Vulnerability – Page 63 – IoT OT Security News

Adobe の月例パッチ 2023/06：Adobe Commerce／Magento にコード実行の脆弱性

Patch Tuesday: Critical Flaws in Adobe Commerce Software

2023/06/13 SecurityWeek — Adobe は 6月13日 (火) に、複数の製品の深刻な欠陥に対するパッチを出荷したが、その中には、Adobe Commerce に存在するコード実行の脆弱性も含まれる。Adobe は、スケジュールされた Patch Tuesday の更新の一部として、広く展開されている Adobe Commerce (旧 Magento) 製品に存在する 12件のセキュリティ問題を文書化した。それらの脆弱性の悪用に成功した攻撃者に対して、任意のコード実行／セキュリティ機能のバイパス／任意のファイル・システムの読み取りになどを許す恐れがあると警告している。

中国のサイバー・スパイ UNC3886：VMware ESXi のゼロデイを悪用して特権を得ている

Chinese Cyberspies Caught Exploiting VMware ESXi Zero-Day

2023/06/13 SecurityWeek — UNC3886 として追跡されている中国のサイバー・スパイ・グループが、VMware ESXi のゼロデイ脆弱性を悪用して、ゲスト仮想マシンの特権を昇格させることが確認されていると、Mandiant が警告している。 2022年9月に詳細が判明した UNC3886 は、悪意の vSphere Installation Bundles (VIB) を用いて、ESXi ハイパーバイザーにバックドアをインストールし、コマンド実行／ファイル操作／リバースシェルなどの機能を獲得してきた。このグループの悪意のアクティビティは、VMware ESXi Host／vCenter Server／Windows Virtual Machine に影響を与えることになる。

Fortinet の脆弱性 CVE-2023-27997 が悪用されている：Volt Typhoon が攻撃？

Fortinet: New FortiOS RCE bug “may have been exploited” in attacks

2023/06/12 BleepingComputer — 先週パッチが適用された FortiOS SSL VPN の深刻な脆弱性だが、政府機関／製造業／重要インフラ組織に影響を与える攻撃において、悪用された可能性があると、Fortinet が発表した。この脆弱性 CVE-2023-27997 (FG-IR-23-097) は、FortiOS および FortiProxy SSL-VPN におけるヒープバッファ・オーバーフローに起因し、悪意を持って細工されたリクエストを介して、認証されていない攻撃者にリモートコード実行 (RCE) を許すものだ。

MOVEit 深刻な RCE 脆弱性 CVE-2023-34362：提供された PoC を Clop が狙う？

Exploit released for MOVEit RCE bug used in data theft attacks

2023/06/12 BleepingComputer — MOVEit Transfer MFT (managed file transfer) ソリューションに存在する、リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイト・コードを、Horizon3 のセキュリティ研究者たちがリリースした。この脆弱性は、Clop ランサムウェア・ギャングが、データ窃取攻撃で悪用しているものだ。この CVE-2023-34362 は、SQL インジェクションの脆弱性である。パッチ未適用の MOVEit サーバ上で、その悪用に成功した未認証の攻撃者は、不正にアクセスした後に、リモートから任意のコードを実行できる。

GeoServer の深刻な脆弱性 CVE-2023-35042 が FIX：RCE 攻撃が観測されている

Hackers are exploiting RCE Vulnerability (CVE-2023-35042) in GeoServer

2023/06/12 SecurityOnline — 地理空間データの閲覧／編集を可能にする、Javaで書かれたオープンソース・ソフトウェア GeoServer に、新たなセキュリティ脆弱性が発生した。このソフトウェアは、Open Geospatial Consortium (OGC) が定めたオープン・スタンダードに準拠しており、柔軟な地図の作成やデータ共有のための有力なプラットフォームとなっている。しかし、そのための強固なサーバーが、攻撃を受け続けている。

Fortinet Fortigate の RCE 脆弱性 CVE-2023-27997 は危険：ただちにパッチを！

Fortinet patches pre-auth RCE, update your Fortigate firewalls ASAP! (CVE-2023-27997)

