、その時点で既にゼロデイとして悪用されていたようだ。現時点において、28,500台のサーバに脆弱性があることが確認されている。

Ivanti の SSRF 脆弱性 CVE-2024-21893：新たな DSLog バックドアの展開に悪用される

Hackers exploit Ivanti SSRF flaw to deploy new DSLog backdoor

2024/02/12 BleepingComputer — Ivanti Connect Secure／Policy Secure／ZTA Gateway の SSRF (Server-Side Request Forgery) 脆弱性の悪用に成功した攻撃者が、脆弱なデバイス上に新しい DSLog バックドアを展開していることが分かった。この脆弱性 CVE-2024-21893 は、2024年1月31日にアクティブに悪用されるゼロデイとして公開されたものであり、Ivanti からはセキュリティ・アップデートと緩和策が共有されている。

Ivanti ICS に新たな脆弱性 CVE-2024-22024：パッチ適用までの緩和策とは？

Ivanti: Patch new Connect Secure auth bypass bug immediately

2024/02/08 BleepingComputer — 2月8日に Ivanti は、Connect Secure／Policy Secure／ZTA Gateway に影響を及ぼす、新たな認証バイパスの脆弱性について警告し、管理者たちにアプライアンスを直ちに保護するよう促した。この脆弱性 CVE-2024-22024 は、ゲートウェイの SAML コンポーネントの XXE (XML eXternal Entities) に起因するものである。その悪用に成功したリモート攻撃者は、ユーザーの操作や認証を必要としない低複雑度の攻撃で、パッチ未適用のアプライアンス上の制限されたリソースにアクセスできるという。

JetBrains TeamCity の RCE 脆弱性 CVE-2024-23917 が FIX：ただちにパッチを！

JetBrains warns of new TeamCity auth bypass vulnerability

2024/02/06 BleepingComputer — 2月6日に JetBrains が公表したアドバイザリは、TeamCity On-Premises サーバに存在する、深刻な認証バイパスの脆弱性に関するものである。管理者の権限を不正に取得した攻撃者により、脆弱なインスタンスが乗っ取られる可能性があるとして、同社はパッチを適用するようユーザーに促している。

Ivanti の新たな脆弱性 CVE-2024-21888／CVE-2024-21893：攻撃が急増している

Experts Warn Of A Surge Of Attacks Targeting Ivanti SSRF Flaw

2024/02/05 SecurityAffairs — Ivanti の SSRF (Server-Side Request Forgery) の脆弱性 CVE-2024-21893 が、最近のサイバー攻撃で、さまざまな脅威アクターにより活発に悪用されている。1月31日に Ivanti が発した警告は、同社の Connect Secure／Policy Secure ソリューションに、それぞれ２つの新たな深刻な脆弱性 CVE-2024-21888 (CVSS：8.8)／CVE-2024-21893 (CVSS：8.2) が存在するというものだ。同社によると、CVE-2024-21893 は、野放し状態で活発に悪用されているという。

Jenkins サーバ 45,000台への攻撃が始まる？ PoC エクスプロイトも公開済み

45k Jenkins servers exposed to RCE attacks using public exploits

2024/01/29 BleepingComputer — Jenkins には、深刻なリモート・コード実行の脆弱性 CVE-2023-23897 が存在する。そして研究者たちは、この脆弱性を持つ約 45,000 のインスタンスがオンラインで公開されていることを確認している。Jenkins は、CI/CD のための主要なオープンソースの自動化サーバであり、ビルド／テスト／デプロイのプロセスを合理化するものだ。また、広範なプラグインをサポートしており、さまざまなミッションや規模の組織に対応している。

GitLab の深刻な脆弱性 CVE-2023-7028：5,300 台のインスタンスが危険な状態

Over 5,300 GitLab servers exposed to zero-click account takeover attacks

2024/01/24 BleepingComputer — 2024年1月に発見された、GitLab のゼロクリック・アカウント乗っ取りの脆弱性 CVE-2023-7028 (CVSS：10.0) の脆弱性だが、インターネット上に公開されている 5,300 以上のインスタンスで放置されていることが判明した。この脆弱性の悪用に成功した攻撃者は、標的アカウントのパスワード再設定メールを自身が管理するメールアドレスに送信させ、パスワードを変更して対象のアカウントを乗っ取ることが可能になる。

