Vulnerability – Page 61 – IoT OT Security News

CISA KEV 警告 23/08/10：.NET／Visual Studio の脆弱性 CVE-2023-38180 を追加

CISA adds actively exploited flaw in .NET, Visual Studio to its Known Exploited Vulnerabilities catalog

2023/08/10 SecurityAffairs −−− 米国 CISA は、.NET／Visual Studio に影響を及ぼすゼロデイ脆弱性 CVE-2023-38180 (CVSS：7.5) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性が悪用されると、サービス運用妨害 (DoS) 状態が引き起こされる可能性があるとして、Microsoft は August 2023 Patch Tuesday で対処している。なお、この脆弱性のあるシステムは、ユーザーの操作なしに悪用可能であり、悪用には権限が不要だと、同社は述べている。

Western Digital／Synology NAS デバイスの脆弱性：数百万ユーザーのファイルが流出

Western Digital, Synology NAS Vulnerabilities Exposed Millions of Users’ Files

2023/08/09 SecurityWeek — IoT／OT サイバー・セキュリティ企業 Claroty の調査により、Western Digital (WD) と Synology の NAS (Network Attached Storage) 製品に深刻な脆弱性が発見された。同社によると、数百万人のユーザーの、ファイルが流出した可能性があるという。これらの脆弱性と、その悪用の検証は、2022年12月に Zero Day Initiative がトロントで開催した、ハッカー・コンテスト Pwn2Own で実演されている。参加者たちはスマートフォン／プリンター／ルーター／NAS デバイス／スマート・スピーカーなどをハッキングして、総額 $1M 近くの報奨金を獲得した。

最新の CPU に新たなサイドチャネル脆弱性：Collide+Power／Downfall／Inception とは？

Collide+Power, Downfall, and Inception: New Side-Channel Attacks Affecting Modern CPUs

2023/08/09 TheHackerNews — サイバー・セキュリティ研究者たちが、最新の CPU からの機密データ漏えいに悪用される可能性のある、３件のつのサイドチャネル攻撃の詳細を公開した。それらの新たな手法は、Collide+Power (CVE-2023-20583)／Downfall (CVE-2022-40982)／Inception(CVE-2023-20569) として追跡されている。先日には、Zenbleed (CVE-2023-20593) として知られる、AMD Zen 2 アーキテクチャー・ベースのプロセッサーに影響を与える、別のセキュリティ脆弱性の公開に続くものである。

Spring WebFlux の深刻な脆弱性 CVE-2023-34034 が FIX：PoC エクスプロイトも登場

High-Severity Access Control Vulnerability Found in Spring WebFlux

2023/08/09 InfoSecurity — Spring Security の最新バージョンに、新たな脆弱性 CVE-2023-34034 (CVSS：9.8) が見つかった。Spring Security は Java ベースの Spring フレームワークの不可欠なパートであり、強固な認証とアクセス制御に対応している。その幅広いユーザー・ベースにより、このセキュリティ上の脆弱性が悪用されると、壊滅的な結果につながる可能性が生じる。

Microsoft VS Code に脆弱性：悪意のエクステンションに認証トークン窃取の構造的な欠陥？

Malicious extensions can abuse VS Code flaw to steal auth tokens

2023/08/08 BleepingComputer — Microsoft のコード・エディターおよび開発環境である、VS Code (Visual Studio Code) に脆弱性により、Windows／Linux／macOS のクレデンシャル・マネージャーに保存されている認証トークンの取得を、悪意のエクステンションに許す可能性があることが発見された。これらのトークンは、Git／GitHub などのコーディング・プラットフォームや、各種のサードパーティ・サービスおよび API との統合に使用されるものだ。そのため、これらのトークンの窃取により、組織のデータ・セキュリティに深刻な影響が生じ、不正なシステム・アクセスやデータ侵害などにいたる可能性があるという。

Microsoft Office／Windows Search の RCE 脆弱性 CVE-2023-36884 が FIX

Microsoft Office update breaks actively exploited RCE attack chain

2023/08/08 BleepingComputer — Microsoft は 8月8日に、CVE-2023-36884 として追跡されている RCE 脆弱性の悪用を防ぐ、Microsoft Office のアップデートをリリースした。このアップデートは、7月に公開された CVE-2023-36884 を修正するものだ。その当時、Microsoft はパッチを適用せずに、緩和のためのアドバイスを提供していた。当初、この脆弱性は、Microsoft Office の RCE (Remote Code Execution) として報告されていたが、さらなる検証の結果、Windows Search の RCE として分類された。