2023/06/11 HelpNetSecurity — Fortinet の Fortigate ファイヤーウォールなどを駆動する、OS／Firmware である FortiOS の複数のバージョンがリリースされた。しかし同社は、その中に含まれるリモートコード実行 (RCE) の脆弱性 CVE-2023-27997 が、ログインしていない攻撃者に悪用される危険なものであることに言及していなかった。この脆弱性は、FortiOS のバージョン 7.2.5／7.0.12／6.4.13／6.2.15 で修正されているが、明らかに v6.0.17 (昨年に Fortinet は v6.0 ブランチのサポートを正式終了) においても修正されていた。

MOVEit Transfer の SQLi 脆弱性 CVE-2023-35036 が FIX：ただちにパッチを！

New Critical MOVEit Transfer SQL Injection Vulnerabilities Discovered – Patch Now!

2023/06/10 TheHackerNews — MOVEit Transfer を開発する Progress Software は、このファイル転送ソリューションに存在し、機密情報の窃取に至る恐れのある、SQL インジェクションの脆弱性 CVE-2023-35036 に対応するパッチをリリースした。同社は 2023年6月9日にリリースしたアドバイザリで、「複数の SQL インジェクション脆弱性が、MOVEit Transfer Web アプリケーションに存在することが確認された。認証されていない攻撃者が、MOVEit Transfer データベースに不正にアクセスする可能性がある」と述べている。

Windows の脆弱性 CVE-2023-29336 に PoC エクスプロイト：マルウェア配信で悪用される？

Researchers published PoC exploit code for actively exploited Windows elevation of privilege issue

2023/06/08 SecurityAffairs — Microsoft Windows の脆弱性 CVE-2023-29336 (CVSS：7.8) は、Win32k コンポーネントに存在する特権昇格の問題である。Win32k.sys は、Windows オペレーティング・システムにおけるシステム・ドライバであり、ユーザーモード・アプリケーションと Windows グラフィカル・サブシステムとの間に、インターフェイスを提供する役割を担っている。

API セキュリティの強化：そのための管理体制とベストプラクティスとは？

How to Improve Your API Security Posture

2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信／共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。

ホンダの機器類を販売する e コマース・サイトに脆弱性：甚大な被害が発生する可能性があった

Vulnerabilities in Honda eCommerce Platform Exposed Customer, Dealer Data

2023/06/08 SecurityWeek — 各種の機器や美品などの販売に利用されている、ホンダの eコマース・プラットフォームで発見された深刻な脆弱性の詳細が、ある研究者により公開された。この欠陥の悪用に成功した攻撃者は、顧客やディーラーの情報にアクセスできる可能性があったという。このセキュリティ・ホールとデータ流出の可能性は、米国在住の研究者 Eaton Zveare により、今年の初めに発見された後に、３月中旬にはホンダに通知された。同社は直ちに問題に対処するための措置を講じ、このホワイトハット・ハッカーに感謝の意を表したが、バグバウンティ・プログラムを設けていないため、報酬は与えなられなかった。なお、ホンダは、悪用の証拠は見つからなかったと述べている。

Cisco Secure Client の深刻な脆弱性 CVE-2023-20178 が FIX：SYSTEM への特権昇格

Cisco fixes privilege escalation bug in Cisco Secure Client

2023/06/08 SecurityAffairs — Cisco Secure Client (旧 AnyConnect Secure Mobility Client) で発見された、深刻な脆弱性 CVE-2023-20178 (CVSS：7.8) が修正された。この脆弱性が、低特権の認証済みのローカル攻撃者に悪用されると、SYSTEM アカウントへの権限昇格を許すことになる。Cisco のアドバイザリには、「Cisco AnyConnect Secure Mobility Client Software for Windows および Cisco Secure Client Software for Windows のクライアント・アップデート機能に存在する脆弱性により、低特権の認証されたローカル攻撃者が、SYSTEM の特権に昇格する可能性がある」と記されている。

OWASP API Top-10 Risk の 2023版が公開：これまでの 2019版との違いは？

OWASP’s 2023 API Security Top 10 Refines View of API Risks

2023/06/07 SecurityWeek — 2023年の主要な API セキュリティ・リスクに関する、OWASP のランキングが発表された。このランキングは、2019年との類似点が多いが、いくつかが再編成／再定義されたのに加えて、新しいコンセプトも含まれている。

