56% of cyber insurance claims originate in the email inbox
2024/04/24 HelpNetSecurity — サイバー保険会社である Coalition は、2023年1月1日〜12月31日に報告された保険金支払いデータに基づき、新たなレポート ”2024 Cyber Claims Report” を公開した。Coalition の Head of Global Claims である Robert Jones は、「金銭的な利得を求める攻撃者は、Eメールの受信トレイで支払情報を見つけ出し、支払プロセスに潜在的に介入して資金を盗む。つまり、受信トレイは、犯行が容易な場所であることが証明されている」と述べている。
Continue reading “サイバー保険請求の 56%はEメールの受信トレイから発生している – Coalition 調査”Cisco warns of large-scale brute-force attacks against VPN services
2024/04/16 BleepingComputer — 世界中の Cisco/CheckPoint/Fortinet/SonicWall/Ubiquiti デバイス上の VPN/SSH サービスを標的とする、大規模なクレデンシャル・ブルートフォース・キャンペーンについて、Cisco が警告している。ブルートフォース攻撃 (総当たり攻撃) とは、不特定多数のユーザー名とパスワードを使用して、正しい組み合わせが見つかるまで、アカウントやデバイスへのログインを試みるというものだ。正しい認証情報を発見した攻撃者は、それらを使用することで、デバイスの乗っ取りや、内部ネットワークへのアクセスを可能にする。
Continue reading “Cisco 警告:VPN サービスに対する大規模なブルートフォース攻撃が発生している”Critical Fortinet Vulnerability Exploited: Hackers Deploy Remote Control Tools and Backdoors
2024/04/08 SecurityOnline — Fortinet の FortiClient Enterprise Management System (EMS) において、先日にパッチが適用された脆弱性 CVE-2023-48788 を狙う憂慮すべきキャンペーンを、Red Canary のセキュリティ研究者たちが発見した。この脆弱性に対してパッチが適用されていない場合には、完全な管理者権限を取得する攻撃者により、脆弱なシステム上でのリモートコード実行の可能性が生じる。
Continue reading “Fortinet の FortiClient EMS の脆弱性 CVE-2023-48788:悪用キャンペーンが検出された”Ivanti fixes VPN gateway vulnerability allowing RCE, DoS attacks
2024/04/03 BleepingComputer — IT セキュリティ・ソフトウェア企業 Ivanti がリリースしたのは、同社の Connect Secure/Policy Secure ゲートウェイに影響を及ぼす、複数のセキュリティ脆弱性を修正するためのパッチである。脆弱性 CVE-2024-21894 の悪用に成功した未認証の脅威アクターは、ユーザーによる操作を必要としない複雑度の低い攻撃で、リモート・コードの実行やサービス拒否状態を、パッチを適用していないアプライアンス上で引き起こす可能性を得る。
Continue reading “Ivanti に新たな脆弱性 CVE-2024-21894 などが発生:RCE/DoS 攻撃の恐れ”OpenVPN Patches Serious Vulnerabilities in Windows Installations
2024/03/24 SecurityOnline — OpenVPN がリリースした、重要なセキュリティ・アップデート (バージョン 2.6.10) は、特権昇格/リモート攻撃/システムクラッシュなどを引き起こす可能性のある、 Windows ソフトウェアにおける一連の脆弱性に対処するものだ。これらの脆弱性が浮き彫りにするのは、特に OpenVPN のようなネットワーク・トラフィックを扱うツールにおける、定期的なソフトウェア・アップデートの必要性である。
Continue reading “OpenVPN の深刻な脆弱性が FIX:特権昇格/リモート攻撃/クラッシュなどの権限に対応”Critical Fortinet flaw may impact 150,000 exposed devices
2024/03/08 BleepingComputer — 約 150,000 台の Fortinet FortiOS/FortiProxy が、深刻なセキュリティ脆弱性 CVE-2024-21762 の危険に晒されていることが、Shadowserver のスキャンにより判明した。この脆弱性の悪用に成功した攻撃者は、認証なしでコード実行を行う可能性がある。2024年2月に、米国のサイバー防衛局である CISA (Cybersecurity and Infrastructure Security Agency) は、この脆弱性を KEV (Known Exploited Vulnerabilities Catalog) カタログに追加し、この脆弱性が攻撃者たちにより積極的に悪用されていることを警告している。
Continue reading “FortiOS/FortiProxy の脆弱性 CVE-2024-21762:150,000 台のデバイスが危険に晒されている”Cisco Patches High-Severity Vulnerabilities in VPN Product
