Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた

Infra Used in Cisco Hack Also Targeted Workforce Management Solution

2022/09/01 TheHackerNews — 2022年5月に Cisco を標的とした攻撃のインフラは、その1カ月前の 2022年4月にも、無名のワークフォース管理ソリューション保有企業に対して、侵害に採用されたが未遂に終わっていた。この調査結果を公表したサイバーセキュリティ企業 eSentire は、この侵入が、Evil Corp のアフィリエイトで UNC2165 (mx1r) と呼ばれる、犯罪行為者の仕業である可能性を指摘している。

Continue reading “Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた”

VNC サーバ 9000 台が危機的な状況:パスワードを持たずにインターネットに露出

Over 9,000 VNC servers exposed online without a password

2022/08/14 BleepingComputer — 研究者たちが発見したのは、認証なしでアクセスして使用できる、少なくとも 9,000 のインターネットに露出した VNC エンドポイントであり、脅威アクターたちに内部ネットワークへのアクセスを簡単に許すものである。VNC (Virtual Network Computing) は、監視や調整が必要なシステムへの接続を支援するプラットフォーム非依存のシステムであり、ネットワーク接続を介した RFB (Remote Frame Buffer Protocol) 経由で、リモート・コンピュータの制御を可能にする。

Continue reading “VNC サーバ 9000 台が危機的な状況:パスワードを持たずにインターネットに露出”

DrayTek Vigor Routers の RCE の脆弱性:世界の220万台/日本の16万台は安全なのか?

Critical RCE Bug Could Let Hackers Remotely Take Over DrayTek Vigor Routers

2022/08/04 TheHackerNews — DrayTek のルーターモデル 29 種に、リモートコード実行の脆弱性が、新たに発見され た。Trellix の研究者である Philippe Laulheret は、「デバイスの管理インターフェースが、インターネットに接続されるように設定されている場合において、この攻撃はユーザーの操作なしに引き起こされる。また、デフォルトのデバイス・コンフィグレーションでは、LAN 内からのワンクリックで、攻撃を行うことも可能だ」と述べている。また、この脆弱性 CVE-2022-32548 の悪用に成功した攻撃者は、ルータを完全に制御することが可能になるため、CVSS スコア 10.0 と評価されている。

Continue reading “DrayTek Vigor Routers の RCE の脆弱性:世界の220万台/日本の16万台は安全なのか?”

Cisco VPN Router の3つの深刻な脆弱性 CVE-2022-20827 などが FIX

Cisco fixes critical remote code execution bug in VPN routers

2022/08/03 BleepingComputer — Cisco は、Small Business VPN ルーターにおける、3つの深刻なセキュリティ脆弱性を修正した。これらの脆弱性の悪用に成功した攻撃者は、リモートで任意のコード/コマンドを未認証で実行し、脆弱なデバイスでサービス拒否 (DoS) 状態を引き起こすことが可能になる。

Continue reading “Cisco VPN Router の3つの深刻な脆弱性 CVE-2022-20827 などが FIX”

リモート・ファーストの世界とランサムウェア:VPN 依存からの脱却は不可欠?

Mitigate Ransomware in a Remote-First World

2022/06/21 TheHackerNews — ランサムウェアは、長年にわたって、サイバー・セキュリティ・チームにとって悩みの種として存在している。リモート・ワークやハイブリッド・ワークへの移行に伴い、この陰湿な脅威は、あらゆる組織にとってさらに大きな課題となっている。2021年は、多種多様な攻撃/多大な金銭的/経済的影響/組織側の多様な防御方法といった、ランサムウェアのケース・スタディの年となった。これらの攻撃から得られた教訓は、ランサムウェアのリスクを軽減するための、今後のセキュリティ戦略に活かせるものだと捉えるべきだ。組織は進化し続けるため、セキュリティ戦略も進化すべきなのだ。

Continue reading “リモート・ファーストの世界とランサムウェア:VPN 依存からの脱却は不可欠?”

Windows Server の VPN/RDP/RRAS 接続に問題:6月の Patch Tuesday が悪さをしている?

Recent Windows Server updates break VPN, RDP, RRAS connections

2022/06/20 BleepingComputer — 今月の Windows Server アップデートは、Routing and Remote Access Service (RRAS) を有効にしたサーバにおける VPN/RDP 接続などで、さまざまな問題を引き起こしているようだ。RRAS とは、VPN およびダイヤルアップ接続を用いた、リモート・アクセスやサイト間の接続などの、追加の TCP 接続およびルーティングの機能を提供する Windows サービスである。

Continue reading “Windows Server の VPN/RDP/RRAS 接続に問題:6月の Patch Tuesday が悪さをしている?”