VMware Aria Operations for Networks の深刻な脆弱性 CVE-2023-20887 などが FIX

VMware fixes critical vulnerability in vRealize network analytics tool

2023/06/07 BleepingComputer — 6月7日に、VMware Aria Operations for Networks における複数の深刻な脆弱性に対処するための、セキュリティ・パッチがリリースされた。これらの脆弱性の悪用に成功した攻撃者は、リモート・コード実行や機密情報へのアクセスが可能になる。このネットワーク可視化／分析ツールは、管理者によるネットワーク・パフォーマンスの最適化や、各種の VMware／Kubernetes 展開の管理／拡張などを可能にするものであり、以前は vRealize Network Insight (vRNI) として知られていた。

2022年の CVE は 25％増で 25,096件：6年連続で前年を上回る

CVEs Surge By 25% in 2022 to Another Record High

2023/06/07 InfoSecurity — Skybox Security がまとめたデータによると、米国政府から報告された新たな脆弱性の数は毎年 25%ずつ増加しており、2022年には過去最高となる25,096件に達したという。セキュリティベンダーである同社は、Vulnerability and Threat Trends Report 2023 をまとめるにあたり、NVD (National Vulnerability Database) の分析を行った。

British Airways／BBC などでデータ侵害が発生：MOVEit @ Zellis の脆弱性悪用が原因

British Airways, BBC and Boots were impacted the by Zellis data breach

2023/06/06 SecurityAffairs — 給与計算プロバイダー Zellis へのサイバー攻撃により、BBC と British Airways の従業員の個人データが漏洩したことが判明した。タブロイド紙の The Mirror は、「英国に拠点を置く Zellis は、ファイル転送ソフトである MOVEit へのサイバー・セキュリティ攻撃の影響を受けたと見られている。Zellis の他に影響を受けた企業の中には、British Airways も含まれている」と報じている。

Google Chrome 114 がリリース：スパイウェアに悪用されるゼロデイ脆弱性に対応

Google Patches Third Chrome Zero-Day of 2023

2023/06/06 SecurityWeek — 6月5日 (月) に Google は、2023年に入ってから Chrome で見つかった、３つ目のゼロデイ脆弱性に対してパッチを当てるセキュリティアップ・デートを公開した。Google によると、Chrome の最新バージョン 114 では、V8 JavaScript エンジンに影響をおよぼす、タイプ・コンフュージョンの脆弱性 CVE-2023-3079 などの、２件の欠陥を修正したとのことだ。同社は、この脆弱性は 6月1日に発見され、野放し状態で悪用されていると指摘したが、攻撃に関する情報は一切共有していない。

CISA KEV 警告 23/06/02：Progress MOVEit の脆弱性 CVE-2023-34362 を追加

CISA orders govt agencies to patch MOVEit bug used for data theft

2023/06/04 BleepingComputer — CISA は、Progress MOVEit MFT (managed file transfer) ソリューションに存在し、積極的に悪用される脆弱性を、既知の悪用リストに追加し、米国連邦政府機関に対しては、6月23日までにシステムにパッチを当てるよう命じた。この深刻な脆弱性 CVE-2023-34362 は、SQL インジェクションの欠陥であり、認証されていないリモートの攻撃者に対して、MOVEit Transfer データベースへのアクセスと、任意のコード実行を許すものだとされる。

MOVEit Transfer に深刻なゼロデイ脆弱性：すでに活発に悪用されている

Critical zero-day vulnerability in MOVEit Transfer exploited by attackers!

2023/06/01 HelpNetSecurity — Progress Software の企業向け MFT (Managed File Transfer) ソリューションである、MOVEit Transfer に存在する深刻なゼロデイ脆弱性が、脅威アクターたちによる企業データ窃取に悪用されている。同社は 5月31日のアドバイザリで、「この脆弱性が悪用されると、権限昇格や環境への不正アクセスにつながる可能性がある。パッチを作成するまで、MOVEit Transfer 環境を保護してほしい」と顧客に呼びかけている。

Google Drive からのデータ流出：痕跡が残らないという欠陥が発見された

Threat actors can exfiltrate data from Google Drive without leaving a trace

2023/06/01 HelpNetSecurity — Google Workspace (旧 G Suite) には、悪意のサードパーティやインサイダーが Google Drive からデータを流出させても、それを発見できないという欠陥があると、Mitiga の研究者たちは述べている。Google Workspace において、組織の Google Drive リソースを可視化する方法は、ファイルのコピー／削除／ダウンロード／閲覧などのアクションに対して、 “Drive log events” を使用することで達成される。