2024/03/07 SecurityWeek — 3月6日に Cisco が発表したのは、Secure Client における2つの深刻度の高い脆弱性に対するパッチである。同製品は、セキュリティと監視機能を備えた、企業向けの VPN アプリケーションである。1つ目の脆弱性 CVE-2024-20337 は、Linux/macOS/Windows 版 のSecure Client に影響するものであり、認証されていない攻撃者に、リモートから改行コード (CRLF) インジェクション攻撃をゆるす可能性がある。
Continue reading “Cisco Secure Client の脆弱性 CVE-2024-20337/20338 などが FIX:ただちにパッチを!”Securing Perimeter Products Must Be a Priority, Says NCSC
2024/03/04 InfoSecurity — 英国のサイバー・セキュリティ専門家たちが警告するのは、企業ネットワークの境界における安全とは言えないセルフ・ホスト製品を、脅威アクターたちが標的にし始めていることだ。先週末のブログ投稿で NCSC (National Cyber Security Centre) は、ネットワーク防御者は対策と環境をアップグレードし、進化する脅威に適応する必要があると主張している。攻撃者たちは、境界から露出した製品の大半が、Secure by Design から逸脱していることに気づいており、また、一般的なクライアント・ソフトウェアよりも簡単に脆弱性を見つけ出せる対象だと知っている。
Continue reading “境界防御について再考する:レベルアップした攻撃者たちの回帰に備えて- NCSC”State-sponsored hackers know enterprise VPN appliances inside out
2024/02/29 HelpNetSecurity — Ivanti Connect Secure VPN の脆弱性を悪用して、さまざまな組織に侵入している、中国の国家支援ハッカーと思われるグループ UNC5325 は、アプライアンスに精通しているようだと、Mandiant のインシデント対応者や脅威ハンターたちは述べている。このハッカーたちは、デバイス上で数多くの改ざんを行っていた。さらに、システムのアップグレード/パッチ適用/工場出荷状態リセットなどの対策に影響されることなく、侵入した環境での永続性を獲得するために、UNC5325 は特殊なマルウェアやプラグインの展開も成功させていた。
Continue reading “Ivanti Connect Secure VPN の脆弱性:中国由来ハッカーによるマルウェア展開で悪用”CVE-2023-7235: OpenVPN Vulnerability Puts Windows Users at Risk
2024/02/21 SecurityOnline — OpenVPN は、Windows/Mac/Linux 用のバージョン 2.6.9 をリリースし、深刻な特権昇格の脆弱性 CVE-2023-7235 に対処した。この脆弱性は OpenVPN の Windows GUI インストールに影響するものであり、Will Dormann により発見された。
Continue reading “OpenVPN の脆弱性 CVE-2023-7235 が FIX:直ちにアップデートを!”CVE-2024-22394 Exposed: SonicWall SSL-VPN’s Authentication Flaw
2024/02/09 SecurityOnline — SonicWall SSL-VPN に存在する、脆弱性 CVE-2024-22394 により、認証に欠陥があることが判明した。この脆弱性 CVE-2024-22394 (CVSS:8.6) は、不適切な認証を露呈しており、リモートの攻撃者によりデバイスの認証をバイパスされる可能性を生じている。この脆弱性は、ネットワークの保護のために、SonicWall テクノロジーに依存する、数多くの組織のセキュリティに大きな脅威をもたらすものだ。
Continue reading “SonicWall SSL-VPN の脆弱性 CVE-2024-22394 が FIX:ファームウェアの更新が急がれる”Ivanti: Patch new Connect Secure auth bypass bug immediately
2024/02/08 BleepingComputer — 2月8日に Ivanti は、Connect Secure/Policy Secure/ZTA Gateway に影響を及ぼす、新たな認証バイパスの脆弱性について警告し、管理者たちにアプライアンスを直ちに保護するよう促した。この脆弱性 CVE-2024-22024 は、ゲートウェイの SAML コンポーネントの XXE (XML eXternal Entities) に起因するものである。その悪用に成功したリモート攻撃者は、ユーザーの操作や認証を必要としない低複雑度の攻撃で、パッチ未適用のアプライアンス上の制限されたリソースにアクセスできるという。
Continue reading “Ivanti ICS に新たな脆弱性 CVE-2024-22024:パッチ適用までの緩和策とは?”Warning: New Malware Emerges in Attacks Exploiting Ivanti VPN Vulnerabilities