Cisco VPN Router のゼロデイ脆弱性 CVE-2022-20825 が FIX:ただし EOL デバイスはサポートされない

Cisco says it won’t fix zero-day RCE in end-of-life VPN routers

2022/06/16 BleepingComputer — Cisco は、未パッチのリモートコード実行の脆弱性を公開したが、生産終了した Small Business RV ルーターの所有者に対しては、新たなモデルへのアップグレードを推奨している。この脆弱性 CVE-2022-20825 は、CVSS スコア 9.8 という深刻なものである。Cisco のセキュリティ・アドバイザリによると、この脆弱性の影響を受けるデバイスでは、受信された HTTP パケットに対するユーザー入力検証が不十分だとされる。したがって、特別に細工したリクエストを Web_based 管理インターフェイスに送信することで、この脆弱性の悪用に成功した攻撃者は、root レベルの特権でコマンドを実行させることが可能になる。

Continue reading “Cisco VPN Router のゼロデイ脆弱性 CVE-2022-20825 が FIX:ただし EOL デバイスはサポートされない”

BeanVPN の 2500 万人分のデータが流出:ポリシー違反の ElasticSearch が放置されている

25 million free VPN user records exposed

2022/06/15 CyberNews — 無料の VPN ソフトウェアが、18GB 以上の接続ログを公開/放置するというインシデントがあった。このデータベースを悪用する脅威アクターたちにより、ユーザーや居場所の特定がや可能になるかもしれない。Cybernews チームは、BeanVPN アプリにより生成された、18.5GBの 接続ログなどを取り込んだオープンなデータベースを発見した。このデータセットには、ユーザー・デバイス/Play Service ID/IP アドレス/接続タイムスタンプなどの診断情報を含む、2500万件以上のレコードが含まれていた。

Continue reading “BeanVPN の 2500 万人分のデータが流出:ポリシー違反の ElasticSearch が放置されている”

Zyxel Firewall などの4つの脆弱性が FIX:パッチ適用の確認が必要

Zyxel Issues Patches for 4 New Flaws Affecting AP, API Controller, and Firewall Devices

2022/05/17 TheHackerNews — Zyxel は、Firewall/AP Controller などの製品に影響をおよぼす、4つの脆弱性に対処するパッチをリリースした。それらの脆弱性の悪用に成功した攻撃者に対して、任意の OS コマンドの実行や、選択した情報の窃取を許す恐れがある。

Continue reading “Zyxel Firewall などの4つの脆弱性が FIX:パッチ適用の確認が必要”

Zyxel Firewall/VPN の脆弱性 CVE-2022-30525 は広範囲に影響を及ぼす

Hackers are exploiting critical bug in Zyxel firewalls and VPNs

2022/05/15 BleepingComputer — 先日にパッチが適用された、Zyxel のエンタープライズ向け firewall/VPN デバイスに存在する、深刻な脆弱性 CVE-2022-30525 を、脅威アクターたちが悪用し始めている。この脆弱性の悪用に成功した攻撃者は、認証なしでリモートから任意のコマンドを注入することが可能になり、リバースシェルの設定も可能となる。

Continue reading “Zyxel Firewall/VPN の脆弱性 CVE-2022-30525 は広範囲に影響を及ぼす”

BLACK HAT ASIA 2022 での発表:SQL クエリーの変換により WAF バイパスが可能になる

Transforming SQL Queries Bypasses WAF Security

2022/05/13 DarkReading — BLACK HAT ASIA 2022 – ある大学研究者のチームが基本的な機械学習を用いて、一般的な WAF には悪意のものとして検出されずに、攻撃者のペイロードを配信するパターンを特定したと、シンガポールで開催中の Black Hat Asia で発表した。中国浙江大学の研究者は、一般的な SQL を用いて、Web アプリケーションのデータベースを標的とした、インジェクション攻撃を変換する一般的な方法に着手した。

Continue reading “BLACK HAT ASIA 2022 での発表:SQL クエリーの変換により WAF バイパスが可能になる”

SonicWall の警告:SSLVPN SMA1000 の脆弱性に対してパッチ適用を推奨

SonicWall ‘strongly urges’ admins to patch SSLVPN SMA1000 bugs

2022/05/13 BleepingComputer — SonicWall は、Secure Mobile Access (SMA) 1000 シリーズ製品群に存在する、攻撃者による認証回避が可能であり、パッチ未適用のアプライアンスを危険にさらす可能性のある、高リスクの脆弱性に対する修正を、顧客に対して強く推奨している。SonicWall SMA 1000 SSLVPN ソリューションは、オンプレミス/クラウド/ハイブリッドデータセンターの環境における、エンタープライズ・リソースへの安全な End-to-End リモートアクセスを簡素化するために使用される製品である。