Microsoft 2023-08 月例アップデート：２件のゼロデイと 87件の脆弱性に対応

Microsoft August 2023 Patch Tuesday warns of 2 zero-days, 87 flaws

2023/08/08 BleepingComputer −−− 今日は Microsoft の August 2023 Patch Tuesday であり、積極的に悪用される脆弱性２件と、リモート・コード実行の脆弱性 23件を含む、87件の脆弱性に対するセキュリティ更新プログラムが提供された。23件の RCE バグが修正されたが、Microsoft が Critical と評価したのは、そのうちの６件のみである。

Clop ランサムウェアの MOVEit 攻撃：データ流出に Torrent の利用を開始

Clop ransomware now uses torrents to leak data and evade takedowns

2023/08/05 BleepingComputer — ランサムウェア・グループの Clop は、MOVEit 攻撃で盗んだデータを流出させる手段として、新たに Torrent を使用するようになっている。Clop は 5月27日に、ファイル転送プラットフォームである MOVEit Transfer のゼロデイ脆弱性を悪用したデータ窃取攻撃を開始した。同グループは、このゼロデイ脆弱性 CVE-2023-34362 を悪用することで、ハッキングに気付かれる前に、世界中の約 600の組織からデータを盗み出すことに成功した。

PaperCut に新たな脆弱性 CVE-2023-39143：RCE にいたるが悪用は難しい

New PaperCut flaw in print management software exposes servers to RCE attacks

2023/08/05 SecurityAffairs — Windows 用の印刷管理ソフトウェア PaperCut に、深刻度の高い脆弱性 CVE-2023-39143 (CVSS：8.4) が存在することが、Horizon3 のサイバー・セキュリティ研究者たちにより発見された。この脆弱性の悪用に成功した攻撃者は、特定の条件下において、リモートで・コードを実行することが可能になる。この、パストラバーサルの脆弱性 CVE-2023-39143 により、任意のファイルの読取／削除／アップロードが、攻撃者に対して許される可能性がある。この脆弱性は、PaperCut NG/MF のバージョン 22.1.3 以前に影響する。

2022年に悪用された脆弱性 Top-12：Five Eyes／FBI／CISA／NSA の共同勧告

FBI, CISA, and NSA reveal top exploited vulnerabilities of 2022

2023/08/03 BleepingComputer — Five Eyes のサイバー・セキュリティ当局は、CISA／NSA／FBI と共同で、2022年に最も悪用された 12件の脆弱性リストを発表した。米国／英国／豪州／カナダ／ニュージーランドの５カ国からなるサイバー・セキュリティ当局は、世界中の組織に対し、これらのセキュリティ上の脆弱性に対処し、パッチ管理システムを導入して、潜在的な攻撃にさらされる機会を最小限に抑えるよう呼びかけた。2022年に脅威アクターたちは、新たに公表された脆弱性よりも、古いとされる脆弱性に対して、攻撃を集中させる傾向を強め、特にパッチが適用されずにインターネット上に露出したままのシステムを標的としてきた。

Facebook ユーザーを狙うフィッシング・キャンペーン：Salesforce のゼロデイを悪用

Phishers Exploit Salesforce’s Email Services Zero-Day in Targeted Facebook Campaign

2023/08/02 TheHackerNews — Salesforce の E メール・サービスに存在する、ゼロデイ脆弱性を悪用する巧妙な Facebook フィッシング・キャンペーンが確認された。この脅威アクターは、Facebook のドメインとインフラを使用して、標的型フィッシング・メッセージを作成できるという。Guardio Labs の研究者である Oleg Zaytsev と Nati Tal は、「このフィッシング・キャンペーンは、Facebook の Web ゲーム・プラットフォーム存在するレガシーな問題と、Salesforce の脆弱性を連鎖させることで、従来の検出方法を巧みに回避している」と、The Hacker News と共有したレポートの中で述べている。

Citrix Netscaler の脆弱性 CVE-2023-3519 の活発な悪用：640台以上のサーバが侵害

Over 640 Citrix servers backdoored with web shells in ongoing attacks

2023/08/02 BleepingComputer — Citrix Netscaler ADC／Gateway に存在する、深刻なリモートコード実行 (RCE) 脆弱性 CVE-2023-3519 を標的とする一連の攻撃で、すでに数百台のサーバが侵害され、バックドア化されているという。以前にも、この脆弱性はゼロデイとして悪用され、米国の重要インフラ組織のネットワークへの侵入の原因となっている。インターネット・セキュリティの強化に取り組む非営利団体 Shadowserver Foundation のセキュリティ研究者たちは、今回の攻撃において、少なくとも 640台の Citrix サーバ上に、Web シェルが展開されていると指摘している。