2023/02/01 TheHackerNews — Ivanti の Connect Secure VPN/Policy Secure デバイスを標的とするポスト・エクスプロイトの活動において、UNC5221 という中国由来のスパイ・アクターなどが採用する新たなマルウェアを確認したと、Google 傘下の Mandiant が発表した。それらのマルウエアに含まれるのは、BUSHWALK/CHAINLINE/FRAMESTING/LIGHTWIRE などの、カスタム Web シェルの亜種である。
Continue reading “Ivanti VPN 上でポスト・エクスプロイト・マルウエアを観測:中国由来の APT UNC5221 の活動と重複”Cybersecurity Alert: Unseen WIREFIRE Web Shell Variant in ICS VPN Appliances
2024/01/28 SecurityOnline — 先日に QuoIntelligence が発見したのは、Python ベースのインプラントである WIREFIRE という Web シェルの新たな亜種だ。この亜種が発見されたのは、2つのゼロデイ脆弱性 CVE-2024-21887/CVE-2023-46805 を悪用して侵害された、Ivanti Connect Secure (ICS) VPN アプライアンスである。この亜種の登場が浮き彫りにするのは、サイバー・スパイ戦術の大幅な進化であり、また、インターネットに面した VPN デバイスのセキュリティに関する懸念である。
Continue reading “Ivanti VPN アプライアンスで発見:WIREFIRE Web シェル亜種のステルス性とは”Ivanti Connect Secure zero-days now under mass exploitation
2024/01/15 BleepingComputer — Ivanti の Connect Secure VPN および Policy Secure Network Access Control (NAC) アプライアンスに影響を及ぼす、2つのゼロデイ脆弱性が大規模なレベルで悪用されている。脅威インテリジェンス企業 Volexity が発見した、このゼロデイ脆弱性は 2023年12月以降の攻撃で悪用されてきた。そして、2024年1月11日からは複数の脅威グループが、CVE-2023-46805 (認証バイパス) および CVE-2024-21887 (コマンド・インジェクション) 脆弱性を連鎖させ、広範な攻撃を行っている。
Continue reading “Ivanti Connect Secure の2つの脆弱性:複数の脅威アクターにより攻撃がエスカレート”The Urgent Need to Patch Buffalo’s VR-S1000 VPN Router
2023/12/27 SecurityOnline — デジタル時代に入り、中小企業のインターネットへの依存度はますます高まっている。そして、このようなインターネットへの依存に伴い、サイバー脅威に対する脆弱性も高まっている。最近、Buffalo の VPN ルーター VR-S1000 BroadStation Pro に複数のセキュリティ脆弱性が発見されたことは、サイバー・セキュリティへの警戒が極めて重要であることを浮き彫りにしている。
Continue reading “Buffalo VR-S1000 VPN ルーターの脆弱性が FIX:PoC エクスプロイトも公開”Fake VPN Chrome extensions force-installed 1.5 million times
2023/12/22 BleepingComputer — VPN (Virtual Private Networks) を装う悪意の Chrome エクステンションが、150万回もダウンロードされていることが判明した。この悪意のエクステンションは、ブラウザ・ハイジャッカー/キャッシュバック・ハックツール/データ・スティーラーとしての、3つの機能を有しているという。この悪質なエクステンションを発見した ReasonLabs によると、それらのエクステンションは、Grand Theft Auto/Assassins Creed/The Sims 4 などの、人気ビデオゲームの海賊版に隠されたインストーラーを介して、多数のサイトから拡散しているという。
Continue reading “悪意の VPN Chrome エクステンション:すでに 150万回インストールされている”Stealthy KV-botnet hijacks SOHO routers and VPN devices
2023/12/13 BleepingComputer — Volt Typhoon (Bronze Silhouette) という中国由来の APT ハッキング・グループは、遅くとも 2022年以降において、SOHO ルーターを標的とする攻撃するために、KV-botnet ボットネットを使用していると推定される。Volt Typhoon の手口は、主に ルーター/ファイアウォール/VPN デバイスなどに対して、悪意のトラフィックをプロキシすることで、正規のトラフィックに紛れ込ませて検知を回避するというものだ。Microsoft と米国政府による共同レポートには、攻撃者たちは米国内の通信インフラを混乱させるための悪意のインフラを構築していると記されている。
Continue reading “Volt Typhoon は中国の APT:KV-botnet で SOHO ルーターや VPN 機器を攻撃?”Sophos backports RCE fix after attacks on unsupported firewalls
2023/12/12 BleepingComputer — Sophos の脆弱性 CVE-2022-3236 を悪用する攻撃が、積極的に行われていることが発見され、販売が終了している EOL (end-of-life) 製品のファームウェア・バージョン向けにも、セキュリティ・アップデートのバックポートが余儀なくされている。この問題は、Sophos Firewall の User Portal と Webadmin におけるコード・インジェクションの脆弱性に起因するものであり、リモートコード実行にいたる可能性がある。