Continue reading “SonicWall の警告:SSLVPN SMA1000 の脆弱性に対してパッチ適用を推奨”

BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細

BPFdoor: Stealthy Linux malware bypasses firewalls for remote access

2022/05/12 BleepingComputer — 最近になって発見された BPFdoor (Berkeley Packet Filter) というバックドア・マルウェアは、5年以上も気づかれることなく、こっそりと Linux や Solaris システムを標的にしてきた。BPFdoor は、Linux/Unix のバックドアであり、脅威アクターは Linux シェルにリモートで接続し、侵害したデバイスに対する完全なアクセスを得るようになる。このマルウェアは、ポートを開く必要がなく、ファイアウォールで止めることもできず、Web 上のあらゆる IP アドレスからのコマンドに応答できるため、企業スパイなどの継続的な攻撃にとって最適なツールとなっている。

Continue reading “BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細”

Zyxel Firewall 製品群に影響を及ぼす 深刻な OS コマンド実行の脆弱性が FIX

Zyxel Releases Patch for Critical Firewall OS Command Injection Vulnerability

2022/05/12 TheHackerNews — Zyxel ファイアウォール・デバイスに影響を及ぼす、認証されていないリモート攻撃者による任意のコード実行の脆弱性に対応するための、同社による取り組みが開始された。木曜日に Zyxel が発表したアドバイザリーは、「ファイアウォール・デバイスの一部のバージョンの CGI プログラムに存在する、コマンド・インジェクションの脆弱性により、攻撃に成功した脅威アクターに対して、特定のファイルの変更や、脆弱なデバイス上での OS コマンドの実行を許す可能性がある」と述べている。

Continue reading “Zyxel Firewall 製品群に影響を及ぼす 深刻な OS コマンド実行の脆弱性が FIX”

インド政府のムチャブリ:インシデント検知の6時間後には CERT-In に報告せよ!

Indian Govt Orders Organizations to Report Security Breaches Within 6 Hours to CERT-In

2022/04/28 TheHackerNews — 木曜日にインドのコンピュータ緊急対応チームである CERT-In は、サービスプロバイダ/仲介業者/データセンター/政府機関に対して、データ漏洩を含むサイバーセキュリティ・インシデントの検知後6時間以内での報告を義務化する新しいガイドラインを発表した。

Continue reading “インド政府のムチャブリ:インシデント検知の6時間後には CERT-In に報告せよ!”

Palo Alto Networks の Firewall/VPN に OpenSSL の脆弱性が影響をおよぼす

Palo Alto Networks firewalls, VPNs vulnerable to OpenSSL bug

2022/04/07 BleepingComputer — 4月2日に、米国のサイバー・セキュリティ企業である Palo Alto Networks は、同社の Firewall/VPN/XDR 製品の一部に、3週間前に公開された深刻度の高い OpenSSL 無限ループの脆弱性 CVE-2022-0778 が存在すると顧客に警告した。この脆弱性の悪用に成功した脅威アクターは、サービス拒否状態を引き起こし、未パッチのソフトウェアを実行しているデバイスを、リモートからクラッシュさせることが可能となる。

Continue reading “Palo Alto Networks の Firewall/VPN に OpenSSL の脆弱性が影響をおよぼす”

ロシアの人々に情報を届ける:Cloudflare が説明するブロック回避の状況

Russians bypass website blocks to access Western news sources

2022/04/04 BleepingComputer — Cloudflare は、ウクライナ情勢に関する正確な情報を得るために、ロシアの人々が欧米のニュースソースを利用するという傾向が強まっている兆候を捉えている。今日、Cloudflare が発表した新しいブログ記事では、ロシアのネット・ユーザーが英国/米国/フランスのニュースサイトにアクセスするために、ブロッキング回避ツールを積極的に採用していることを示す、統計的な証拠が提示されている。

Continue reading “ロシアの人々に情報を届ける:Cloudflare が説明するブロック回避の状況”

Zyxel の Firewall/VPN 製品群に深刻な認証バイパスの脆弱性

Zyxel patches critical bug affecting firewall and VPN devices

2022/03/31 BleepingComputer — ネットワーク機器メーカーの Zyxel は、同社のビジネスグレード・ファイアウォールおよび VPN 製品のファームウェアをアップデートし、攻撃者による対象機器の管理者レベルへのアクセスという深刻な脆弱性に対処した。Zyxel のセキュリティ勧告は、USG/ZyWALL/USG FLEX/ATP/VPN/NSG (Nebula Security Gateway) シリーズの製品を対象としている。

Continue reading “Zyxel の Firewall/VPN 製品群に深刻な認証バイパスの脆弱性”

FBI が提供する Lockbit 対策マニュアル:Accenture 以外にも被害が出ているのか?