CISA KEV 警告 24/01/18：Ivanti の脆弱性 CVE-2023-35082 を追加

CISA: Critical Ivanti auth bypass bug now actively exploited

2024/01/18 BleepingComputer — CISA は、Ivanti の Endpoint Manager Mobile (EPMM) および MobileIron Core デバイス管理ソフトウェアに存在する、深刻な認証バイパスの脆弱性が、いまも積極的に悪用されていると警告している。この、2023年8月にパッチ適用済の脆弱性 CVE-2023-35082 は、認証を必要としないリモートからの API アクセスの脆弱性であり、EPM 11.10／11.9／11.8 および MobileIron Core 11.7 以下の、すべてのバージョンに影響を及ぼすものだ。

Citrix Netscaler の２つのゼロデイ脆弱性：すでに悪用が観測されている

Citrix warns of new Netscaler zero-days exploited in attacks

2024/01/16 BleepingComputer — 1月16日 (火) に Citrix は、オンラインで公開されている Netscaler ADC／Gateway アプライアンスで積極的に悪用されている、２つのゼロデイ脆弱性に対して直ちにパッチを適用するよう顧客に促した。このゼロデイ脆弱性 CVE-2023-6548／CVE-2023-6549 は、Netscaler の管理インターフェイスに影響を及ぼすものであり、パッチが適用されていないインスタンスで、リモートコード実行やサービス拒否の攻撃が生じる恐れがある。

SonicWall NGFW の DoS／RCE 脆弱性：178,000 台以上の脆弱なアプライアンスと PoC エクスプロイト

Over 178K SonicWall firewalls vulnerable to DoS, potential RCE attacks

2024/01/15 BleepingComputer — SonicWall Next-Generation Firewalls (NGFW) の、管理インターフェイスがオンラインで公開されている 178,000 台以上のファイアーウォールにおいて、 DoS (Denial-of-Service) 攻撃および RCE (Remote Code Execution) 攻撃が起こり得ることが、セキュリティ研究者たちにより発見された。これらのアプライアンスには、２つの DoS 脆弱性 CVE-2022-22274／CVE-2023-0656 が存在している。そして、１つ目の脆弱性は、リモート・コード実行につながる可能性もあるという。

Ivanti Connect Secure の２つの脆弱性：複数の脅威アクターにより攻撃がエスカレート

Ivanti Connect Secure zero-days now under mass exploitation

2024/01/15 BleepingComputer — Ivanti の Connect Secure VPN および Policy Secure Network Access Control (NAC) アプライアンスに影響を及ぼす、２つのゼロデイ脆弱性が大規模なレベルで悪用されている。脅威インテリジェンス企業 Volexity が発見した、このゼロデイ脆弱性は 2023年12月以降の攻撃で悪用されてきた。そして、2024年1月11日からは複数の脅威グループが、CVE-2023-46805 (認証バイパス) および CVE-2024-21887 (コマンド・インジェクション) 脆弱性を連鎖させ、広範な攻撃を行っている。

Ivanti Connect Secure のゼロデイ脆弱性：カスタム・マルウェアのデプロイを観測

Ivanti Connect Secure zero-days exploited to deploy custom malware

2024/01/12 BleepingComputer — 今週に公開された Ivanti Connect Secure の２つのゼロデイ脆弱性だが、スパイ行為を目的とした複数のカスタム・マルウェア・ファミリーの展開において、2023年12月初旬から悪用されていたことが判明した。これらの脆弱性 CVE-2023-46805／CVE-2024-21887 の悪用に成功した攻撃者は、認証をバイパスして、脆弱なシステム上で任意のコマンド注入を可能にしていた。ただし Ivanti は、少数の顧客が標的にされていたに過ぎないと述べている。

Terrapin 攻撃に対して脆弱な SSH サーバ：オープンなインターネット上に 1100万台

Nearly 11 million SSH servers vulnerable to new Terrapin attacks

2024/01/03 BleepingComputer — インターネットに公開されている約 1100万台の SSH サーバが、SSH 接続の完全性を部分的に脅かす、Terrapin 攻撃に対して脆弱であるという。Terrapin 攻撃とは、SSH プロトコルを標的とし、クライアントとサーバの双方に影響を与えるものであり、ドイツの Ruhr University Bochum の学術研究者たちにより考案されたものだ。