Continue reading “Sophos の脆弱性 CVE-2022-3236:EOL デバイスを狙う積極的な攻撃を観測”Zyxel Fixed Tens Of Flaws In Firewalls, Access Points, And NAS Devices
2023/12/04 SecurityAffairs — 台湾のベンダーである Zyxel は、同社のファイアウォール/アクセスポイントに存在する数十件の問題に対処した。対処された脆弱性は、CVE-2023-35136/CVE-2023-35139/CVE-2023-37925/CVE-2023-37926/CVE-2023-4397/CVE-2023-4398/CVE-2023-5650/CVE-2023-5797/CVE-2023-5960 である。
Continue reading “Zyxel Fixed の Firewall/Access Point/NAS デバイス:複数の脆弱性が FIX”New critical Citrix NetScaler flaw exposes ‘sensitive’ data
2023/10/10 BleepingComputer — Citrix NetScaler ADC/NetScaler Gateway に存在する脆弱性 CVE-2023-4966 (CVSS : 9.4) により、アプライアンスから機密情報が漏洩する恐れがある。ただし、この攻撃の前提条件としては、対象となるアプライアンスがゲートウェイ (VPN Virtual Server/ICA Proxy/CVPN/RDP Proxy) または、AAA 仮想サーバとして設定されている必要がある。
Continue reading “Citrix NetScaler の脆弱性 CVE-2023-4966 が FIX:機密情報の漏洩”Hackers hijack Citrix NetScaler login pages to steal credentials
2023/10/09 BleepingComputer — Citrix NetScaler Gateway において、最近に発見された脆弱性 CVE-2023-3519 を悪用するハッカーたちが、ユーザー認証情報を盗み出すという、大規模なキャンペーンを展開している。Citrix NetScaler ADC/NetScaler Gateway に存在する脆弱性は、2023年7月にゼロデイとして発見された、認証を必要としないリモートコード実行のバグである。8月の初旬までの期間において、この脆弱性は、少なくとも 640台の Citrix サーバのバックドアとして悪用され、その数は8月中旬の時点で 2,000台に達している。
Continue reading “Citrix NetScaler の脆弱性 CVE-2023-3519:ログイン認証情報を採取する JavaScript”Cisco ASA Zero-Day Exploited in Akira Ransomware Attacks
2023/09/08 SecurityWeek — 今週に Cisco は、Adaptive Security Appliance (ASA) および Firepower Threat Defense (FTD) ソフトウェアに存在する、ゼロデイ脆弱性について注意を喚起した。この脆弱性は、8月以降において Akira ランサムウェア攻撃で悪用されているものだ。この 脆弱性 CVE-2023-20269 (CVSS:5.0) は、Cisco ASA/FTD のリモート・アクセス VPN 機能に存在し、ブルート・フォース攻撃の対象とされているため、認証なしでリモートから悪用される可能性がある。
Continue reading “Akira が狙う Cisco ASA のゼロデイ CVE-2023-20269:ブルートフォース攻撃?”Atlas VPN zero-day vulnerability leaks users’ real IP address
2023/09/05 BleepingComputer — Atlas VPN の Linux クライアントに存在するゼロデイ脆弱性により、Web サイトにアクセスしただけで、ユーザーの実際の IP アドレスが漏えいするという問題が生じている。Atlas VPN とは、WireGuard をベースとした費用対効果の高いソリューションを提供する VPN 製品であり、すべての主要なオペレーティング・システムをサポートしている。ある研究者が Reddit で共有した PoC エクスプロイトにより、Atlas VPN の Linux クライアントにおいて、具体的には最新バージョンである 1.0.3 において、ポート 8076 上で localhost (127.0.0.1) をリッスンする API エンド・ポイントについて、説明が行われている。
Continue reading “Atlas VPN のゼロデイ脆弱性:ユーザーの実際の IP アドレスが漏えいする可能性”Hacking campaign bruteforces Cisco VPNs to breach networks
2023/08/30 BleepingComputer — Cisco Adaptive Security Appliance (ASA) の SSL VPN を標的とし、多要素認証 (MFA) 未実施などのセキュリティ防御の不備を利用した、クレデンシャル・スタッフィング攻撃やブルートフォース攻撃が、ハッカーたちにより行われている。先週に BleepingComputer は、Akira ランサムウェア・ギャングがイニシャル・ネットワーク・アクセスのために、Cisco VPN を突破していることを報告した。
