Zero-Day – Page 3 – IoT OT Security News

VeraCore の脆弱性 CVE-2025-25181／CVE-2024-57968 を悪用：製造業と流通業を狙う XE Group

Cybercrime gang exploited VeraCore zero-day vulnerabilities for years (CVE-2025-25181, CVE-2024-57968)

2024/02/05 HelpNetCecurity — 在庫管理と注文処理で人気のソリューション VeraCore に存在する、ゼロデイ脆弱性 CVE-2025-25181／CVE-2024-57968 が、サイバー犯罪集団 XE Group により秘密裏に悪用されている。この XE Group は、製造業と流通業をターゲットにして、10年以上にわたって活動していると、Intezer と Solis Security の研究者たちは指摘している。

Android Kernel のゼロデイ CVE-2024-53104 などが FIX：48 件の脆弱性を修正

Google fixes Android kernel zero-day exploited in attacks

2025/02/03 BleepingComputer — 2025年2月の Android セキュリティ・アップデートでは 48 件の脆弱性が修正されたが、その中には、実際に悪用されているゼロデイ脆弱性も含まれる。この重大度の高いゼロデイ脆弱性 CVE-2024-53104 は、Android Kernel の USB Video Class ドライバーにおける権限昇格の欠陥であり、認証済のローカルの脅威アクターに低複雑度の攻撃を許し、その結果として権限昇格が引き起こされるという。

Zyxel CPE デバイスのゼロデイ脆弱性 CVE-2024-40891：実環境での悪用を確認

Zyxel CPE Devices Face Active Exploitation Due to Unpatched CVE-2024-40891 Vulnerability

2025/01/29 TheHackerNews — Zyxel CPE シリーズのデバイスに影響を与える、ゼロデイ脆弱性 CVE-2024-40891 だが、実環境における活発な悪用が確認されている。2025年1月28日に公開された GreyNoise のブログで Glenn Thorpe は、「この脆弱性の悪用に成功した攻撃者は、影響を受けるデバイス上での任意のコマンド実行を達成し、完全なシステム侵害／データ流出／ネットワーク侵入の可能性を手にする」と述べている。

FortiOS／FortiProxy のゼロデイ CVE-2024-55591 の PoC が公開：45,000件のデバイスが危険な状態

PoC Releases for Fortinet Zero-Day Vulnerability CVE-2024-5559, 45,000 Remain Vulnerable

2025/01/28 SecurityOnline — Fortinet FortiOS／FortiProxy 製品に存在する、深刻なゼロデイ脆弱性 CVE-2024-55591 (CVSS：9.8) の PoC エクスプロイト・コードと技術的詳細が、サイバー・セキュリティ企業の watchTowr Labs から公開された。この脆弱性は、すでに企業の実環境での悪用が確認されており、ネットワークの侵害やファイアウォールの乗っ取りなどの原因となっている。

Apple 製品群のゼロデイ脆弱性 CVE-2025-24085 が FIX：悪用を観測

CVE-2025-24085: Apple Patches Actively Exploited Zero-Day Vulnerability

2025/01/27 SecurityOnline — Apple がリリースし緊急セキュリティ・アップデートは、 iOS／iPadOS／macOS／tvOS／watchOS／visionOS に影響を及ぼす、ゼロデイ脆弱性 CVE-2025-24085 (CVSS：7.8) に対処するものだ。この脆弱性が悪用されると、デバイス上の高権限が、悪意のアプリケーションにより獲得する可能性がある。すでに iPhone ユーザーを標的にした、実環境での悪用が確認されている。

Adobe／Foxit PDF Reader の “ゼロデイ振舞”：NTLM 情報漏洩に至る恐れ

Unveiling Zero-Day Behavior in PDF Samples: The Risk of NTLM Information Leaks

2025/01/15 SecurityOnline — EXPMON の最近の調査で検出されたのは、ローカル (ネット) NTLM 情報の漏洩につながる可能性がある、特定の PDF サンプルの “ゼロデイ振舞” である。それは、ゼロデイ攻撃とは異なるものであるが、観測された振舞が浮き彫りにするのは、Adobe Reader や Foxit Reader などの一般的な PDF アプリに生じる、重大なリスクである。