Apache OFBiz の新たな脆弱性：懸念される Atlassian Confluence への攻撃

Apache OFBiz RCE flaw exploited to find vulnerable Confluence servers

2023/12/28 BleepingComputer — Apache OFBiz に存在する、深刻な認証前リモート・コード実行の脆弱性だが、すでに公開されている PoC エクスプロイトを用いる活発な悪用が観測されている。Apache OFBiz (Open For Business) はオープンソースの企業資源計画システムであり、電子商取引の在庫／注文の管理／人事業務／会計業務などで、数多くの企業に利用されている。

Apache Struts 脆弱性 CVE-2023-50164：PoC エクスプロイトがリリース

Hackers are exploiting critical Apache Struts flaw using public PoC

2023/12/13 BleepingComputer — Apache Struts の深刻なリモートコード実行の脆弱性 CVE-2023-50164 が FIX されたが、公開されている PoC エクスプロイト・コードに依存する攻撃を、ハッカーたちが仕掛けようとしている。ShadowServer スキャン・プラットフォームによると、脅威アクターたちの動きは始まったばかりだが、その悪用の試みに用いられている少数の IP アドレスを、研究者たちは観測しているという。

ownCloud の脆弱性 CVE-2023-49103：脅威アクターによる悪用が始まっている

Threat Actors Started Exploiting Critical ownCloud Flaw CVE-2023-49103

2023/11/28 SecurityAffairs — ownCloud は、ファイルの同期／共有のために設計されたオープンソースのソフトウェア・プラットフォームであり、個人や組織による独自のプライベート・クラウド・ストレージ・サービスの作成を可能にするものだ。先日に発見された脆弱性 CVE-2023-49103 は、Graphapi アプリが URL 取得のために依存する、サードパーティ製の GetPhpInfo.php に存在するものだ。この URL アクセスにより、PHP 環境のコンフィグレーション情報 (phpinfo) が公開されてしまう。

Microsoft Exchange の脆弱性 CVE-2023-36439：インターネット上に 63,000 台の危険なサーバ

Over 63,000 Unpatched Microsoft Exchange Servers Vulnerable to RCE Attack

2023/11/17 SecurityOnline — Microsoft Exchange に存在する、深刻なリモートコード実行の脆弱性 CVE-2023-36439 に対して、パッチが適用されていない 63,000台以上のサーバが、オンライン上に公開された状態にある。この脆弱性は、Microsoft の 2023日11月の Patch Tuesday で対処されたものであり、悪用の可能性があるため、組織にとって重大な脅威となっている。

CISA Kev 警告 23/11/13：Juniper の RCE 脆弱性の悪用を確認

CISA warns of actively exploited Juniper pre-auth RCE exploit chain

2023/11/13 BleepingComputer — 11月13日に CISA は連邦政府機関に対して、Juniper J-Web インターフェースに存在するリモート・コード実行 (RCE) の４件の脆弱性が、認証前のエクスプロイト・チェーンの一部として悪用されていることを受けて、一連のデバイスを保護するよう警告した。１週間前に Juniper のアドバイザリにおいて、脆弱性 CVE-2023-36844／CVE-2023-36845／CVE-2023-36846／CVE-2023-36847 の悪用が顧客に通知されたが、その後に CISA も警告を発することになった。

Atlassian Confluence の脆弱性 CVE-2023-22518：Cerber ランサムウェアの攻撃を観測

Critical Atlassian Confluence bug exploited in Cerber ransomware attacks

2023/11/06 BleepingComputer — 先日にパッチが適用された、Atlassian Confluence に存在する深刻な認証バイパスの脆弱性を悪用する Cerber ランサムウェアが、被害者のファイルを暗号化している。Atlassian が不適切な認証の脆弱性と説明する CVE-2023-22518 (CVSS：9.1) は、Confluence Data Center／Confluence Server ソフトウェアの全てのバージョンに影響を及ぼす。10月31日 (火) にセキュリティ・アップデートをリリースした Atlassian は、この脆弱性の悪用によりデータが消去される可能性もあるため、脆弱性のある全てのインスタンスに対して、直ちにパッチを当てるよう管理者たちに警告した。

Apache ActiveMQ の脆弱性 CVE-2023-46604：TellYouThePass ランサムウェアが積極的に悪用

TellYouThePass ransomware joins Apache ActiveMQ RCE attacks

2023/11/06 BleepingComputer — インターネットに公開された Apache ActiveMQ サーバに存在する、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2023-46604 が、TellYouThePass ランサムウェア攻撃の標的にもなっている。この脆弱性 CVE-2023-46604 は、スケーラブルなオープンソース・メッセージ・ブローカーである ActiveMQ に存在し、悪用に成功した未認証の攻撃者に、任意のシェルコマンド実行を許してしまうものである。