CVSS と CISA KEV だけに頼らない脆弱性管理：EPSS という新たな指標が登場

Relying on CVSS alone is risky for vulnerability management

2023/07/31 HelpNetSecurity — Rezilion によると、脆弱性の優先順位付けを CVSS のみに依存する管理の手法は、最善ではないことが判明しているようだ。実際のところ、それぞれの脆弱性のリスクを評価するために、CVSS の深刻度スコアのみに依存することは、脆弱性をランダムに選択して修復することに変わりないという。よりスケーラブルで効果的な優先順位の決定戦略を可能にするためには、さらなるコンテキストが必要となる。このコンテキストには、標的環境の内部的な情報源 (資産に関する重要性／緩和策／到達可能性) だけでなく、外部的な情報源も必要になる。

Canon インクジェット・プリンターの問題：初期化しても Wi-Fi 接続設定が消去されない

Canon warns of Wi-Fi security risks when discarding inkjet printers

2023/07/31 BleepingComputer — Canon の SOHO インクジェット・プリンターの初期化時に、デバイスのメモリに保存された Wi-Fi 接続設定が消去されず、データへの不正アクセスを許す脆弱性が存在すると警告されている。この脆弱性の悪用が、修理技術者／一時的なユーザー／デバイスの将来の購入者により行われると、プリンタ・メモリが抜き取られて Wi-FI ネットワークの接続情報を取得され、影響を受けるユーザーにリスクをもたらされる可能性がある。

P2PInfect ワームが Redis を侵害：洗練された手口と Rust で書かれたコードとは？

New P2PInfect Worm Targets Redis Servers with Undocumented Breach Methods

2023/07/31 TheHackerNews — P2PInfect P2 ワームは、これまで文書化されていないイニシャル・アクセス方法を用いて、影響を受けやすい Redis サーバに侵入し、ボットネットへと取り込んでいることが確認されている。Cado Security の研究者である Nate Bill と Matt Muir は、「このマルウェアは、レプリケーション機能を悪用することで、Redis データストアの露出したインスタンスを侵害する。クラウド環境の Redis に対する一般的な攻撃パターンは、悪意のインスタンスを介して上記の機能を悪用し、レプリケーションを有効化することである。具体的に言うと、公開された Redis インスタンスに接続し、SLAVEOF コマンドを発行することで実現する」と、The Hacker Newsと共有したレポートの中で述べている。

Barracuda ESG 攻撃に新たなマルウェア：Submarine と呼ばれるバックドア – CISA

CISA: New Submarine Backdoor Used in Barracuda Campaign

2023/07/31 InfoSecurity — Barracuda セキュリティ・アプライアンスを標的として連邦政府ネットワークに侵入した中国の脅威アクターが、Submarine と呼ばれる新たなバックドアを、攻撃の一部で利用していたことが明らかにされた。この攻撃に関する Mandiant のオリジナル・レポートでは、このグループが使用した３種類のバックドア Seaside／Saltwater／Seaspy に焦点が当てられている。しかし、7月28日に CISA が、”永続性を確立し維持する” ためにの、新たなバックドア型マルウェアが配備されたことを明らかにした。

積極的に悪用された 41 件のゼロデイ脆弱性 – 2022年調査 Google TAG

In 2022, more than 40% of zero-day exploits used in the wild were variations of previous issues

2023/07/30 SecurityAffairs — Google Threat Analysis Group (TAG) の Maddie Stone が、野放し状態のゼロデイ脆弱性について執筆する、2022年のイヤー・イン・レビューが公表された。これは、2019／2020／2021 年に続く、４年目のレビューでもある。研究者たちは 2022年において、アクティに悪用された 41 件のゼロデイ欠陥を開示したが、これは2014年半ばに追跡を開始して以来、２番目の記録となった。ちなみに、最悪だったのは、2021 年の 69 件である。

Metabase BI Software の深刻な脆弱性 CVE-2023-38646 が FIX：早急な対応が必要

Major Security Flaw Discovered in Metabase BI Software – Urgent Update Required

2023/07/28 TheHackerNews — 人気の BI データ可視化ソフトウェア・パッケージである Metabase のユーザーは、新たに発見された深刻なリモートコード実行の脆弱性を修正するために、最新バージョンへとアップデートするよう勧告されている。その悪用に関しては、認証が不要だとされる。この脆弱性 CVE-2023-38646 は、OpenSource Edition の Ver 0.46.6.1 以前および、Enterprise Edition の Ver 1.46.6.1 以前に存在する。

IDOR 脆弱性がデータ漏洩に悪用されている：ACSC／CISA／NSA が共同勧告

Cybersecurity Agencies Warn Against IDOR Bugs Exploited for Data Breaches

2023/07/28 TheHackerNews — オーストラリアおよび米国のサイバーセキュリティ機関が、共同サイバー・セキュリティ・アドバイザリを発表した。同アドバイザリは、脅威アクターにより悪用される可能性のある、Web アプリケーションのセキュリティ脆弱性を警告するものだ。この脆弱性には、Insecure Direct Object Reference (IDOR) と呼ばれる特定のクラスのバグが含まれる。これはアクセス制御の脆弱性の一種であり、ユーザーから提供された入力または識別子を追加の検証なしに、データベース・レコードなどの内部リソースに、アプリケーションがダイレクトにアクセスする場合に発生する。