FBI shares Lockbit ransomware technical details, defense tips

2022/02/05 BleepingComputer — 今週の金曜日に米連邦捜査局 (FBI) は、新たに発表した Flash Alert において、LockBit ランサムウェアに関連する技術的な詳細と危険性の指標を公開した。また、同組織は、ユーザーのネットワークに侵入しようとする、この敵対者の試みを阻止するための情報を提供し、また、インシデントが発生した場合には、ローカルの FBI Cyber Squad に対して、早急に報告するよう被害者に求めている。

Continue reading “FBI が提供する Lockbit 対策マニュアル:Accenture 以外にも被害が出ているのか?”

奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている

‘Anomalous’ spyware stealing credentials in industrial firms

2022/01/20 BleepingComputer — 研究者たちにより、産業界をターゲットにした、いくつかのスパイウェア・キャンペーンが発見された。電子メールアカウントの認証情報が盗みだされたが、その目的は、金融詐欺や認証情報の転売だと考えられる。攻撃者は、既製のスパイウェア・ツールを使用しているが、検出を逃れるために、それぞれの亜種を、きわめて限られた時間において展開している。攻撃に使用される汎用マルウェアの例としては、AgentTesla/Origin Logger/HawkEye/Noon/Formbook/Masslogger/Snake Keylogger/Azorult/Lokibot などがある。

Continue reading “奇妙な SMTP スパイウェアにより産業界の ICS から認証情報が盗まれている”

クラウドの暗号化を改善するためのベスト・プラクティスとは?

Best Practices for Improving Cloud Encryption

2022/01/14 SecurityBoulevard — エンタープライズにおけるクラウドの採用が増大するにつれて、クラウド・セキュリティが最重要課題となっている。年々、クラウド・セキュリティへの脅威は増加しており、企業はオンプレミスからクラウドへの移行を再考し、クラウド・セキュリティを向上させる方法を検討している。クラウド・セキュリティを強化する1つの方法は、クラウドの暗号化を改善することだ。

Continue reading “クラウドの暗号化を改善するためのベスト・プラクティスとは?”

Microsoft 2022-01 月例アップデートは6件のゼロデイと 97件の脆弱性に対応

Microsoft January 2022 Patch Tuesday fixes 6 zero-days, 97 flaws

2022/01/11 BleepingComputer — 今日は、Microsoft の January 2022 Patch Tuesday であり、それに伴い、6つのゼロデイ脆弱性を含む、合計で97件の脆弱性が修正された。Microsoft は、今日のアップデートで、97件の脆弱性 (29件の Microsoft Edge 脆弱性を除く) を修正し、9件を Critical に、88件を Important に分類している。

Continue reading “Microsoft 2022-01 月例アップデートは6件のゼロデイと 97件の脆弱性に対応”

グローバル IT SP の Inetum がランサムウェア攻撃に遭ったが被害は限定的

Global IT services provider Inetum hit by ransomware attack

2021/12/24 BleepingComputer — クリスマス休暇まで1週間を切ったところで、フランスの IT サービス企業である Inetum Group がランサムウェア攻撃を受けたが、事業や顧客への影響は限定的だった。Inetum は 26カ国以上で事業を展開しており、航空宇宙/防衛/銀行/自動車/エネルギー/公益/ヘルスケア/保険/小売/公共部門/輸送/通信/メディアなどの、さまざまな分野にデジタル・サービスを提供している。

Continue reading “グローバル IT SP の Inetum がランサムウェア攻撃に遭ったが被害は限定的”

証券取引委員会 (SEC) から機密情報を盗み出したロシアン・ハッカーが逮捕

Russian hackers made millions by stealing SEC earning reports

2021/12/21 BleepingComputer — サイバー・セキュリティ企業に勤務していたロシア人が、証券取引委員会 (SEC) に対して四半期/年次の業績資料を提出する際に、複数の企業が利用していた米国のファイリング・エージェント2社の、コンピュータ・ネットワークをハッキングした容疑で米国に送還された。この人物は、他の共犯者とともに、2つのファイリング・エージェントから盗んだ重要な未公開情報 (MNPI : Material Non-Public Information) を利用して取引を行い、数百万米ドルを稼ぎ出していた。