Continue reading “Akira ランサムウェア:Cisco ASA の SSL VPN へのブルートフォース攻撃を展開”Hackers use VPN provider’s code certificate to sign malware
2023/08/19 BleepingComputer — Bronze Starlight として知られる中国系の APT (Advanced Persistent Threat) グループが、Ivacy VPN プロバイダーの有効な証明書で署名したマルウェアを用いて、東南アジアのギャンブル業界をターゲットにしていることが確認された。有効な証明書を悪用することの主なメリットは、セキュリティ対策やシステム・アラートによる検知を回避し、正規のソフトウェアやトラフィックに紛れ込める点にある。このキャンペーンを分析した SentinelLabs は、その証明書について、Ivacy VPN のシンガポールのベンダーである PMG PTE LTD のものだと見ている。
Continue reading “Bronze Starlight という中国の APT:Ivancy VPN の証明書をマルウェアの署名に悪用”Almost all VPNs are vulnerable to traffic-leaking TunnelCrack attacks
2023/08/14 HelpNetSecurity — 世の中に出回っている大半の VPN 製品に影響を及ぼす複数の脆弱性が、攻撃者に悪用されていることが、研究者たちにより発見された。その悪用に成功した攻撃者たちにより、トラフィック盗聴/情報窃取/デバイス攻撃などが行われる可能性があるという。ニューヨーク大学の Nian Xue と、ニューヨーク大学アブダビ校の Yashaswi Malla/Zihang Xia/Christina Pöpper、そして、KU ルーヴェン大学の Mathy Vanhoef は、「私たちが検証した攻撃方式では、コンピューティング・コストが掛からないため、適切なネットワークア・クセスさえあれば誰もが実行可能であり、それぞれの環境で用いられている VPN プロトコルには非依存である」と主張している。
Continue reading “VPN 製品の大半に影響:TunnelCrack 攻撃でトラフィック・リークにいたる脆弱性とは?”VPNs remain a risky gamble for remote access
2023/08/04 HelpNetSecurity — Zscaler の最新レポートによると、VPN がもたらす リスクとネットワーク・セキュリティについて、ユーザー組織は深い懸念を表明している。このレポートが強調するのは、VPN の脆弱性を悪用する脅威の高まりを受けて、組織におけるセキュリティ態勢の再評価を進め、また、ゼロトラスト・アーキテクチャへと移行すべきだという点だ。
Continue reading “VPN 依存というリスキーなギャンブル:ネットワークへのアクセス権は危険”Over 640 Citrix servers backdoored with web shells in ongoing attacks
2023/08/02 BleepingComputer — Citrix Netscaler ADC/Gateway に存在する、深刻なリモートコード実行 (RCE) 脆弱性 CVE-2023-3519 を標的とする一連の攻撃で、すでに数百台のサーバが侵害され、バックドア化されているという。以前にも、この脆弱性はゼロデイとして悪用され、米国の重要インフラ組織のネットワークへの侵入の原因となっている。インターネット・セキュリティの強化に取り組む非営利団体 Shadowserver Foundation のセキュリティ研究者たちは、今回の攻撃において、少なくとも 640台の Citrix サーバ上に、Web シェルが展開されていると指摘している。
Continue reading “Citrix Netscaler の脆弱性 CVE-2023-3519 の活発な悪用:640台以上のサーバが侵害”North Korean Nation-State Actors Exposed in JumpCloud Hack After OPSEC Blunder
2023/07/25 TheHackerNews — 北朝鮮の General Bureau (RGB) に所属する活動家たちが、JumpCloud のハッキングに関与しているようだ。Google 傘下の Mandiant は、UNC4899 という名前で追跡している脅威アクターに起因する活動だとしている。このグループは、ブロックチェーンと暗号通貨セクターを攻撃してきた Jade Sleet/TraderTraitor として監視されている、クラスターと重複している可能性が高いようだ。また、UNC4899 は APT43 とも重なっている。APT43 とは、北朝鮮 (DPRK) に関連する別のハッキング・グループであり、2023年3月の初旬に、標的とした企業から暗号通貨を吸い上げるための、一連のキャンペーンを実施していることが明らかになっている。
Continue reading “JumpCloud ハッキング:北朝鮮の RGB に属する脅威アクターが関与か?”Fortinet patches pre-auth RCE, update your Fortigate firewalls ASAP! (CVE-2023-27997)