新種のマルウェア Submarine：Barracuda ESG のゼロデイ CVE-2023-2868 を悪用

CISA: New Submarine malware found on hacked Barracuda ESG appliances

2023/07/28 BleepingComputer — Barracuda ESG (Email Security Gateway) アプライアンスの、すでにパッチが適用されているゼロデイバグを悪用する、Submarine と呼ばれる新しいマルウェアが、連邦政府機関のネットワーク上にバックドアに仕掛けていると、CISA が警告している。2023年5月に検出された一連のデータ盗難攻撃で、親中国派と見られるハッカー・グループ UNC4841 が、バックドアを展開していたことが確認された。そして、同グループは、遅くとも 2022年10月から活動していたとされる。

政府系サービス企業 Maximus に MOVEit ハッキング：最大 1100万人の個人情報を侵害

Up to 11 Million People Hit by MOVEit Hack at Government Services Firm Maximus

2023/07/27 SecurityWeek — 今週に、政府系サービス・プロバイダーの Maximus が発表したのは、2023年の前半において MOVEit サイバー攻撃を受け、最大で 1100万人分の個人情報が盗み出されたという被害の内容である。この、2023年5月末に公表された攻撃は、MOVEit Transfer の MFT (Managed File Transfer) ソフトウェアのゼロデイ脆弱性を悪用するもので、このソフトを介して、脅威アクターは転送されたデータを窃取していた。

AWS 環境の 62% が Zenbleed 脆弱性の影響を受ける：修正を急ぐ AMD

Wiz Says 62% of AWS Environments Exposed to Zenbleed Exploitation

2023/07/26 SecurityWeek — AWS 環境の 62% パーセントが、新たに文書化された AMD Zen 2 プロセッサの、Zenbleed 情報漏洩脆弱性にさらされている可能性があると、クラウド・セキュリティ企業 Wiz の研究者たちが報告している。7月23日 (水) に投稿されたリサーチ・ノートにおいて、AWS 環境の 60％以上が Zen 2 CPU を搭載した EC2 インスタンスを実行しているため、use-after-free メモリ破損バグの影響を受ける可能性があると、Wiz は算出している。

Zimbra のゼロデイ CVE-2023-38750 が FIX：CISA KEV にも追加

Zimbra patches zero-day vulnerability exploited in XSS attacks

2023/07/27 BleepingComputer — Zimbra Collaboration Suite (ZCS) メール・サーバを標的とする攻撃で悪用された、ゼロデイ脆弱性を修正するセキュリティ・アップデートが、最初の情報公開から２週間後にリリースされた。この、脆弱性 CVE-2023-38750 は、Google Threat Analysis Group のセキュリティ研究者である Clément Lecigne により発見された反射型 XSS (Cross-Site Scripting) である。XSS 攻撃は深刻な脅威であり、その悪用に成功した脅威アクターは、脆弱なシステム上での機密情報の窃取や、悪意のコード実行を可能にする。

WordPress の Ninja Forms プラグイン：３件の深刻な脆弱性が FIX

WordPress Ninja Forms plugin flaw lets hackers steal submitted data

2023/07/27 BleepingComputer — WordPress で人気のフォーム作成プラグイン Ninja Forms には、攻撃者に特権への昇格を許し、ユーザー・データ窃取へといたる、３つの脆弱性が存在する。2023年6月22日に Patchstack の研究者たちは、この３つの脆弱性を発見し、プラグインの開発元である Saturday Drive に情報を公開した。そして、2023年7月4日に、Saturday Drive はバージョン 3.6.26 をリリースし、脆弱性を修正した。しかし、WordPress.org の統計によると、Ninja Forms の最新リリースをダウンロードしたのは、すべてのユーザーの約半数に過ぎず、約 40万件のサイトに攻撃の可能性が残されているという。

Ubuntu ユーザーの 40% に脆弱性：Linux カーネル・プロジェクトとの整合性の問題

Almost 40% of Ubuntu users vulnerable to new privilege elevation flaws

2023/07/26 BleepingComputer — 先日に、Ubuntu カーネルに取り込まれてしまった２つの Linux 脆弱性により、権限のないローカル・ユーザーによる昇格昇格が、発生する可能性が生じている。Ubuntu は、最も広く利用されている Linux ディストリビューションの１つであり、特に米国では人気が高く、約 4000万人以上のユーザーを抱えている。Wiz の研究者である S. Tzadik と S. Tamari により発見された、脆弱性 CVE-2023-32629／CVE-2023-2640 が、このオペレーティング・システムに取り込まれてしまったことで、Ubuntu のユーザー・ベースの約 40％に影響が生じている。ｖ