Continue reading “証券取引委員会 (SEC) から機密情報を盗み出したロシアン・ハッカーが逮捕”

SonicWall の深刻な懸念と警告:SMA 100 シリーズのバグに迅速なパッチを

SonicWall ‘strongly urges’ customers to patch critical SMA 100 bugs

2021/12/08 BleepingComputer — SonicWall は、SMA 100 シリーズ・アプライアンスを使用している企業に対して、CVSS スコアで Critical から Medium と評価されている、複数のセキュリティ上の欠陥に対して、直ちにパッチを適用することを強く求めている。これらのバグ (Rapid7 の Jake Baines と NCC Group の Richard Warren が報告) は、Web Application Firewall (WAF) が有効になっているケースでも、SMA 200/210/400/410/500v アプライアンスに影響をおよぼす。

Continue reading “SonicWall の深刻な懸念と警告:SMA 100 シリーズのバグに迅速なパッチを”

FBI 警告:FatPipe VPN のゼロデイ脆弱性が5月から悪用されている

FBI warns of APT group exploiting FatPipe VPN zero-day since May

2021/11/18 BleepingComputer — 米国の FBI は、FatPipe のルーター・クラスタリング製品および、ロードバランサー製品を悪用して、ターゲットのネットワークに侵入する APT (Advanced Persistent Threat) の存在について警告した。FatPipe は、ソルトレイク・シティに本社を置く、WAN 最適化ソリューションに特化した、コンピュータ・ネットワーキング・ハードウェア企業であり、多数の Fortune 1000 企業を顧客として抱えている。

Continue reading “FBI 警告:FatPipe VPN のゼロデイ脆弱性が5月から悪用されている”

Palo Alto の GlobalProtect VPN で深刻なゼロデイ脆弱性が発見された

Palo Alto Warns of Zero-Day Bug in Firewalls Using GlobalProtect Portal VPN

2021/11/10 TheHackerNews — Palo Alto Networks の GlobalProtect VPN における、新たなゼロデイ脆弱性が公開された。この脆弱性を悪用すると、認証されていないネットワークベースの攻撃者が、感染したデバイス上で root ユーザー権限で、任意のコードを実行することが可能となる。この、CVE-2021-3064 (CVSS:9.8) として追跡されているセキュリティ上の弱点は、PAN-OS 8.1.17 より前の PAN-OS 8.1x に影響する。マサチューセッツ州のサイバーセ・キュリティ企業である Randori が、この問題を発見/報告している。

Continue reading “Palo Alto の GlobalProtect VPN で深刻なゼロデイ脆弱性が発見された”

Zerodium とゼロデイ脆弱性:NordVPN/ExpressVPN/SurfShark が対象

Zerodium wants zero-day exploits for Windows VPN clients

2021/10/19 BleepingComputer — 今日の短いツイートで、エクスプロイト・ブローカーである Zerodium が、マーケットで人気の VPN サービス・プロバイダー3社の、ゼロデイ・エクスプロイト脆弱性情報の取得を検討していることを明らかにした。

Continue reading “Zerodium とゼロデイ脆弱性:NordVPN/ExpressVPN/SurfShark が対象”

NSA / CISA 警告:ハッカーたちに対抗するための VPN チップスとは?

NSA, CISA share VPN security tips to defend against hackers (edited)

2021/09/28 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と NSA (National Security Agency) は、VPN ソリューションのセキュリティを強化するためのガイダンスを発表した。米国の National Security Agency は、「複数の国家 APT (Advanced Persistent Threat) アクターたちが、共通の脆弱性 (CVE) を武器にして、脆弱な VPN デバイスにアクセスしている」と述べている。

Continue reading “NSA / CISA 警告:ハッカーたちに対抗するための VPN チップスとは?”

北米の VPN 市場:まもなく 700億ドル規模に達する

North America VPN Market Will Soon Be Worth $70 Bn

2021/09/22 CyberSecurityIntelligence — 市場調査会社 Graphical Research の最新レポートによると、北米の VPN 市場は、安全な接続に対する需要の高まりと、機密データの転送における匿名性の必要性から、大幅な成長を遂げると見込まれている。保護されていない Wi-Fi ネットワークで、ネットサーフィンやビジネスを行うと、個人情報が漏洩する危険性があるのは言うまでもない。

Continue reading “北米の VPN 市場:まもなく 700億ドル規模に達する”

セキュリティを押しつけるな!ネットワークさんが怒ってます!