Apache ActiveMQ の脆弱性 CVE-2023-46604：3,000 台のサーバが危険な状態

3,000 Apache ActiveMQ servers vulnerable to RCE attacks exposed online

2023/11/01 BleepingComputer — インターネットに公開されている、3,000台以上の Apache ActiveMQ サーバ上に、深刻なリモート・コード実行 (RCE) が存在することが、先日に公表された。Apache ActiveMQ は、クライアント／サーバ間の通信を促進する、スケーラブルなオープンソースのメッセージ・ブローカーであり、Java などのクロス・ランゲージ型のクライアントおよび、AMQP／MQTT／OpenWire／STOMP などの多様なプロトコルをサポートしている。

F5 BIG-IP の脆弱性：CVE-2023-46747／CVE-2023-46748 の連鎖が悪用されている

Alert: F5 Warns of Active Attacks Exploiting BIG-IP Vulnerability

2023/11/01 TheHackerNews — F5 BIG-IP の深刻な脆弱性の公開から１週間も経たないうちに、悪用チェーンの一部として任意のシステム・コマンド実行が生じる可能性のある、積極的な悪用に関する警告が発せられた。管理ポートを介して BIG-IP システムにネットワーク・アクセスできる未認証の攻撃者が、この脆弱性 CVE-2023-46747 (CVSS：9.8) の悪用に成功すると、コード実行が可能になる。それを証明する PoC エクスプロイトが、ProjectDiscovery から共有された。

Cisco IOS XE の脆弱性 CVE-2023-20198／CVE-2023-20273 にパッチ適用

Cisco patches IOS XE zero-days used to hack over 50,000 devices

2023/10/23 BleepingComputer — Cisco が対処した、２つの脆弱性 CVE-2023-20198／CVE-2023-20273 は、先週にハッカーたちに悪用され、数万台の IOS XE デバイスの侵害を引き起こしたものだ。このリリースは、脅威アクターたちが脆弱性をゼロデイとして悪用し、50,000 台以上の Cisco IOS XE ホストを侵害し、完全に制御した後に行われた。

Cisco IOS XE のインシデント：侵入されたデバイス数が 50,000 から 1,000 台前後に急減？

Number of hacked Cisco IOS XE devices plummets from 50K to hundreds

2023/10/22 BleepingComputer — ハッキングされ、悪意のバックドアを埋め込まれた Cisco IOS XE デバイスの数が、50,000 台以上から僅か数百台へと急減するという不思議な現象が起こっており、その原因について研究者たち首を傾げている。先日に Cisco は、２つのゼロデイ脆弱性 CVE-2023-20198／CVE-2023-20273 を悪用するハッカーが、50,000 万台以上の Cisco IOS XE デバイスをハッキングし、特権ユーザー・アカウントを作成し、悪意のある LUA バックドア・インプラントをインストールしたと警告している。この LUA インプラントにより、脅威アクターたちはデバイスの最高特権レベル 15 のコマンドを、リモートで実行できるようになる。

JetBrains TeamCity の RCE 脆弱性 CVE-2023-42793：ランサムウェアによる攻撃を確認

Ransomware gangs now exploiting critical TeamCity RCE flaw

2023/10/02 BleepingComputer — JetBrains の TeamCity の CI/CD (continuous integration and continuous deployment) サーバに存在する深刻な脆弱性を、ランサムウェア・ギャングたちが標的にしはじめた。この脆弱性 CVE-2023-42793 (CVSS : 9.8) は、ユーザーとの対話を必要としない複雑度の低い攻撃を可能にする。したがって、認証バイパスに成功した未認証の攻撃者により、リモートからのコードを実行 (RCE) が引き起こされる。この脆弱性を発見／報告したのは、スイスのセキュリティ企業 Sonar である。そして、9月21日に JetBrains が、TeamCity 2023.05.4 をリリースし、この深刻な脆弱性に対処した１週間後に、Sonar による技術的な詳細が発表された。