Windows Hyper-V のゼロデイ脆弱性 CVE-2025-21333 などが FIX：実環境での悪用を確認

Microsoft fixes actively exploited Windows Hyper-V zero-day flaws

2025/01/15 HelpNetSecurity — Microsoft は、January 2025 Patch Tuesday において、様々な製品に影響をおよぼす 157件の脆弱性に対処した。そのうちの３件 (Hyper-V) の脆弱性は、積極的な悪用が確認されている。悪用が確認された３つのゼロデイ脆弱性は、CVE-2025-21333 (バッファ・オーバーフローの脆弱性) および、 CVE-2025-21334／CVE-2025-21335 (解放後メモリ使用の欠陥) である。

Microsoft 2025-01 月例アップデート：８件のゼロデイを含む 159件の脆弱性に対応

Microsoft January 2025 Patch Tuesday fixes 8 zero-days, 159 flaws

2025/01/14 BleepingComputer — 今日は、Microsoft の 2025年1月 Patch Tuesday の日だ。今月の Patch Tuesday としては、159 件の脆弱性に対するセキュリティ更新プログラムが提供されている。その中には９件のゼロデイ脆弱性が含まれており、そのうちの３件は、積極的な悪用が確認されているものだ。この Patch Tuesday で修正された脆弱性には、情報漏えい／権限昇格／リモート・コード実行などの、12 件の Critical が含まれる。

Windows CLFS のゼロデイ脆弱性 CVE-2024-49138 が FIX：悪用も確認

Microsoft fixes exploited zero-day (CVE-2024-49138)

2024/12/10 HelpNetSecurity — Microsoft December 2024 Patch Tuesday では、同社の製品に存在する 71件の脆弱性が修正されたが、その中には、悪用が確認されているゼロデイ脆弱性 CVE-2024-49138 が含まれている。この脆弱性は、Windows CLFS (Common Log File System) ドライバのヒープバッファ・オーバーフローに起因する。Microsoft の指摘は、この脆弱性の悪用に成功した攻撃者は、ターゲット・ホストにおける権限を、SYSTEM に昇格させる可能性を手にするというものだ。

Microsoft 2024-12 月例アップデート：１件のゼロデイを含む 71件の脆弱性に対応

Microsoft December 2024 Patch Tuesday fixes 1 exploited zero-day, 71 flaws

2024/12/10 BleepingComputer — 今日は、Microsoft の December 2024 Patch Tuesday の日である。今月の Patch Tuesday では、71件の脆弱性に対するセキュリティ更新が提供されたが、その中には、公開された１件のゼロデイ脆弱性が含まれている。なお、今回の Patch Tuesday では、16件のリモート・コード実行の脆弱性が修正されている。

Mitel MiCollab のゼロデイ脆弱性 CVE-N/A：別の脆弱性との連鎖が懸念される

Unpatched Zero-Day Vulnerability in Mitel MiCollab Exposes Businesses to Serious Security Risks

2024/12/06 SecurityOnline — Mitel MiCollab に新たに発見されたゼロデイ脆弱性により、機密性の高いビジネス・データのセキュリティに、深刻な懸念が生じている。 watchTowr の研究者たちが発見した、この脆弱性 (CVE 識別子は未取得) は、影響を受けるシステム上において攻撃者に任意のファイル読み取りを許すものだ。さらに、この脆弱性と組み合わせて、MiCollab の別の修正済の脆弱性 CVE-2024-41713 を悪用する攻撃者は、機密情報や重要なシステム・ファイルへの不正アクセスの可能性を手にする。

北朝鮮ハッカー RedAnt による Code on Toast 攻撃：IE のゼロデイ CVE-2024-38178 を悪用

Operation “Code on Toast”: A Deep Dive into TA-RedAnt’s Exploitation of Zero-Day Flaw (CVE-2024-38178)

2024/12/01 SecurityOnline — Operation Code on Toast と呼ばれる、高度で大規模なサイバー攻撃が、北朝鮮ハッカーの TA-RedAnt により展開されている。Internet Explorer の新たな脆弱性を悪用する攻撃の仕組みと、それに続くマルウェアの展開に関するレポートが、韓国の NCSC ( National Cyber Security Center) と AhnLab のセキュリティ研究者により公開されている。