Don’t Leave Security to the Network

2021/08/27 SecurityBoulevard — これまでのエンタープライズ・ネットワークのセキュリティ・モデルには、未来がない。現在、ネットワークは継続的な攻撃を受けており、従来のセキュリティ・モデルは無防備であることが証明されている。Colonial Pipeline や、Kaseya、アイルランドのヘルスケアシステム、北ヨーロッパの鉄道切符販売機へのランサムウェア攻撃は、巨大な氷山の一角に過ぎない。最近のある推計によると、昨年、私たちが知っているだけで 65,000件の攻撃があったとされるが、この問題の本当の規模については、推測する以外に為す術がない。不安を抱える企業には、株主や顧客に知られたくないと思う攻撃が、報告された数だけあるのだ。

Continue reading “セキュリティを押しつけるな!ネットワークさんが怒ってます!”

CISA マルウェア解析レポート:Pulse Secure VPN 攻撃の詳細とは?

CISA publishes malware analysis reports on samples targeting Pulse Secure devices

2021/08/26 SecurityAffairs — 米 CISA は、侵害された Pulse Secure デバイスで発見されたサンプルに関連する、5つのマルウェア解析レポート (MAR : Malware Analysis Reports) を公開した。それは、Pulse Secure 侵害に対する継続的な対応の一環として、悪用された Pulse Secure デバイスに関連する、5つのマルウェア・サンプルを分析するものだ。CISA のアドバイザリには、「ユーザーおよび管理者は、以下の5つのマルウェア解析レポート (MAR) を参照し、脅威主体の戦術/技術/手順 (TTP) と侵害の指標 (IOC) を確認し、詳細については CISA アラート Exploitation of Pulse Connect Secure Vulnerabilities での確認を推奨する」と記載されている。

Continue reading “CISA マルウェア解析レポート:Pulse Secure VPN 攻撃の詳細とは?”

Synology NAS 問題:OpenSSL の脆弱性が一部のバージョンに影響

Synology: Multiple products impacted by OpenSSL RCE vulnerability

2021/08/26 BleepingComputer — 台湾の NAS メーカーである Synology の発表によると、最近の公開された OpenSSL 脆弱性である、リモートコード実行 (RCE) およびサービス拒否 (DoS) が、同社の一部の製品に影響を与えるとのことだ。

Continue reading “Synology NAS 問題:OpenSSL の脆弱性が一部のバージョンに影響”

Cisco VPN ルーター:脆弱性はあるけどディスコンです

Cisco won’t fix zero-day RCE vulnerability in end-of-life VPN routers

2021/08/19 BleepingComputer — 水曜日に公開された Cisco のセキュリティ・アドバイザリにおいて、中小企業向け VPN ルーター群の Universal Plug-and-Play (UPnP) サービスに存在する深刻な脆弱性について、パッチの適用は行われないという発表があったが、当該デバイスが製造中止となったことに理由がある。

Continue reading “Cisco VPN ルーター:脆弱性はあるけどディスコンです”

Fortinet ゼロデイ・リモート脆弱性:パッチ・リリースは8月末に延期

Fortinet delays patching zero-day allowing remote server takeover

2021/08/17 BleepingComputer — Fortinet は、FortiWeb WAF (Web Application Firewal) で見つかった、ゼロデイのコマンド・インジェクションの脆弱性に対するパッチ・リリースを、8月末まで延期した。この脆弱性が悪用されると、認証された攻撃者が SAML サーバーの設定ページを介して、基盤となるシステムの root ユーザーとして、任意のコマンドを実行することができる。このバグを悪用するためには、攻撃者は対象となる FortiWeb デバイスの管理インターフェースに認証される必要があるが、たとえば認証バイパス (CVE-2020-29015) などの脆弱性と連鎖させることで、脆弱なサーバーを完全に制御することができる。

Continue reading “Fortinet ゼロデイ・リモート脆弱性:パッチ・リリースは8月末に延期”

Ivanti Pulse Connect Secure VPN に存在する深刻なコード実行脆弱性が FIX

Ivanti fixed a critical code execution issue in Pulse Connect Secure VPN

2021/08/06 SecurityAffairs — Ivanti の Pulse Connect Secure VPN アプライアンスに存在する、複数の脆弱性に対処するためのセキュリティ・アップデートが公開された。最も深刻な脆弱性 CVE-2021-22937 は、Pulse Connect Secure の管理者用 Web インターフェイスに存在する高危険度のリモートコード実行の脆弱性である。リモートの攻撃者は、この脆弱性を悪用して任意のファイルを上書きし、root 権限でコードを実行できる。この脆弱性の CVSS は 9.1 であり、2021年10月にリリースされた CVE-2020-8260 対処するための、パッチのバイパスに起因すると、専門家たちは指摘している。