Juniper EX Switch／SRX Firewall の脆弱性：PoC リリース直後から悪用が始まっている

Hackers exploit critical Juniper RCE bug chain after PoC release

2023/08/29 BleepingComputer — エクスプロイト・チェーンを悪用するハッカーたちが、インターネット上に公開されている J-Web 設定インターフェースを介して、Juniper の EX Switch／SRX Firewall を標的にしている。この脆弱性の悪用に成功した未認証の攻撃者には、パッチが適用されていないデバイス上での、リモートからのコード実行が許されてしまう。Juniper は、「認証を必要としない特定のリクエストを介して、攻撃者たちは J-Web 経由で、任意のファイルをアップロードできる。それにより、ファイル・システムの特定部分で整合性が失われ、他の脆弱性に連鎖する可能性が生じる」と述べている。

Citrix ADC／Gateway の脆弱性 CVE-2023-3519：Mandiant がハッキング・スキャナーを提供

New CVE-2023-3519 scanner detects hacked Citrix ADC, Gateway devices

2023/08/15 BleepingComputer — Citrix NetScaler Application Delivery Controller (ADC)／NetScaler Gateway Appliance に存在する、CVE-2023-3519 脆弱性の悪用の有無を判定するスキャナを、Mandiant がリリースした。この深刻な Citrix の脆弱性は、ゼロデイとして 2023年7月中旬に発見されたものであり、脆弱なデバイス上で認証なしでリモート・コード実行が可能であるため、広範囲で積極的に悪用されている。

Citrix Netscaler の脆弱性 CVE-2023-3519 の活発な悪用：640台以上のサーバが侵害

Over 640 Citrix servers backdoored with web shells in ongoing attacks

2023/08/02 BleepingComputer — Citrix Netscaler ADC／Gateway に存在する、深刻なリモートコード実行 (RCE) 脆弱性 CVE-2023-3519 を標的とする一連の攻撃で、すでに数百台のサーバが侵害され、バックドア化されているという。以前にも、この脆弱性はゼロデイとして悪用され、米国の重要インフラ組織のネットワークへの侵入の原因となっている。インターネット・セキュリティの強化に取り組む非営利団体 Shadowserver Foundation のセキュリティ研究者たちは、今回の攻撃において、少なくとも 640台の Citrix サーバ上に、Web シェルが展開されていると指摘している。

Metabase BI Software の深刻な脆弱性 CVE-2023-38646 が FIX：早急な対応が必要

Major Security Flaw Discovered in Metabase BI Software – Urgent Update Required

2023/07/28 TheHackerNews — 人気の BI データ可視化ソフトウェア・パッケージである Metabase のユーザーは、新たに発見された深刻なリモートコード実行の脆弱性を修正するために、最新バージョンへとアップデートするよう勧告されている。その悪用に関しては、認証が不要だとされる。この脆弱性 CVE-2023-38646 は、OpenSource Edition の Ver 0.46.6.1 以前および、Enterprise Edition の Ver 1.46.6.1 以前に存在する。

CISA 警告 23/07/21：Citrix のゼロデイ CVE-2023-3519 がインフラ組織への攻撃で悪用

Citrix Zero-Day Exploited Against Critical Infrastructure Organization

2023/07/21 SecurityWeek — CISA の 7月20日の発表によると、先日に公表された Citrix のゼロデイ脆弱性 CVE-2023-3519 が、重要インフラ組織への攻撃に悪用されているようだ。CISA は、この攻撃が既知の脅威アクターによるものとは断定していない。そして CISA は、標的となった重要インフラ組織で確認された TTPs (Tactics, Techniques, and Procedures) を、潜在的な攻撃を検知する際に有効な情報として共有している。これまでにも Citrix の脆弱性は、金銭的な動機に基づくサイバー犯罪者および、国家に支援される中国などの脅威アクターといった、双方の敵対者により悪用されてきた。

IBM の Aspera Faspex の脆弱性 CVE-2022-47986：危険性を考慮した対策が必要

Patch Now: Cybercriminals Set Sights on Critical IBM File Transfer Bug

2023/03/30 DarkReading — IBM のファイル転送スタック Aspera Faspex に存在する、任意のコード実行の脆弱性に対するパッチ適用が滞っていることで、ランサムウェア・ギャングなどのサイバー犯罪者の目に留まりはじめている。この深刻な脆弱性に対して、IBM がパッチをリリースしてから数ヶ月が経つが、脅威アクターたちにより野放し状態で悪用されていると、今週に Rapid7 の研究者たちが報告している。先日に、Rapid7 の顧客が、この脆弱性 CVE-2022-47986 により危険にさらされたことで、研究者たちは、早急な対策が必要であると述べている。