Active Directory CS のゼロデイ CVE-2024-49019：PoC エクスプロイトが提供

Zero-Day in Active Directory Certificate Services: Researcher Exposes CVE-2024-49019 with PoC

2024/11/28 SecurityOnline — Active Directory Certificate Services (AD CS) に存在する、深刻なゼロデイ脆弱性 CVE-2024-49019 (CVSS：7.8) が、TrustedSec のセキュリティ研究者により発見された。この脆弱性は、証明書テンプレート version 1 の機能を悪用するものであり、登録権限を持つ攻撃者に対して、大幅な特権昇格を許す可能性が生じる。この脆弱性は、Microsoft の November Patch Tuesday で修正されたが、その潜在的な影響については、より詳細に調査する必要があるだろう。

Palo Alto PAN-OS の脆弱性 CVE-2024-0012／9474：2,000 台以上のデバイスが危機に直面

Over 2,000 Palo Alto firewalls hacked using recently patched bugs

2024/11/21 BleepingComputer — Palo Alto Networks のファイアウォールに存在する、２つのゼロデイ脆弱性に対してパッチが適用されたが、すでに数千台のデバイスで侵害が生じていることが判明した。一連の攻撃で悪用されたのは、 PAN-OS の管理 Web インターフェイスに存在する認証バイパスの脆弱性 CVE-2024-0012 と、PAN-OS の特権昇格の脆弱性 CVE-2024-9474 である。この２つの脆弱性を悪用するリモートの攻撃者は、管理者権限の不正な取得と、その権限でのコマンド実行を可能にすることが明らかになっている。

FortiManager のゼロデイ脆弱性 FortiJump CVE-2024-47575：PoC が公開

PoC Exploit Releases for Zero-Day CVE-2024-47575 Flaw in Fortinet FortiManager

2024/11/17 SecurityOnline — FortiManager／FortiAnalyzer デバイスに存在する、ゼロデイ脆弱性 CVE-2024-47575 (CVSS 9.8) の技術的詳細と PoC エクスプロイト・コードが、watchTowr のセキュリティ研究者である Sina Kheirkhah から公開された。FortiJump と命名された、この脆弱性 CVE-2024-47575 は、FGFM プロトコルにおける認証メカニズムの欠落に起因するものであり、リモートの認証されていない攻撃者に対して、任意のコード／コマンド実行を許すものだ。

Windows ゼロデイ NTLM 脆弱性 CVE-2024-43451：１回の右クリックで C2 通信を確立

Right-Click to Hack: Zero-Day CVE-2024-43451 Vulnerability Targets Windows Users

2024/11/13 SecurityOnline — Windows システムに影響を与える、新たなゼロデイ脆弱性 CVE-2024-43451 が、ClearSky Cyber Security により発見された。この欠陥を突く攻撃者は、右シングル・クリックという単純な操作をユーザーに実行させるだけで、悪意のアクティビティに URL ファイルを悪用できるようになる。

JavaScript Drive-By Attacks：Chrome の脆弱性に依存しない新種の PoC エクスプロイト

JavaScript Drive-By Attacks: New Exploits without 0-Day in Google Chrome

2024/11/11 SecurityOnline — Chrome のゼロデイ脆弱性を悪用を必要とせずに、ユーザーを攻撃する新たな手法が、Imperva Threat Research のセキュリティ研究者である Ron Masas により発見された。この手法は、ユーザーが許可した場合に、Web サイトがローカル・ファイルの読み書きを可能にする、File System Access API を悪用するものだ。この API は Windows／macOS のセキュリティ機構をバイパスするため、不正なコード実行の防止において OS の Gatekeeper 機能を用いる macOS ユーザーにとって、深刻な懸念事項となると Ron Masas は指摘している。

Android の複数の脆弱性が FIX：悪用が確認された CVE-2024-43047 は CISA KEV に登録

CVE-2024-43047 & CVE-2024-43093: Android Zero-Days Demand Immediate Patching

2024/11/04 SecurityOnline — 2024年11月のセキュリティ・アップデートにおいて、Google は Android OS の 40件のセキュリティ脆弱性に対応した。そのうちの２件の脆弱性 CVE-2024-43047／CVE-2024-43093 は、現在も悪用されていることが報告されている。Google は、「これらの脆弱性が、標的を絞り込んだ限定的な攻撃で、悪用されているという兆候がある」と述べている。