2023/06/11 HelpNetSecurity — Fortinet の Fortigate ファイヤーウォールなどを駆動する、OS/Firmware である FortiOS の複数のバージョンがリリースされた。しかし同社は、その中に含まれるリモートコード実行 (RCE) の脆弱性 CVE-2023-27997 が、ログインしていない攻撃者に悪用される危険なものであることに言及していなかった。この脆弱性は、FortiOS のバージョン 7.2.5/7.0.12/6.4.13/6.2.15 で修正されているが、明らかに v6.0.17 (昨年に Fortinet は v6.0 ブランチのサポートを正式終了) においても修正されていた。
Continue reading “Fortinet Fortigate の RCE 脆弱性 CVE-2023-27997 は危険:ただちにパッチを!”Fortinet zero-day attacks linked to suspected Chinese hackers
2023/03/16 BleepingComputer — Fortinet のゼロデイ脆弱性 CVE-2022-41328 を悪用してマルウェアを展開するという、政府機関に対する一連の攻撃の背景には、中国のハッカー集団の存在があるようだ。先週に Fortinet が開示したように、この脆弱性の悪用に成功した脅威アクターは、パッチ未適用の FortiGate ファイアウォール・デバイス上で、不正なコード/コマンドを実行することで、マルウェア・ペイロードを展開できるとされる。さらに、このマルウェアの分析を進めることで、データの流出/侵害デバイス上でのファイルのダウンロードと書き込み/細工された ICMP パケット受信によるリモートシェルのオープンといった、サイバースパイ活動にも利用可能なことが判明した。
Continue reading “Fortinet のゼロデイ悪用:ハッキングの背景に存在する中国系ハッカー集団とは?”NordVPN makes its Meshnet private tunnel free for everyone
2023/03/13 BleepingComputer — NordVPN を契約していないユーザーであっても、プライベート・トンネル機能 Meshnet の Windows/macOS/Linux バージョンを、無料で利用できるようになった。2022年6月に NordVPN が、Meshnet の提供を開始したときは有償版だった。この製品を使えば、ネットワーク・トラフィックを受け渡すための、信頼できるデバイス間でのプライベートな暗号化トンネルが作成され、本質的に自分自身の VPN (仮想プライベート・ネットワーク) サーバが得られる。
Continue reading “NordVPN の Meshnet が無償で開放:誰もが簡単にプライベート・トンネルを作れる時代に”Google One expands security features to all plans with dark web report, VPN access
2023/03/08 HelpNetSecurity — Google One に、2つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。
Continue reading “Google One の新機能:VPN アクセス/Dark Web レポートでセキュリティを強化”CISA: Federal agencies hacked using legitimate remote desktop tools
2023/01/25 BleepingComputer — 今日の共同アドバイザリで CISA/NSA/MS-ISAC は、正規の RMM (Remote Monitoring and Management) ソフトウェアを悪意の目的で、攻撃者たちが使用する傾向が強まっていることを警告した。さらに心配なことに、2022年10月中旬の Silent Push レポートの発表後に、複数の連邦民間行政機関 (FCEB) ネットワーク内において、CISA が EINSTEIN 侵入検知システムで管理しているにも関わらず、悪意のアクティビティが発見されている点だ。
Continue reading “CISA が連邦政府組織に警告:正規の RMM ソフトウェアを介した攻撃が蔓延”Over 19,000 end-of-life Cisco routers exposed to RCE attacks
2023/01/20 BleepingComputer — Cisco VPN ルーターが、リモート・コマンド実行のエクスプロイト・チェーン攻撃にさらされているが、インターネット上に 19,000台以上の製造終了 (EoL) ルーターが残されていることが判明した。先週に公開された2つの脆弱性を、脅威アクターが連鎖させることが可能となる。具体的に言うと、Cisco Small Business RV016/RV042/RV042G/RV082 ルーター OS 上で認証をバイパス (CVE-2023-20025) した後に、任意のコマンドを実行 (CVE-2023-20026?) できるのだ。
Continue reading “Cisco の VPN ルータ群:深刻な脆弱性が放置される2万台の EoL デバイス”Chinese hackers used recently patched FortiOS SSL-VPN flaw as a zero-day in October
2023/01/20 SecurityAffairs — 先日にパッチが適用された FortiOS SSL-VPN の脆弱性 CVE-2022-42475 を、中国の脅威アクターと思われる人物が、ゼロデイとして悪用したことを、Mandiant の研究者たちが報告している。この脆弱性は、欧州の政府機関やアフリカの MSP などを標的とする、一連の攻撃で悪用されたと、同社は述べている。この脆弱性は、2022年12月に Fortinet により対処されているが、攻撃自体は 10月の時点で生じていた。専門家たちが集めた証拠によると、中国のサイバースパイ活動の一環であることが示唆されている。