MikroTik RouterOS の深刻な脆弱性 CVE-2023-30799：50万台以上にハッキングの可能性

Critical MikroTik RouterOS Vulnerability Exposes Over Half a Million Devices to Hacking

2023/07/26 TheHackerNews — MikroTik RouterOS に深刻な権限昇格の脆弱性が発見された。この脆弱性の悪用に成功した攻撃者が、リモートで任意のコードを実行し、脆弱なデバイスを完全に制御する可能性がある。VulnCheck は 7月25日のレポートで、この脆弱性 CVE-2023-30799 (CVSS：9.1) により、合計で約 140万台の RouterOS システムが、Web／Winbox インターフェイスを介して悪用の危険にさらされると明らかにした。

VMware の深刻な脆弱性が FIX：Cloud Foundry API 管理者クレデンシャルへのアクセス

VMware fixes bug exposing CF API admin credentials in audit logs

2023/07/25 BleepingComputer — VMware の Tanzu Application Service for VMs (TAS for VMs) および Isolation Segment に存在する、情報漏えいの脆弱性が修正された。TAS for VMは、オンプレミス／パブリック／プライベート・クラウド (vSphere／AWS／Azure／GCP／OpenStack など) にまたがるアプリケーションを、ユーザー企業がデプロイする際の自動化を促進するものだ。この脆弱性 CVE-2023-20891 は、7月25日に Vmware が対処したものであり、パッチを適用していないシステムにおいて、Cloud Foundry API の管理者認証情報に対して、低権限のリモート攻撃者によるアクセスを許すものとなっている。

Microsoft の MSMQ サービスに３つの深刻な脆弱性：４月と７月の月例で対応済み

Critical Flaws Found in Microsoft Message Queuing Service

2023/07/25 InfoSecurity — Microsoft Message Queuing (MSMQ) サービスで、３つの脆弱性が発見された。MSMQ は、アプリケーション間の安全な通信を可能にするために、複数のコンピュータ上で動作するよう設計された、独自のメッセージング・プロトコルである。7月24日 (月) に発表したアドバイザリで、Fortinet のサイバー・セキュリティ研究部門である FortiGuard Labs が、これらの欠陥について説明している。

Apple が大規模なセキュリティ・アップデートを実施：カーネルの脆弱性 CVE-2023-38606 などが FIX

Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks

2023/07/24 SecurityWeek — 7月24日に Apple は、同社の主力プラットフォームである iOS／macOS／iPadOS に対して、大規模なセキュリティ・アップデートを行なった。今回のアップデートには、iOS／macOS におけるコード実行の深刻な脆弱性に対するパッチも含まれている。また、Apple によると、iOS／iPadOS／macOS 搭載デバイスに影響する、カーネルの脆弱性 CVE-2023-38606 は、iOS 15.7.1 以下において、すでに活発に悪用されていたという。

Ivanti EPMM (MobileIron) のゼロデイ CVE-2023-35078 が FIX：早急にパッチ適用を！

Ivanti patches MobileIron zero-day bug exploited in attacks

2023/07/24 BleepingComputer — 7月23日に、米国の IT ソフトウェア企業である Ivanti は、同社のモバイル・デバイス管理ソフトウェアである Endpoint Manager Mobile (EPMM／旧 MobileIron Core) のゼロデイ脆弱性にパッチを適用した。この、リモート認証を必要としない API アクセスの脆弱性は、CVE-2023-35078 として追跡されている。そしてパッチ適用は、EPM 11.8.1.1／11.9.1.1／11.10.0.2 で対処されている。なお、11.7.0.0／11.5.0.0 を含む、11.8.1.0 以下の未サポート／サポート終了のバージョンも対象となる。

Atera Windows インストーラのゼロデイ CVE-2023-26077／CVE-2023-26078：権限昇格攻撃の危険性

Critical Zero-Days in Atera Windows Installers Expose Users to Privilege Escalation Attacks

2023/07/24 TheHackerNews — リモート監視／管理ソフトウェアである Atera の Windows インストーラーに、権限昇格のゼロデイ脆弱性が発見された。これらの脆弱性は、2023年2月28日に Mandiant により発見され、CVE-2023-26077／CVE-2023-26078 として追跡されており、Atera が 2023年4月17日にリリースした 1.8.3.7 と、2023年6月26日にリリースした 1.8.4.9 で、それぞれが修正されている。