Windows の新たなゼロデイ脆弱性：0patch がマイクロ・パッチを無償提供

0patch Uncovers and Patches New Windows Zero-Day Vulnerability, Microsoft Scrambles to Re-Fix Flaw

2024/10/29 SecurityOnline — Microsoft Windows に存在する新たなゼロデイ脆弱性を発見した、セキュリティ研究者のグループ 0patch が明らかにしたのは、ユーザーの認証情報が盗難の危険にさらされる可能性である。Akamai の研究者 Tomer Peled により、すでに報告されている同種の脆弱性 CVE-2024-21320 に対して、 Microsoft が修正に取り掛かった直後に、今回の脆弱性が発見された。現時点において、この新たな脆弱性には CVE 識別子が付与されていないが、悪意のテーマファイルをユーザーに表示させる攻撃者は、それだけでユーザー認証情報を流出させるという。

QNAP HBS 3 のゼロデイ脆弱性 CVE-2024-50388 が FIX：Pwn2Own で公開

QNAP fixes NAS backup software zero-day exploited at Pwn2Own

2024/10/29 BleepingComputer — 10月24日 (木) に QNAP が修正した、TS-464 NAS デバイスに存在する深刻なゼロデイ脆弱性は、Pwn2Own Ireland 2024 コンテストおいて、セキュリティ研究者たちにより悪用が証明されたものだ。脆弱性 CVE-2024-50388 は、同社のディザスタ・リカバリと災害データ・バックアップのソリューションである、HBS 3 Hybrid Backup Sync のバージョン 25.1.x に存在し、OS コマンド・インジェクションを引き起こす可能性を持つ。

FortiManager のゼロデイ脆弱性 CVE-2024-47575：未知の脅威グループ UNC5820 が悪用

New Threat Group UNC5820 Targets FortiManager Zero-Day CVE-2024-47575 in Global Cyberattack

2024/10/24 SecurityOnline — 10月24日に Mandiant が公開したレポートは、FortiManager アプライアンスのゼロデイ脆弱性 CVE-2024-47575 を悪用する攻撃が、複数の業界に及んでいることを警告するものだ。この脆弱性の悪用に成功した攻撃者は、欠陥のある FortiManager デバイス上で任意のコード／コマンドの実行を達成し、深刻なセキュリティ・リスクを引き起こす可能性を手にする。

ScienceLogic EM7 の脆弱性 CVE-2024-9537 とインシデント：CISA KEV にも登録

CVE-2024-9537 (CVSS 9.8): Critical Zero-Day in ScienceLogic EM7 Leads to Rackspace Security Incident

2024/10/21 SecurityOnline — 大手クラウド・プロバイダー Rackspace が発表したのは、ScienceLogic EM7 (SL1) モニタリング・プラットフォームにバンドルされた、サードパーティ製ユーティリティで発見されたゼロデイ脆弱性に関連するセキュリティ・インシデントである。この脆弱性は、CVE-2024-9537 (CVSS 9.8) として特定されており、リモート・コードの実行と、機密データへの不正アクセスを許すものとされる。

2023年に悪用された脆弱性の 70％はゼロデイ：Google Mandiant 調査

Google: 70% of exploited flaws disclosed in 2023 were zero-days

2024/10/16 BleepingComputer — Google Mandiant のセキュリティ・アナリストたちは、脅威アクターがソフトウェアのゼロデイ脆弱性を発見し、悪用する能力を向上させているという、懸念すべき新たな傾向について警告している。Mandiant によると、2023年に積極的な悪用が公表された 138件の脆弱性のうち、97件 (70.3%) がゼロデイとして悪用されたという。つまり、脆弱性の影響を受けるベンダーが、バグの存在を知る以前に、あるいは、パッチを適用する以前に、それらの欠陥を脅威アクターが攻撃で悪用したことを意味する。

Windows Kernel の脆弱性 CVE-2024-37985：ゼロデイとして勧告を更新

Microsoft Confirms CVE-2024-37985 as Zero-Day Bug in Windows

2024/09/17 SecurityOnline — 9月17日に Microsoft Security Response Center (MSRC) は、2024年7月9日の時点で公表された脆弱性 CVE-2024-37985 (CVSS：5.9) を、ゼロデイ脆弱性であるとしてセキュリティ勧告を更新した。この脆弱性は、Windows カーネルに存在する情報漏えいの脆弱性として分類されており、システム・セキュリティに対する重大な脅威となる可能性がある。