WordPress の Jetpack プラグインに深刻な脆弱性：２日間で 500万件のパッチが自動配信された

Millions of WordPress Sites Patched Against Critical Jetpack Vulnerability

2023/05/31 SecurityWeek — この数日の間に、約 500万件の WordPress サイトに適用された自動アップデートにより、2012年に発生した深刻な脆弱性が修正された。Automattic 社により管理されている Jetpack は、マルウェア・スキャン／リアルタイム・バックアップと復元、スパムとブルートフォースに対する保護などの、セキュリティ機能を提供する WordPress プラグインである。これらのセキュリティ・ツールは、500万以上のアクティブ・インストールを持つという、このコンテンツ管理システムにおける最も人気のプラグインの１つとなっている。

Apple macOS における SIP バイパスの脆弱性：Ventura／Monterey／Big Sur に影響

Microsoft Details Critical Apple macOS Vulnerability Allowing SIP Protection Bypass

2023/05/31 TheHackerNews — Apple macOS における、すでに修正済の脆弱性の詳細を、Microsoft が発表した。この脆弱性が、root アクセス権を持つ脅威アクターにより悪用されると、影響を受けるデバイス上でセキュリティを回避され、任意のアクションを実行される可能性があるという。

Python ReportLab PDF Lib の深刻な脆弱性：悪意の HTML を読ませるだけでコード実行

Exploit released for RCE flaw in popular ReportLab PDF library

2023/05/31 BleepingComputer — HTML 入力から PDF ファイルを生成するために、数多くのプロジェクトで使用されている人気の Python ライブラリ ReportLab Toolkit に存在する。リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイトが公開された。昨日に GitHub で公開された、脆弱性 CVE-2023-33733 の PoC エクスプロイトには、技術的な詳細を提供する記事も含まれるため、現実世界における悪用の可能性が高くなる。ReportLab Toolkit は、PDF ライブラリとして複数のプロジェクトで利用されており、PyPI (Python Package Index) において、月間約 350万のペースでダウンロードされている。

Mirai ボットネットが Zyxel Firewall をハッキング：修正済の CVE-2023-28771 を悪用

Zyxel Firewalls Hacked by Mirai Botnet

2023/05/26 SecurityWeek — Mirai ボットネットの亜種が、最近にパッチがリリースされた脆弱性 CVE-2023-28771 を悪用して、Zyxel ファイアウォールを大量にハッキングしている。4月25日の時点で Zyxel は、影響を受ける ATP／VPN／USG Flex／ZyWALL／USG／ファイアウォールに対してパッチをリリースし、このセキュリティ脆弱性について顧客に通知を行っている。

CISA KEV 警告 23/05/26：Barracuda ESG の脆弱性 CVE-2023-2868 を追加

CISA Adds CVE-2023-2868 Vulnerability to KEV Catalog

2023/05/26 SecurityOnline — 終わりのないサイバー戦争において、新たな脅威が出現した。米国の Cybersecurity and Infrastructure Security Agency (CISA) が発した警告は、Barracuda の Email Security Gateway (ESG) アプライアンスに存在する、セキュリティ脆弱性に関するものだ。この脆弱性 CVE-2023-2868 (CVSS：9.4) は、リモートの攻撃者にシステム・コマンド実行を許すため、侵入やデータ漏洩の可能性を生じるという。

Buhti というランサムウェア：LockBit／Babuk のコードを流用する新たな脅威

New Buhti ransomware gang uses leaked Windows, Linux encryptors

2023/05/25 BleepingComputer — Buhti と命名された新しいランサムウェア・オペレーションが、LockBit／Babuk ランサムウェア・ファミリーの流出コードを使用して、Windows／Linux システムを狙っている。Blacktail として追跡されている Buhti の背後にいる脅威アクターは、独自にランサムウェアを開発せずに、”double-extortion” として知られるカスタムデータ流出ユーティリティを使用して被害者を脅迫している。2023年2月に Palo Alto Networks の Unit 42 チームにより、野放し状態で活動している Buhti が発見されたが、Goland ベースのランサムウェアであり、Linux を標的としていることが確認されている。