Fortinet の脆弱性 CVE-2022-39952：Shodan 検索結果をベースにした推測は適切なのか？

Fortinet Shares Clarifications on Exploitation of FortiNAC Vulnerability

2023/02/24 SecurityWeek — Fortinet は、FortiNAC network access control (NAC) の脆弱性を狙った最近の悪用行為について、同社がセンセーショナルな報道と表現したことに関して、いくつかの重要な説明を行った。この脆弱性 CVE-2022-39952 は、悪用に成功したリモートの未認証の攻撃者により、任意のコードが実行される可能性を持つものだ。この問題は、Fortinet の内部で発見されている。

Exchange Server のウイルス対策の除外項目を廃止：Microsoft からユーザーへの要請

Microsoft urges Exchange admins to remove some antivirus exclusions

2023/02/23 BleepingComputer — Microsoft は、 Exchange Server のセキュリティを強化するために、以前に推奨されていたウイルス対策の、いくつかの除外に関する設定を解除をするよう推奨している。同社は、その理由として、Temporary ASP.NET Files と Inetsrv フォルダ、および、PowerShell と w3wp プロセスを対象とした除外は、もはや安定性やパフォーマンスに影響を与えないため、必要ないと述べている。しかし、これらのフォルダやプロセスは、マルウェアを展開する攻撃に悪用されることが多いため、管理者はスキャンするように心がける必要がある。

Zoho ManageEngine の RCE 脆弱性 CVE-2022-47966：活発な悪用と攻撃

Critical ManageEngine RCE bug now exploited to open reverse shells

2023/01/20 BleepingComputer — 複数の Zoho ManageEngine 製品に影響を及ぼす、深刻な RCE (Remote Code Execution) の脆弱性が、攻撃に悪用されている。この脆弱性の悪用コードと詳細な技術分析を、Horizon3 のセキュリティ研究者たちが公開する２日前に、サイバーセキュリティ企業の Rapid7 が最初の悪用の試みを検知していた。Rapid7 は、「我々は、少なくとも 24種類のオンプレミス ManageEngine 製品に影響を与える、未認証のRCE 脆弱性 CVE-2022-47966 の悪用から生じる、さまざまな侵害に対応している。2023年1月17日 (UTC) の時点で、複数の組織にまたがる悪用を観測している」と述べている。

CISA KEV 警告 23/01/17：CentOS CWP の深刻な脆弱性 CVE-2022-44877 を追加

Exploited Control Web Panel Flaw Added to CISA ‘Must-Patch’ List

2023/01/18 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、広く使われている CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877 を、KEV（Known Exploited Vulnerabilities）カタログに追加し、連邦機関に対して２月初旬までに修正するよう指示している。

CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877：RCE が容易に生じる

Hackers exploit Control Web Panel flaw to open reverse shells

2023/01/12 BleepingComputer — 以前には CentOS Web Panel として知られていた、サーバ管理用ツール Control Web Panel (CWP) で発生した深刻な脆弱性が、ハッカーたちに積極的に悪用されている。このセキュリティ脆弱性 CVE-2022-44877 は、認証されない攻撃者であってもリモートコード実行が可能であるため、CVSS 値は 9.8 と評価されている。

Exchange Server の脆弱性 ProxyNotShell：60,000 台以上のサーバがパッチ未適用

Over 60,000 Exchange servers vulnerable to ProxyNotShell attacks

2023/01/03 BleepingComputer — オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の１つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明した。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明した。

Fortinet の深刻な脆弱性 CVE-2022-40684：アクセスを販売する IAB が登場？

Threat actors are offering access to corporate networks via unauthorized Fortinet VPN access

2022/11/29 SecurityAffairs — Cyble の研究者たちが認識しているのは、最近のパッチが適用された Fortinet 製品に存在する、深刻な脆弱性 CVE-2022-40684 を悪用する Initial Access Broker (IAB) が、企業ネットワークへのアクセスを販売している可能性が高いという状況である。10月の初旬に Fortinet は、FortiGate Firewall／FortiProxy Web Proxy に影響を及ぼす、認証バイパスの脆弱性 CVE-2022-40684 に対処している。この脆弱性の悪用に成功した攻撃者は、脆弱なデバイスにログインすることが可能であると、Fortinet は説明している。