Continue reading “Ivanti Pulse Connect Secure VPN に存在する深刻なコード実行脆弱性が FIX”

Cisco VPN ルーターの深刻な pre-auth RCE 脆弱性が FIX

Cisco fixes critical, high severity pre-auth flaws in VPN routers

2021/08/04 BleepingComputer — Cisco は、複数の Small Business VPN ルータに影響を与える、pre-auth セキュリティの脆弱性に対処した。この脆弱性を悪用するリモート攻撃者により、脆弱なデバイス上でサービス運用妨害や、懇意のコマンド実行、任意のコード実行 (RCE : Remote Code Execution) などが生じる恐れがある。CVE-2021-1609 (CVSS 9.8) および CVE-2021-1602 (CVSS 8.2) として追跡される2つのセキュリティ上の欠陥は、Web_based 管理インターフェイスで発見され、HTTP リクエストとユーザー入力における不適切に検証が原因となる。

Continue reading “Cisco VPN ルーターの深刻な pre-auth RCE 脆弱性が FIX”

DoubleVPN の Server/Log/ Account が国際的な法執行機関に差し押さえたれた

DoubleVPN servers, logs, and account info seized by law enforcement

2021/06/29 BleepingComputer — 国際的な法執行機関が、二重暗号化サービスである DoubleVPN の、サーバー/データ/顧客ログを押収した。Double VPN は、脅威アクターが悪意の活動を行う際に、検知を逃れるために頻繁に利用するサービスである。DoubleVPN は、ロシアを拠点とする VPN サービスであり、このサービスを通じて送信されるデータを二重/三重/四重に暗号化する。

Continue reading “DoubleVPN の Server/Log/ Account が国際的な法執行機関に差し押さえたれた”

FortiWeb WAF にリモートからの OS コマンド・インジェクションの脆弱性が

Flaws in FortiWeb WAF expose Fortinet devices to remote hack

2021/06/25 SecurityAffairs — 先日に Fortinet は、FortiWeb web application firewall (WAF) に深刻度の高い脆弱性 CVE-2021-22123 があり、認証済みのリモート攻撃者が SAML サーバの設定ページを介して、任意のコマンドを実行できるという問題に対処した。FortiWeb firewall 管理インターフェイスの脆弱性は、Positive Technologies の Andrey Medov により発見された。

Continue reading “FortiWeb WAF にリモートからの OS コマンド・インジェクションの脆弱性が”

Zyxel の Firewall と VPN が攻撃されたという警告

Zyxel warns customers of attacks on its enterprise firewall and VPN devices

2021/06/24 SecurityAffairs — ネットワーク機器ベンダーの Zyxel が、同社のエンタープライズ・ファイアウォールおよび VPN サーバーを標的とした一連の攻撃について、顧客に対する警告を発した。この攻撃における脅威アクターは、オンプレミスの ZLD ファームウェアを実行する、USG / ZyWALL / USG FLEX / ATP / VPN シリーズを標的としている。なお、Nebulacloud management mode を実行している機器は影響を受けないと、同社は述べている。

Continue reading “Zyxel の Firewall と VPN が攻撃されたという警告”

韓国原子力研究院が VPN の欠陥を悪用した攻撃に遭っている

South Korea’s Nuclear Research agency hacked using VPN flaw

2021/06/19 BleepingComputer — この5月に韓国原子力研究院 (KAERI : Korea Atomic Energy Research Institute) は、VPN の脆弱性を悪用する北朝鮮の脅威アクターにより、内部ネットワークがハッキングされたと明らかにした。韓国原子力研究所(KAERI)は、同国における原子力の研究と応用を目的とした、政府が出資する機関である。

Continue reading “韓国原子力研究院が VPN の欠陥を悪用した攻撃に遭っている”

ロシア政府が Opera VPN と VyprVPN を脅威だと断定/禁止した

Russia bans Opera VPN and VyprVPN, classifies them as threats

2021/06/18 BleepingComputer — ロシアの電気通信監視機関である Roskomnadzor は、ロシアの現行法に基づき、Opera VPN および VyprVPN を脅威だと分類し、その使用を禁止した。Roskomnadzor の発表は、「禁止コンテンツである、児童ポルノ/自殺/麻薬などへのアクセス制限回避に関する規則に基づき、2021年6月17日から VyprVPN と Opera VPN の使用制限を導入する」という内容である。

Continue reading “ロシア政府が Opera VPN と VyprVPN を脅威だと断定/禁止した”