Continue reading “FortiOS SSL-VPN の脆弱性 CVE-2022-42475:中国由来のハッカーが 2022年10月から侵害”Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls
2022/12/10 TheHackerNews — さまざまなベンダーの Web Application Firewalls (WAF) を回避したシステムへの侵入により、企業や顧客の機密情報へのアクセスを、脅威アクターに許す可能性のある、新たな攻撃方法が発見された。WAF は重要な防衛線であり、Web アプリケーションとの間で HTTP (S) トラフィックをフィルタリング/監視/ブロックし、CSRF/XSS/SQL インジェクション/ファイル・インクルードなどの攻撃からシステムを保護するものだ。
Continue reading “WAF に JSON を投げ込む攻撃手法:バイパスが可能になるという Claroty の調査”Over 4,000 Vulnerable Pulse Connect Secure Hosts Exposed to Internet
2022/12/09 SecurityWeek — インターネット・アクセスが可能な、4,000 台以上の Pulse Connect Secure ホストが、少なくとも1つの既知の脆弱性の影響を受けていると、情報セキュリティ企業である Censys が警告している。Pulse Connect Secure は、ユーザー企業におけるリモート/モバイルを介した安全なアクセスを実現する、SSL VPN ソリューションとして広く導入されている。そして、この VPN アプライアンスは、2020年に Pulse Secure を買収した、Ivanti の製品群の1つとなっている。
Continue reading “Pulse Connect Secure VPN:日本も含めてパッチ未適用が 4,000 台以上”Report: Air-Gapped Networks Vulnerable to DNS Attacks
2022/12/08 DarkReading — 企業環境における Domain Name System (DNS) の実装方法で、よく見かけられるミスコンフィグレーションが、きわめて気密性の高い資産の保護を得目的とするエアギャップ・ネットワークを、外部攻撃者による侵害にさらす可能性があることが、研究者により明らかにされた。セキュリティ企業である Pentera の研究者たちは、12月8日に発表したブログ記事で、DNS サーバに接続するエアギャップ・ネットワークを使用している組織が、重要な資産を不用意に脅威アクターにさらし、深刻なデータ侵害を引き起こす可能性があると指摘している。
Continue reading “DNS 攻撃によるエアギャップ破壊:重要なのは 正確な設定/特性の理解/アクティビティの監視”Hive Ransomware Has Made $100m to Date
2022/11/18 InfoSecurity — 昨日に FBI/CISA/HHS (Health and Human Services) が発表した共同警告によると、ランサムウェア亜種 Hive は、これまでに 1,300以上のグローバル企業から約 $100 million の利益を得ているという。この推定利益は、2021年6月に Hive が発見されてから、約15カ月の間に発生したものだ。被害組織は、政府/通信/主要な製造業/IT企業 など多岐にわたるが、特に医療機関へ攻撃が集中しているようだ。
Continue reading “FBI/CISA/HHS 共同警告:ランサムウェア Hive の被害額が約 $100M に到達”Ukrainian CERT Discloses New Data-Wiping Campaign
2022/11/14 InfoSecurity — ウクライナのサイバー専門家たちが発見したのは、ロシアの脅威アクターと思われる者が、被害者の VPN アカウントを侵害し、ネットワーク・リソースへのアクセスや暗号化を実行するという、新たな攻撃キャンペーンの存在である。同国の CERT-UA (Computer Emergency Response Team) が発した新たな声明は、UAC-0118 として追跡されている FRwL (別名 Z-Team) により、ランサムウェア Somnia が使用されているというものだ。
Continue reading “ウクライナ CERT 対 ロシア IAB:新たなデータワイパー・キャンペーンの発見と追跡”Uyghurs Targeted With Spyware, Courtesy of PRC
2022/11/12 DarkReading — 中国政府は、イスラム教徒のウイグル族弾圧の一環として、スパイウェアを導入し、宗教的過激派と見なされる人物を検挙/拘束していると報告されている。Lookout Threat Labs の研究者たちによると、中国の支援を受けた脅威グループが、スパイウェア BadBazaar/Moonshine を、ウイグル語のサイトや SNS に広めているようだ。これらのスパイウェアは、VPN/WhatsApp/イスラム教アプリなどを使用する、同政府の言う “犯罪予備軍“ の捕捉を目的としているという。
Continue reading “ウイグル人を弾圧するスパイウェア:国家に支援される APT15 が悪意のアプリを配布”Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App