VMWare vCenter Server の脆弱性 CVE-2024-38812／38813 が FIX：RCE が生じる恐れ

VMware Patches Remote Code Execution Flaw Found in Chinese Hacking Contest

2024/09/17 SecurityWeek — Broadcom 傘下の VMware が 9月17日にリリースしたパッチは、vCenter Server プラットフォームの２つの深刻な脆弱性に対処するものだ。１つ目の脆弱性 CVE-2024-38812 (CVSS：9.8) は、vCenter Server 内の分散コンピューティング環境／DCERPC (Remote Procedure Call) プロトコルの実装における、ヒープ・オーバーフローの脆弱性である。この脆弱性について VMware は、サーバに対してネットワーク・アクセスが可能な攻撃者が、特別に細工されたパケットを送信して、リモート・コード実行を達成する恐れがあると警告している。

Windows のゼロデイ LNK Stomping CVE-2024-38217 が FIX：直ちにアップデートを！

LNK Stomping (CVE-2024-38217): Microsoft Patches Years-Old Zero-Day Flaw

2024/09/10 SecurityOnline — Microsoft の 2024年9月のセキュリティ更新プログラムにより、Smart App Control と SmartScreen に影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38217 が対処された。この LNK stomping と命名された脆弱性は、重要なセキュリティ警告を回避する、悪意のファイルの存在を許すものであり、遅くとも2018年から悪用が確認されている。

Ivanti EPM の脆弱性 CVE-2024-29847 などが FIX：RCE が生じる恐れ

Ivanti fixes maximum severity RCE bug in Endpoint Management software

2024/09/10 BleepingComputer — Ivanti が公表したのは、同社の Endpoint Management (EPM) に存在する、深刻な脆弱性 CVE-2024-29847 を修正である。この脆弱性が、認証されていない攻撃者に悪用されると、コア・サーバ上でリモート・コード実行を許す可能性が生じるという。Ivanti EPM は、各種のプラットフォームを実行するために用いられる、クライアント・デバイス Windows／macOS／Chrome OS／IoT オペレーティング・システムなどを管理するためのツールである。脆弱性 CVE-2024-29847 は、エージェント・ポータルの信頼できないデータのデシリアライズの欠点に起因するものだが、Ivanti EPM 2024 HotPatch と、Ivanti EPM 2022 Service Update 6 (SU6) で対処されている。

Microsoft 2024-09 月例アップデート：４件のゼロデイを含む 79件の脆弱性に対応

Microsoft September 2024 Patch Tuesday fixes 4 zero-days, 79 flaws

2024/09/10 BleepingComputer — 今日は、Microsoft の September 2024 Patch Tuesday の日であり、79件の脆弱性に対するセキュリティ更新プログラムが提供されたが、その中には、現時点で悪用されている４件のゼロデイ脆弱性が含まれるが、そのうちの１件は公開済みのものである。また、今月の Patch Tuesday では、リモート・コード実行や権限昇格の脆弱性である、７件の Critical 脆弱性が修正された。

Windows Kernel のゼロデイ脆弱性 CVE-2024-38106：PoC エクスプロイトが提供

CVE-2024-38106: 0-Day Windows Kernel Vulnerability Exploited in the Wild, PoC Published

2024/09/03 SecurityOnline — Windows カーネルのゼロデイ脆弱性 CVE-2024-38106 (CVSS：7.0) の詳細分析と PoC エクスプロイト・コードが、PixiePoint Security のセキュリティ研究者 Sergey Kornienko から公開された。この特権昇格 (EoP：elevation of privilege) の脆弱性は既に悪用が確認されており、セキュリティ専門家とエンドユーザーの双方から、緊急の対応が求められている。

CISA KEV 警告 24/09/03：Draytek VigorConnect／WPS Office の脆弱性を登録

CISA Issues Alert: Three Actively Exploited Vulnerabilities Demand Immediate Attention

2024/09/03 SecurityOnline — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Draytek VigorConnect ルーター／Kingsoft WPS Office における３つの脆弱性を KEV (Known Exploited Vulnerabilities) カタログに追加した。