Atlassian Confluence／Bamboo の脆弱性 CVE-2023-22508 などが FIX：CISA も警告

Atlassian Patches Remote Code Execution Vulnerabilities in Confluence, Bamboo

2023/07/24 SecurityWeek — Atlassian は、Confluence Data Center／Server に存在する２つの RCE 脆弱性、および、Bamboo Data Center の脆弱性に対するパッチをリリースした。これらの脆弱性のうち、最も深刻なものは CVE-2023-22508 (CVSS：8.5) であり、Confluence 7.4.0 に影響を及ぼす。２つ目の脆弱性 CVE-2023-22505 (CVSS：8.0) は、Confluence 8.0.0 に影響を及ぼすものだ。これらの脆弱性の悪用に成功した攻撃者は、機密性／完全性／可用性に影響を与える任意のコードを実行する可能性がある。その悪用にはユーザーとのインタラクションは不要だが、攻撃者は有効なユーザーとして認証される必要がある。

OpenSSH の forwarded ssh-agent の脆弱性 CVE-2023-38408 が FIX：RCE にいたる恐れ

A flaw in OpenSSH forwarded ssh-agent allows remote code execution

2023/07/24 SecurityAffairs — Qualys Threat Research Unit (TRU) の研究者たちがが、OpenSSH の forwarded ssh-agent に存在するリモートコード実行の脆弱性を発見した。OpenSSH (Open Secure Shell) は、ネットワーク上で安全な暗号化通信を提供する、オープンソースのツール／ユーティリティのセットである。つまり、SSH (Secure Shell) プロトコルの実装として広く使われており、インターネットなどの安全でないネットワーク上で、他のコンピューターやサーバとの安全なリモート接続を、ユーザーは確立できることになる。

CISA 警告 23/07/21：Citrix のゼロデイ CVE-2023-3519 がインフラ組織への攻撃で悪用

Citrix Zero-Day Exploited Against Critical Infrastructure Organization

2023/07/21 SecurityWeek — CISA の 7月20日の発表によると、先日に公表された Citrix のゼロデイ脆弱性 CVE-2023-3519 が、重要インフラ組織への攻撃に悪用されているようだ。CISA は、この攻撃が既知の脅威アクターによるものとは断定していない。そして CISA は、標的となった重要インフラ組織で確認された TTPs (Tactics, Techniques, and Procedures) を、潜在的な攻撃を検知する際に有効な情報として共有している。これまでにも Citrix の脆弱性は、金銭的な動機に基づくサイバー犯罪者および、国家に支援される中国などの脅威アクターといった、双方の敵対者により悪用されてきた。

Web 会議ツール Apache OpenMeetings の深刻な脆弱性 CVE-2023-29032 など

Apache OpenMeetings Web Conferencing Tool Exposed to Critical Vulnerabilities

2023/07/20 TheHackerNews — Web 会議ソリューションである Apache OpenMeetings に、複数のセキュリティ上の脆弱性が存在することが明らかになった。その悪用に成功した攻撃者により、管理者アカウントの制御を奪取され、サーバ上で悪意のコードを実行される可能性があるという。Sonar の Vulnerability Researcher である Stefan Schiller は、「攻撃者は、アプリケーションを想定外の状態に追い込み、管理者アカウントなどの、各種のユーザー・アカウントを乗っ取ることができる」と、The Hacker News と共有したレポートの中で述べている。

Zyxel ファイアウォールの脆弱性 CVE-2023-28771：Mirai 亜種による積極的な悪用を観測

Zyxel Vulnerability Exploited by DDoS Botnets on Linux Systems

2023/07/20 InfoSecurity — Zyxelファイアウォールで発見された深刻な脆弱性が、分散型サービス拒否 (DDoS) ボットネットに積極的に悪用されている。Fortinet のセキュリティ研究者たちが特定した、この脆弱性 CVE-2023-28771 は Linux プラットフォームに影響を及ぼすものだ。この脆弱性の悪用に成功したリモートの攻撃者は、脆弱性のあるシステムを不正に制御し、DDoS 攻撃を行うことが可能になる。

P2PInfect という新種のワーム：Redis サーバの脆弱性 CVE-2022-0543 が狙われている

New P2PInfect worm malware targets Linux and Windows Redis servers

2023/07/23 BleepingComputer — 7月11日にセキュリティ研究者たちは、インターネットに公開された Windows／Linux 上で動作する Redis インスタンスを標的とする、自己拡散機能を備えた新しい P2P マルウェアを発見した。Lua サンドボックス・エスケープの脆弱性 CVE-2022-0543 が放置されている Redis サーバに、この Rust ベースのワーム (P2PInfect と命名) が侵入することも、Unit 42 の研究者たちは発見した。この２週間において、インターネットに公開された 307,000 台以上の Redis サーバが発見されているが、P2PInfect の攻撃に対して潜在的に脆弱なのは 934 インスタンスに過ぎないと、研究者たちは述べている。