2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。
Continue reading “SandStrike という Android 向けスパイウェア:悪意の VPN アプリ経由で端末に感染”Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices
2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN/電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集/流出させるコマンドを、受信/実行する機能を持つ高度なスパイウェアとして機能するとのことだ。
Continue reading “RatMilad という新種の Android スパイウェア:VPN などを装い企業ユーザーを狙う”Sophos warns of a new actively exploited flaw in Firewall product
2022/09/23 SecurityAffairs — Sophos は、同社の Firewall 製品群に存在するコード・インジェクションの脆弱性 CVE-2022-3236 が、悪用されていることを警告している。この脆弱性 CVE-2022-3236 は、Sophos Firewall のユーザーポータルおよび Webadmin に存在し、この脆弱性の悪用に成功した攻撃者に対して、コード実行 (RCE) を許す可能性がある。
Continue reading “Sophos Firewall の深刻な脆弱性 CVE-2022-3236 が FIX:積極的な悪用を検知”Cisco confirms that data leaked by the Yanluowang ransomware gang were stolen from its systems
2022/09/12 SecurityAffairs — 8月に Cisco が公表したのは、Yanluowang ランサムウェア・ギャングが同社のネットワークに、5月下旬に侵入して内部データを盗んだというインシデントに関する詳細である。 Cisco Security Incident Response (CSIRT) と Cisco Talos が実施した調査で判明したのは、被害者のブラウザに保存された認証情報と同期している、個人の Google アカウントを操作する脅威アクターが、Cisco の従業員の認証情報を漏洩させたことである。
Continue reading “Cisco をハッキングした Yanluowang の手口:従業員の認証情報漏洩から始まった”Infra Used in Cisco Hack Also Targeted Workforce Management Solution
2022/09/01 TheHackerNews — 2022年5月に Cisco を標的とした攻撃のインフラは、その1カ月前の 2022年4月にも、無名のワークフォース管理ソリューション保有企業に対して、侵害に採用されたが未遂に終わっていた。この調査結果を公表したサイバーセキュリティ企業 eSentire は、この侵入が、Evil Corp のアフィリエイトで UNC2165 (mx1r) と呼ばれる、犯罪行為者の仕業である可能性を指摘している。
Continue reading “Cisco をハッキングした Yanluowang:Evil Corp や Conti との関連性が見えてきた”Over 9,000 VNC servers exposed online without a password
2022/08/14 BleepingComputer — 研究者たちが発見したのは、認証なしでアクセスして使用できる、少なくとも 9,000 のインターネットに露出した VNC エンドポイントであり、脅威アクターたちに内部ネットワークへのアクセスを簡単に許すものである。VNC (Virtual Network Computing) は、監視や調整が必要なシステムへの接続を支援するプラットフォーム非依存のシステムであり、ネットワーク接続を介した RFB (Remote Frame Buffer Protocol) 経由で、リモート・コンピュータの制御を可能にする。
Continue reading “VNC サーバ 9000 台が危機的な状況:パスワードを持たずにインターネットに露出”Critical RCE Bug Could Let Hackers Remotely Take Over DrayTek Vigor Routers
2022/08/04 TheHackerNews — DrayTek のルーターモデル 29 種に、リモートコード実行の脆弱性が、新たに発見され た。Trellix の研究者である Philippe Laulheret は、「デバイスの管理インターフェースが、インターネットに接続されるように設定されている場合において、この攻撃はユーザーの操作なしに引き起こされる。また、デフォルトのデバイス・コンフィグレーションでは、LAN 内からのワンクリックで、攻撃を行うことも可能だ」と述べている。また、この脆弱性 CVE-2022-32548 の悪用に成功した攻撃者は、ルータを完全に制御することが可能になるため、CVSS スコア 10.0 と評価されている。
Continue reading “DrayTek Vigor Routers の RCE の脆弱性:世界の220万台/日本の16万台は安全なのか?”
IoT OT Security News 
You must be logged in to post a comment.