D-Link D-View 8 の脆弱性 CVE-2023-32165／CVE-2023-32169：β 版パッチがリリース

D-Link fixes two critical flaws in D-View 8 network management suite

2023/05/25 SecurityAffairs — D-Link は、D-View 8 における２つの深刻な脆弱性 (CVSS：9.8) を修正した。これらの脆弱性は、悪用に成功した攻撃者に対して、認証なしでリモート・コード実行を許すものである。D-View は、ネットワーク管理スイートであり、パフォーマンの監視やデバイスの設定を行い、効率的にネットワークを管理するためのツールだ。これらの脆弱性は、2022年12月23日に Trend Micro の Zero Day Initiative (ZDI) を通じて、D-Link に報告された。

GitLab の深刻な脆弱性 CVE-2023-2825：Ver 16.0.0 ユーザーは直ちにアップデートを！

GitLab ‘strongly recommends’ patching max severity flaw ASAP

2023/05/24 BleepingComputer — GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS：10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされた。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有している。

OAuth の深刻な脆弱性が FIX：Expo Framework を介したアカウント乗っ取りの可能性

OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers

2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。

CISA KEV 警告 23/05/22：iPhone／iPad／Mac の３つの脆弱性を追加

CISA adds iPhone bugs to its Known Exploited Vulnerabilities catalog

2023/05/22 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、iPhone／iPad／Mac に影響を及ぼす３件のつのゼロデイ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この３つの問題は、WebKit ブラウザ・エンジンに存在する、脆弱性 CVE-2023-32409／CVE-2023-28204／CVE-2023-32373 となる。

Zyxel Firewall の深刻な脆弱性 CVE-2023-28771：root 権限での OS コマンド実行 PoC が提供される

Vulnerability in Zyxel firewalls may soon be widely exploited (CVE-2023-28771)

2023/05/22 HelpNetSecurity — 先日に修正された、Zyxel ファイアウォールに存在するコマンド・インジェクションの脆弱性 CVE-2023-28771 が、近い将来において野放し状態で悪用される可能性があると、Rapid7 の研究者たちが警告を発している。彼らは、この脆弱性をトリガーして、リバース root シェルへといたる、PoC スクリプトも公開している。

KeePass 2.X の脆弱性 CVE-2023-32784：マスター・パスワードが流出するおそれ

KeePass Flaw Exposes Master Passwords

2023/05/19 InfoSecurity — パスワード管理ソフトウェアの KeePass 2.X に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プログラムのメモリからマスター・パスワードをダンプすることが可能になる。脆弱性 CVE-2023-32784 は、セキュリティ研究者の Dominik Reichl により発見されたものであり、2023年6月上旬にリリースされる KeePass 2.54 で修正される予定だ。5月18日に Reichl が、この脆弱性を詳述するセキュリティ・レポートを GitHub で公開している。その中で、この脆弱性は、マスター・パスワードがキーボードで入力された場合にのみ悪用され、クリップボードからコピーされた場合には悪用されないことも明らかにされた。

Apple の iPhone／Mac／WebKit の脆弱性が FIX：３件のゼロデイを含む数十件の欠陥

Apple Patches 3 Exploited WebKit Zero-Day Vulnerabilities

2023/05/19 SecurityWeek — 5月19日にリリースされた、Apple のセキュリティ・アップデートにより、iPhone／Mac への攻撃で悪用される可能性のある、数十件の脆弱性が FIX した。その中には、ブラウザ・エンジンである WebKit に影響を及ぼす、３件のゼロデイ脆弱性も含まれている。積極的に悪用される脆弱性のうち、CVE-2023-28204／CVE-2023-32373 は、匿名の研究者たちが Apple に報告したものだ。これらの脆弱性の悪用に成功した攻撃者は、特別に細工された Web コンテンツを処理させる (悪意のサイトに誘導するなど) ことでユーザーを騙し、機密情報の漏えいや任意のコード実行を可能にするという。