エンタープライズ・セキュリティにおけるマクロ・シフトを探る – Scale 調査

Exploring the macro shifts in enterprise security

2023/07/20 HelpNetSecurity — Scale の 2023 Cybersecurity Perspectives Survey によると、ランサムウェア攻撃とデータ侵害の成功件数は昨年１年間で 30％減少したが、ユーザー組織から報告されたセキュリティ・インシデントの種類は増加した。実際のところ、71％の組織が３種類以上のセキュリティ・インシデントを経験しており、前年比で 51％増となっている。特にクラウドの状況が急速に進化し、人手不足が続いている中で、ネットワークを保護するための困難な戦いに、セキュリティ・チームは直面し続けている。

Atlassian Jira の Stagil プラグインにおける２つの脆弱性：悪用する攻撃者が観測されている

Two Jira Plugin Vulnerabilities in Attacker Crosshairs

2023/07/19 SecurityWeek — Atlassian Jira のプラグインである、”Stagil navigation for Jira – Menus & Themes” における２つのパストラバーサル脆弱性を悪用する攻撃者がいるらしいと、SANS Internet Storm Center が警告している。このプラグインは、Atlassian のマーケット・プレイスを通じて配布され、Jira インスタンスをナビゲータ／サブメニューなどを要素で、カスタマイズすることを可能にするものだ。2023年2月に公開された、脆弱性 CVE-2023-26255／CVE-2023-26256 の深刻度は High であり、プラグインのバージョン 2.0.52 で対処されている。

GE Cimplicity の深刻な脆弱性：ロシアの Sandworm グループに悪用される可能性

Recently Patched GE Cimplicity Vulnerabilities Reminiscent of Russian ICS Attacks

2023/07/19 SecurityWeek — 先日に GE がパッチを適用した、Cimplicity 製品における十数件の脆弱性は、悪名高いロシアのハッカー・グループによる ICS 攻撃を彷彿とさせるものだ。7月18日 (火) に CISA は、世界中の主要組織の重要インフラ部門などで使用されている、GE の Cimplicity の HMI／SCADA 製品で見つかった脆弱性について、ユーザーに対するアドバイザリを発表した。CISA アドバイザリには、任意のコード実行のために悪用される可能性のある、一連の欠陥に割り当てられた CVE-2023-3463 について記されている。

Chrome 115 がリリース：４件の High を含む全体で 20件の脆弱性に対応

Chrome 115 Patches 20 Vulnerabilities

2023/07/19 SecurityWeek — 7月18日 (火) に Google が発表したのは、外部の研究者から報告された 11件を含む、20件の脆弱性に対するパッチを適用した、Chrome 115 のステイブル・チャンルへのリリースである。外部から報告されたセキュリティ欠陥のうちの４件は、深刻度 High と評価されている。バグ報奨金をベースに考えると、それらの中で最も深刻なのは、WebRTC の use-after-free に起因する、脆弱性 CVE-2023-3727／CVE-2023-3728 である。Google によると、それぞれの研究者に対して、$7,000 の報奨金が支払われたという。

Adobe ColdFusion の脆弱性：７月の月例アップデートの混乱が明らかになった

New Vulnerabilities Found in Adobe ColdFusion

2023/07/18 InfoSecurity — Web 開発コンピューティング・プラットフォームである Adobe ColdFusion に、複数の脆弱性が存在することを、Rapid7 のセキュリティ研究者たちが発見した。2023年7月11日に Adobe は、Rapid7 が発見したアクセス制御バイパスの脆弱性 CVE-2023-29298 および、任意のコード実行を可能にする安全でないデシリアライズの脆弱性 CVE-2023-29300 を含む、ColdFusion に影響を及ぼす複数の脆弱性にパッチをリリースしている。しかし、最近になって Rapid7 は、これらの脆弱性の一部が数日後も悪用されており、また、一部のパッチが不完全であることを確認した。彼らは、7月17日にアドバイザリで調査結果を公表した。

Google Cloud Build の深刻な脆弱性：MOVEit 悪用のような問題を生じる恐れ

Google Cloud Build bug lets hackers launch supply chain attacks

2023/07/18 BleepingComputer — クラウド・セキュリティ企業 Orca Security が発見した、Google Cloud Build サービスの重大な設計上の欠陥は、攻撃者を特権へとエスカレートさせ、Google Artifact Registry コード・リポジトリへの、ほぼ完全なアクセスを提供する可能性があるというものだ。この Bad.Build と名付けられた欠陥を悪用する脅威アクターたちは、Google Cloud Build の CI/CD (continuous integration and delivery) サービスのアカウントになりすまし、アーティファクト・レジストリに対して API コールを実行し、アプリケーション・イメージを制御することが可能になる。たとえば、悪意のコードの注入や、脆弱なアプリの作成などを行った後に、顧客の環境内に悪意のあるアプリをデプロイした攻撃者が、サプライチェーン攻撃を仕掛ける可能性が生じてくる。