Chrome の脆弱性 CVE-2024-5274 の PoC が公開：すでに悪用が確認されている

CVE-2024-5274: Chrome Zero-Day Exploited by APT29, PoC Exploit Published

2024/08/30 SecurityOnline — Google Chrome のゼロデイ脆弱性 CVE-2024-5274 (CVSS 8.8) の技術的な詳細と PoC エクスプロイト・コードが公開され、世界中へとリスクが拡大する可能性が出てきた。この脆弱性は、Chrome の V8 JavaScript エンジンにおけるタイプ・コンフュージョンの欠陥だと説明されている。この脆弱性の悪用に成功した攻撃者は、悪意のコード実行を達成し、さまざまなサイバー攻撃にいたる可能性が生じる。

Google Chrome ゼロデイ脆弱性 CVE-2024-7965 が FIX：悪用が確認されている

Google tags a tenth Chrome zero-day as exploited this year

2024/08/26 BleepingComputer — Google は、10番目のゼロデイ脆弱性 CVE-2024-7965 に対して、パッチを適用したことを明らかにした。この脆弱性は、2024年のハッキング・コンテストにおいて、セキュリティ研究者たちにより悪用の可能性が証明されている。脆弱性 CVE-2024-7965 は、Google Chrome の V8 JavaScript エンジンの不適切な実装として説明されており、リモートの攻撃者が細工された HTML ページを介して、ヒープ破壊を達成する可能性があるという。セキュリティ研究者 TheDog により報告された、この脆弱性だが、すでにパッチが適用されている。

Versa Director のゼロデイ CVE-2024-39717：中国 APT の Volt Typhoon による悪用を確認

Chinese APT Volt Typhoon Caught Exploiting Versa Networks SD-WAN Zero-Day

2024/08/26 SecurityWeek — 中国の APT である Volt Typhoon が、Versa Director サーバのゼロデイ脆弱性 CVE-2024-39717 を悪用し、クレデンシャルを乗っ取ってダウン・ストリームの顧客ネットワークに侵入していることが、Lumen Technologies の研究者たちにより明らかにされた。Versa Networks は、この脆弱性のゼロデイ悪用を確認し、Versa Director GUI のハッキングにより、影響を受けるデバイスにマルウェアを仕込むことが可能だと警告している。この脆弱性 CVE-2024-39717 は、8月23日の時点で、CISA の KEV カタログに登録されている。

Microsoft Edge のゼロデイCVE-2024-7971 が FIX：悪用が観測される Chromium 由来の RCE　

Urgent Edge Security Update: Microsoft Patches Zero-day & RCE Vulnerabilities

2024/08/23 SecurityOnline — Microsoft Edge の緊急セキュリティ・アップデートがリリースされ、現時点で脅威アクターたちに悪用されている、深刻な脆弱性を修正した。このゼロデイ脆弱性 CVE-2024-7971 は、Chromium の V8 JavaScript エンジン内に存在し、悪意を持って作成された HTML ページを介した、リモート・コード実行を許してしまうものである。

Google Chrome 128 の緊急アップデート：悪用されるゼロデイ CVE-2024-7971 を FIX

Google addressed the ninth actively exploited Chrome zero-day this year

2024/08/22 SecurityAffairs — Google は、Chrome 128 の緊急アップデートをリリースし、積極的に悪用されているゼロデイ脆弱性 CVE-2024-7971 に対処した。この脆弱性は、Chrome の V8 Javascript エンジンに存在する、タイプ・コンフュージョンの欠陥だと分類されている。

Microsoft 2024-08 月例アップデート：６件のエクスプロイトを含む９件のゼロデイ脆弱性に対応

Microsoft August 2024 Patch Tuesday fixes 9 zero-days, 6 exploited

2024/08/13 BleepingComputer — 今日は Microsoft の August 2024 Patch Tuesday であり、89件の欠脆弱性に対するセキュリティ・アップデートが提供されたが、その中には積極的に悪用されている６件の欠陥と、３件のゼロデイが含まれている。また、Microsoft は、もう１件のゼロデイに対する更新プログラムを作成中だという。今月の Patch Tuesday では、特権の昇格／リモート・コード実行などの、８件の Critical な脆弱性が修正された。