Cisco Small Business Switches の RCE 脆弱性 CVE-2023-20159 などが FIX：直ちにパッチ適用を！

Cisco warns of critical switch bugs with public exploit code

2023/05/17 BleepingComputer — Cisco は 5月17日に、複数の Small Business Series Switches に影響を及ぼす４つの深刻なリモート・コード実行の脆弱性について、顧客に警告した。これらのセキュリティ脆弱性は、エクスプロイト・コードが公開されており、深刻度は CVSS スコア 9.8 と、ほぼ最大の評価を受けている。この脆弱性の悪用に成功した攻撃者は、侵害したデバイス上で認証を必要とすることなく、root 権限で任意のコードを実行できる。

産業用ワイヤレス・ルーターに深刻な脆弱性：Sierra／Teltonika／InHand の問題とは？

Industrial Cellular Routers at Risk: 11 New Vulnerabilities Expose OT Networks

2023/05/15 TheHackerNews — 産業用セルラー・ルーターを提供する３社のクラウド管理プラットフォームに、OT ネットワークを外部からの攻撃に晒す可能性がある、複数のセキュリティ脆弱性が存在することが判明した。先週に開催された Black Hat Asia 2023 カンファレンスで、イスラエルの産業用サイバー・セキュリティ企業 OTORIO により、この調査結果が発表された。同社は、「全体で 11件の脆弱性は、リモートでコードを実行し、数十万台のデバイスと OT ネットワークを完全に制御できる。場合によっては、クラウドを使用するような、コンフィグレーションが施されていないデバイスも対象になる」と述べている。

CISA／FBI の共同勧告：PaperCut の脆弱性 CVE-2023-27350 が悪用されている

PaperCut Software Flaw Sparks Ransomware Attacks, CISA Warns

2023/05/12 InfoSecurity — PaperCut ソフトウェアの深刻な脆弱性が、近ごろの一連のランサムウェア攻撃に悪用されていると、米国の CISA が警告を発している。広く採用されている印刷管理ソリューション PaperCut に存在する、脆弱性 CVE-2023-27350 の悪用に成功した攻撃者は、認証情報を必要とせずに悪意のコードをリモートで実行できるようになる。その結果として、攻撃者はランサムウェアの展開に成功し、機密データへの不正アクセスに成功している。

Netgear RAX30 ルーターに５つの脆弱性：連鎖によるリモート・コード実行が可能

Netgear Routers’ Flaws Expose Users to Malware, Remote Attacks, and Surveillance

2023/05/12 TheHackerNews — Netgear RAX30 ルーターに存在する、５つものセキュリティ脆弱性が公表された。これらの脆弱性は、連鎖的に認証を回避し、リモート・コード実行を許すものだ。Claroty のセキュリティ研究者である Uri Katz は、「これらの脆弱性の悪用に成功した攻撃者たちは、ユーザーのインターネット活動の監視／インターネット接続の乗っ取り／悪意の Web サイトへのトラフィックのリダイレクト／ネットワーク・トラフィックへのマルウェア注入などが可能になる」とレポートで述べている。

XWorm マルウェアを配信するフィッシング攻撃が急増中：脆弱性 Follina が悪用されている

XWorm Malware Exploits Follina Vulnerability in New Wave of Attacks

2023/05/12 TheHackerNews — 独自の攻撃チェーンを利用して、標的のシステム上に XWorm マルウェアを配信する、進行中のフィッシング・キャンペーンを、サイバー・セキュリティ研究者たちが発見した。この、MEME#4CHAN と命名されたキャンペーンで標的にされているのは、主にドイツの製造会社や医療クリニックだと、Securonix は述べている。セキュリティ研究者である Den Iuzvyk／Tim Peck／Oleg Kolesnikov は、「この攻撃キャンペーンは、被害者を感染させるために、かなり珍しいミーム充填 PowerShell コードと、それに続く重く難読化された XWorm ペイロードを使用している」と、The Hacker News と共有した新しい分析で述べている。

Cyber Threat Landscape 2023/04：リスク・インテリジェンスの指標 – Flashpoint

Risk Intelligence Index: The April 2023 Cyber Threat Landscape

2023/05/11 SecurityBoulevard — Flashpoint の最新のランサムウェア・インフォグラフィックは、サイバー犯罪者が採用する戦術の洗練と、進化する脅威の状況を痛烈に描き出している。2023年4月に、同社のアナリストたちは、合計で 411件のランサムウェア攻撃を観測している。