WooCommerce の深刻な脆弱性 CVE-2023-28121：侵害の試みが 100万回以上も記録される

WooCommerce Bug Exploited in Targeted WordPress Attacks

2023/07/18 InfoSecurity — 人気の WordPress プラグインを侵害しようとする試みが、この数日間で 100万回以上を記録したと、セキュリティ研究者たちが警告している。Wordfence によると、この攻撃は 7月14日に始まり、週末にかけて続き、7月16日には 157,000 件のサイトに対する 130万件の攻撃というピークに達したという。この攻撃は WooCommerce Payments プラグインの、深刻な脆弱性 CVE-2023-28121 (CVSS：9.8) を悪用するものだ。

MOVEit ハッキング：340 の組織と 1800万人を超える個人が侵害された – Emsisoft

MOVEit Hack: Number of Impacted Organizations Exceeds 340

2023/07/17 SecurityWeek — Clop グループが仕掛ける MOVEit 攻撃により、影響を受けた組織の数は 340 に達し、1800万人を超える被害者を生み出したと報じられている。サイバー・セキュリティ企業 Emsisoft の脅威アナリストであり、このキャンペーンを監視している Brett Callow は、現時点において米国内の 58 の教育機関を含む、347 の組織が影響を受けていると述べた。この中には、先週に学生と従業員のデータが盗まれた可能性のある、コロラド州立大学も含まれている。

MS Office ドキュメントを悪用する攻撃：LokiBot マルウェアの新たな手口に注意

LokiBot Malware Targets Windows Users in Office Document Attacks

2023/07/14 InfoSecurity — 悪意の Office 文書を介して拡散する、LokiBot と呼ばれる巧妙なマルウェアに、Windows ユーザーたちが再び狙われている。Fortinet の Security Researcher である Cara Lin の最新アドバイザリによると、攻撃者たちは既知の脆弱性 CVE-2021-40444／CVE-2022-30190 などを悪用することで、Microsoft Office 文書内に悪意のマクロを埋め込んでいるという。これらのマクロが実行されると、被害者のシステム上に LokiBot マルウェアがドロップされ、機密情報の収集などが行われる。

Juniper が約 50件の脆弱性に対応：Junos OS／Contrail Cloud などが対象

Juniper Networks Patches High-Severity Vulnerabilities in Junos OS

2023/07/13 SecurityWeek — 7月13日に Juniper Networks が発表したソフトウェア・アップデートは、同社の Junos OS／Junos OS Evolved／Junos Space に存在する、複数の深刻度の高い脆弱性に対処するものだ。Juniper が発表した 17件のアドバイザリには、約 12 件の Junos OS のセキュリティ脆弱性と、同社製品で使用されているサードパーティ製コンポーネントにおける 30 件以上もの脆弱性について詳述されている。

Linux の偽 PoC エクスプロイトに御用心：GitHub を悪用してマルウェアを配布

Fake Linux vulnerability exploit drops data-stealing malware

2023/07/13 BleepingComputer — サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているという。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続／未承認のシステム・アクセス試行／非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見した。

Zimbra Collaboration Suite に深刻なゼロデイ脆弱性：管理者に推奨されるパラメータの変更とは？

Zimbra urges admins to manually fix zero-day exploited in attacks

2023/07/13 BleepingComputer — 7月13日 (木) に Zimbra は、Zimbra Collaboration Suite (ZCS) の電子メール・サーバを標的とする攻撃で悪用されている、ゼロデイ脆弱性を手動で修正するよう、管理者に呼びかけた。この、広く採用されている電子メールおよびコラボレーションのプラットフォームは、世界の 140カ国にまたがる 20万以上の企業で採用されており、その中には 1,000以上の政府機関や金融機関も含まれている。

Cisco SD-WAN vManage の深刻な脆弱性 CVE-2023-20214 が FIX：REST API に注意

Cisco SD-WAN vManage impacted by unauthenticated REST API access

2023/07/13 BleepingComputer — Cisco SD-WAN vManage 管理ソフトウェアには、影響を受けるインスタンスの設定における限定的な読取／書込みの権限を、認証されていないリモートの攻撃者に許してしまう脆弱性が存在する。Cisco SD-WAN vManage はクラウドベースのソリューションであり、複数の場所に分散したネットワークの、ユーザー企業による設計／展開／管理を可能にする。vManage のインスタンスは、集中型ネットワーク管理／VPN の設定／SD-WAN オーケストレーション／デバイス設定の展開／ポリシーの適用などに使用される。