製造業の5社に1社がサイバー攻撃の標的にされている

One in Five Manufacturing Firms Targeted by Cyberattacks

2021/06/18 DarkReading — 今週のこと、セキュリティ企業の Morphisec 社が発表した調査結果によると、サイバー犯罪者や攻撃グループは継続して製造業を標的としており、この分野における企業の約5社に1社が、攻撃の危険にさらされていることが分かった。Manufacturing Cybersecurity Threat Index レポートは、製造業の従業員567名からのアンケート回答で構成されており、約4分の1の企業が毎週、3分の1以上の企業が毎月、攻撃を受けていることが分かった。

Continue reading “製造業の5社に1社がサイバー攻撃の標的にされている”

攻撃者が悪用する SonicWall VPN の脆弱性とは?

Attackers Leverage SonicWall VPN Flaw to Compromise SRA Appliances

2021/06/11 SecurityWeek — セキュリティ・ベンダーの CrowdStrike の警告によると、古い VPN セキュリティの欠陥を悪用する悪意のハッカーが、SonicWall SRA (secure remote access) デバイスを侵害しているようだ。この脆弱性 CVE-2019-7481 に関しては、2019年に SonicWall がパッチを提供しているが、このレガシー SRA デバイスの問題が、ファームウェア・アップデートでは適切に緩和されなかったと、CrowdStrike は警告している。

Continue reading “攻撃者が悪用する SonicWall VPN の脆弱性とは?”

Pulse Secure のゼロデイを悪用したニューヨーク都市交通局への侵入

China-linked attackers breached Metropolitan Transportation Authority (MTA) using Pulse Secure zero-day

2021/06/04 SecurityAffairs — 中国由来と推測される脅威アクターたちが、Pulse Secure のゼロデイを悪用して、ニューヨーク市の都市交通局 (Metropolitan Transportation Authority : MTA) のネットワークに侵入した。この侵入は 4月に発生しているが、攻撃者たちは MTA の列車制御システムへのアクセスに失敗しており、被害は発生しなかったとされる。

Continue reading “Pulse Secure のゼロデイを悪用したニューヨーク都市交通局への侵入”

Pulse Connect Secure VPN に深刻な脆弱性が

New High-Severity Vulnerability Reported in Pulse Connect Secure VPN

2021/05/25 TheHackerNews — Pulse Secure VPN アプライアンスを提供している Ivanti は、認証済のリモート攻撃者が特権への昇格を行った後に、任意のコードを実行できる可能性のある、深刻度の高い脆弱性のセキュリティ・アドバイザリを公開した。

Continue reading “Pulse Connect Secure VPN に深刻な脆弱性が”

ランサムウェア被害に遭った大手保険 CNA のシステムが復旧した

Insurance giant CNA fully restores systems after ransomware attack

2012/05/13 BleepingComputer — 米国の大手保険会社である CNA Financial は、3月下旬に発生した Phoenix CryptoLocker ランサムウェア攻撃により、オンラインサービスや業務を停止していたが、そのシステムが完全に復旧したという。CNA は、サイバー保険を含む幅広い商品を提供しており、Insurance Information Institute の統計によると、米国で6番目の商業保険会社となっている。

Continue reading “ランサムウェア被害に遭った大手保険 CNA のシステムが復旧した”

Cisco AnyConnect VPN のゼロデイ PoC エクスプロイトが公開された

Cisco fixes 6-month-old AnyConnect VPN zero-day with exploit code

2021/05/13 BleepingComputer — Cisco の VPN である AnyConnect Secure Mobility Client で見つかった、6ヶ月前のゼロデイ脆弱性が、PoC エクスプロイト・コードとともにアップデートされた。Cisco AnyConnect Secure Mobility Client は、主要なデスクトップ/モバイル・プラットフォーム向けの VPN クライアントから、SSL (Secure Sockets Layer) および IPsec IKEv2 を介して、エンタープライズ VPN 接続を実現するものだ。

Continue reading “Cisco AnyConnect VPN のゼロデイ PoC エクスプロイトが公開された”

Pulse Secure VPN のゼロデイ攻撃にさらされる米政府機関

Pulse Secure VPN zero-day used to hack defense firms, govt orgs

2021/04/20 BleepingComputer — Pulse Secure は、Pulse Connect Secure (PCS) SSL VPN アプライアンスに存在する、ゼロデイ攻撃の対象となる認証バイパス脆弱性の緩和策を発表した。この脆弱性は、グローバル企業への攻撃や、US Defense Industrial base (DIB) のネットワークに対する攻撃に悪用されている。

Continue reading “Pulse Secure VPN のゼロデイ攻撃にさらされる米政府機関”