WordPress の Elementor プラグインの脆弱性が FIX：100 万件の Web サイトに乗っ取りの危険性

WordPress Elementor plugin bug let attackers hijack accounts on 1M sites

2023/05/11 BleepingComputer — WordPress で人気を博している、Essential Addons for Elementor に存在する権限昇格の脆弱性の悪用に成功したリモートの未認証の攻撃者が、サイトの管理者権限を獲得する可能性があることが判明した。Essential Addons for Elementor は、100万以上の WordPress サイトで使用されているページ・ビルダー Elementor 用の、90種類のエクステンションを搭載したライブラリである。2023年5月8日に PatchStack が発見した、この脆弱性 CVE-2023-32243 はプラグインのパスワード・リセット機能における、未認証の攻撃者による権限昇格を可能にするものであり、バージョン 5.4.0〜5.7.1 に影響を及ぼす。

Windows に新たなゼロデイ：Outlook クライアントの強制接続で NTLM 認証情報を盗み出す

Experts Detail New Zero-Click Windows Vulnerability for NTLM Credential Theft

2023/05/10 TheHackerNews — サイバー・セキュリティ研究者たちは、Windows の MSHTML プラットフォーム上の、すでにパッチが適用されている脆弱性の詳細を共有し、悪用の可能性があることを明らかにした。この脆弱性 CVE-2023-29324 (CVS：6.5) の悪用に成功した攻撃者は、セキュリティ機能の整合性保護をバイパスできると説明されている。この脆弱性は、2023年5月の Patch Tuesday 更新プログラムの一部として、Microsoft により対処されている。

Microsoft Secure Boot のゼロデイ CVE-2023-24932：アップデートしてもデフォルトでは無効？

Microsoft issues optional fix for Secure Boot zero-day used by malware

2023/05/09 BleepingComputer — Microsoft がリリースしたセキュリティ・アップデートは、Secure Boot のゼロデイ脆弱性に対応するものであり、パッチを適用した Windows システムであっても、BlackLotus UEFI Bootkit による感染を許すものだった。Secure Boot とは、セキュリティ機能のひとつである。Unified Extensible Firmware Interface (UEFI) ファームウェアと Trusted Platform Module (TPM) チップを搭載したコンピュータにおいて、OEM に信頼されていないブートローダーがブロックされ、起動プロセス中にルートキットがロードされないようにするものだ。

Linux カーネルの NetFilter に新たな脆弱性 CVE-2023-32233：root レベルへの権限昇格が可能

New Linux kernel NetFilter flaw gives attackers root privileges

2023/05/09 BleepingComputer — Linux カーネルの NetFilter コンポーネントで、新たな脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、権限のないローカル・ユーザーから root レベルまで権限を昇格させ、システムを完全にコントロールできるようになるという。この脆弱性 CVE-2023-32233 だが、現時点では深刻度レベルが決定されていない (訳者注記：NVD では CVSS 値 7.5) 。この脆弱性は、Netfilter nf_tables が設定に対する、無効な更新を受け入れることに起因しており、無効なバッチ要求がサブシステムの内部状態の破壊につながるという、特定のシナリオが可能になるという。

AndoryuBot という新たなボットネット：Ruckus Wireless の脆弱性を突いて増殖している

New Botnet Campaign Exploits Ruckus Wireless Flaw

2023/05/09 InfoSecurity — Linux ベースの Ruckus AP (access point) に存在する深刻な脆弱性が、リモート攻撃を仕掛ける脅威アクターにより制御を奪われる可能性があることが判明した。Fortinet の最新アドバイザリによると、2023年2月に発見された脆弱性 CVE-2023-25717 が、AndoryuBot という新たなボットネットに悪用されているという。

Microsoft 2023-5 月例アップデートは３件のゼロデイと 38件の脆弱性に対応

Microsoft May 2023 Patch Tuesday fixes 3 zero-days, 38 flaws

2023/05/09 BleepingComputer — 今日は Microsoft の May 2023 Patch Tuesday の日だ。このセキュリティ更新プログラムにより、活発に悪用されるゼロデイ脆弱性３件と、合計で 38件の不具合が修正された。このうち、Critical と評価された６つの脆弱性は、リモート・コード実行にいたる恐れのあるものだ。

WordPress プラグイン Advanced Custom Fields：XSS 脆弱性 CVE-2023-30777 が FIX

WordPress custom field plugin bug exposes over 1M sites to XSS attacks

2023/05/05 BleepingComputer — セキュリティ研究者たちは、数百万件のレベルでインストールされている、WordPress プラグイン Advanced Custom Fields と Advanced Custom Fields Pro が、XSS (Cross-Site Scripting) 攻撃に対して脆弱であると警告している。この２つのプラグインは、WordPress で最も人気のあるカスタム・フィールド・ビルダーであり、世界中のサイトに 2,000,000 のアクティブ・インストールが存在している。2023年5月2日に、Patchstack の研究者である Rafie Muhammad は、これらのプラグインで深刻な反射型 XSS の欠陥を発見し、この脆弱性には識別子 CVE-2023-30777 が付与された。

Fortinet の FortiADC／FortiOS に存在する深刻な脆弱性が FIX：任意のコマンド実行

Fortinet fixed two severe issues in FortiADC and FortiOS

2023/05/05 SecurityAffairs — Fortinet が対処した９件の脆弱性は、同社の複数の製品に影響を与えるものであり、その中には、FortiADC／FortiOS／FortiProxy に存在する、CVE-2023-27999／CVE-2023-22640 という深刻な欠陥も含まれる。

Cisco Phone Adapter の脆弱性 CVE-2023-20126：EoL のためパッチは適用されない

Cisco phone adapters vulnerable to RCE attacks, no fix available

2023/05/04 BleepingComputer — Cisco SPA112 2-Port Phone Adapters の、Web ベースの管理インターフェイスに存在する脆弱性の悪用により、認証されていないリモートの攻撃者が、デバイス上で任意のコードを実行できることが公表された。この脆弱性 CVE-2023-20126 (CVSS：9.8：Critical) は、ファームウェアのアップグレード機能における、認証プロセスの欠落が原因となっている。

Microsoft Azure の API Management の脆弱性が FIX：SSRF などに対応 – Ermetic

Researchers Discover 3 Vulnerabilities in Microsoft Azure API Management Service

2023/05/04 TheHackerNews — Microsoft Azure API Management サービスにおいて、機密情報やバックエンド・サービスへのアクセスを試みる脅威アクターに、悪用される可能性のある３つの新たな脆弱性が公開された。イスラエルのクラウド・セキュリティ企業 Ermetic によると、そこに含まれるのは、２つの SSRF (Server-Side Request Forgery) の欠陥と、API Management 開発者ポータルにおける無制限ファイル・アップロード機能の欠陥である。

Netgear NMS300 ProSAFE の深刻な脆弱性：権限昇格と認証情報の漏えい – Flashpoint

Netgear Vulnerabilities Lead to Credentials Leak, Privilege Escalation

2023/05/03 SecurityWeek — Netgear の NMS300 ProSAFE に存在する脆弱性の悪用に成功した攻撃者が、平文の認証情報を取得し、権限昇格を可能にすると、サイバー・セキュリティ企業 Flashpoint が報告している。この Netgear のネットワーク・ツールは、デバイスを管理するための Web ベース・インターフェイスをユーザーに提供するものだ。その通信には TCP ポート 8080 を使用し、管理者アカウントに加えて、権限の低いオペレーターや、オブザーバーなどの、アカウント・ロールをサポートしている。その中でも、オブザーバー・アカウントのユーザーに許されるのは、ネットワーク機能の表示と監視だけであるが、この低特権のロールからから、デバイスを管理するロールへと、権限昇格が可能なことを Flashpoint は確認している。

Apple と Google が連携：AirTags 悪用などによる不正追跡を排除するスタンダードとは？

Apple and Google Join Forces to Stop Unauthorized Tracking Alert System

2023/05/03 TheHackerNews — Apple と Google が連携して取り組み始めたのは、たとえば AirTags のようなデバイスが悪用され、ユーザーの知らないうちに追跡されている場合に警告し、安全上のリスクを取り除くための仕様のドラフトである。両社は共同声明で、「この業界初の仕様により、Bluetooth 位置追跡デバイスは、Android／iOS プラットフォームにおいて、不正な追跡の検出と警告の対象になる」と述べている。