Microsoft Office のゼロデイ脆弱性 CVE-2024-38200：８月の月例パッチまでの対策は？

CVE-2024-38200: Zero-Day Vulnerability in Microsoft Office: A Call for Urgent Action

2024/08/11 SecurityOnline — 8月8日に公表されたアドバイザリで Microsoft は、同社の Office ソフトウェア・スイートの複数のバージョンに影響を及ぼす、深刻度の高いゼロデイ脆弱性を公表した。その脆弱性 CVE-2024-38200 (CVSS：7.5) の悪用に成功した攻撃者は、NTLM ハッシュなどの機密情報への不正アクセスを達成し、ネットワーク全体を侵害する可能性を手にする。

Microsoft 2024-07 月例アップデート：４件のゼロデイと 142件の脆弱性に対応

Microsoft July 2024 Patch Tuesday fixes 142 flaws, 4 zero-days

2024/07/09 BleepingComputer — 今日は Microsoft の July 2024 Patch Tuesday であり、積極的に悪用されている２件の欠陥と、公表されている２件のゼロデイを含む、全体で 142件の脆弱性対するセキュリティ・アップデートが提供された。今回の Patch Tuesday では、５件の深刻な脆弱性が修正されたが、そのすべてがリモート・コード実行の不具合である。

Google Chrome の脆弱性 CVE-2024-5274 が FIX：脅威度は High

Google Discovers Fourth Zero-Day in Less Than a Month

2024/05/25 DarkReading — Google は、Chrome に存在する深刻度の高いセキュリティ上の脆弱性 CVE-2024-5274 に関するアップデートを公開した。CVE-2024-5274 は、V8 JavaScript／WebAssembly エンジンにおけるタイプ・コンフュージョンの脆弱性であり、その脅威度は High に分類されている。

2023 脆弱性調査：ネットワーク・セキュリティ製品の 60％以上の欠陥がゼロデイで悪用 – Rapid7

Over 60% of Network Security Appliance Flaws Exploited as Zero Days

2024/05/21 InfoSecurity — ネットワーク／セキュリティ・アプライアンスにおいて、2023年に発見された脆弱性の 60％以上が、ゼロデイとして悪用されていたことが、Rapid7 の最新レポートにより明らかになった。このレポートのデータが裏付けているのは、脆弱性に対してパッチがリリースされる以前に、攻撃者たちが悪用を開始しているケースの多さである。研究者たちによると、2023年において、N-day 脆弱性から発生したインシデント(47％) よりも、ゼロデイ脆弱性から発生した大規模な侵害 (53％) の方が僅かに多かったという。この 53 %という割合は、2022年は 43％であったが、その前年の2021年レベル (52％) に戻ったことを示している。

D-Link EXO AX4800 の RCE 脆弱性：ゼロデイで PoC が登場

PoC exploit released for RCE zero-day in D-Link EXO AX4800 routers

2024/05/14 BleepingComputer — D-Link EXO AX4800 (DIR-X4860) ルーターに存在する脆弱性により、リモートからの認証されていないコマンドが実行され、HNAP ポートにアクセス可能な攻撃者に、デバイスを完全に乗っ取られる可能性が生じている。D-Link DIR-X4860 ルーターは、最大で 4800 Mbps の速度に対応する高性能 Wi-Fi 6 ルーターであり、OFDMA／MU-MIMO／BSS Coloring などの高度な機能により、効率を高めて干渉を低減するという製品である。とりわけカナダでは、このデバイスは人気を誇っている。D-Link の Web サイトによると、この製品は世界市場で販売されており、同社も積極的にサポートしている。

Tinyproxy の脆弱性 CVE-2023-49606 (CVSS 9.8)：パッチ適用までの緩和策は？

CVE-2023-49606 (CVSS 9.8): Tinyproxy Zero-Day Threatens Thousands

2024/05/05 SecurityOnline — 個人のホビイスト／中小企業／パブリック Wi-Fi プロバイダーなどが、そのシンプルさと有益性から好んで使用する、軽量 HTTP/S プロキシである Tinyproxy に深刻な欠陥が発見された。このソフトウェアの最新バージョンのユーザーに、深刻な脅威をもたらすこの脆弱性 CVE-2023-49606 (CVSS：9.8) は、Critical に分類されている。

OpenVPN のゼロデイ脆弱性：Black Hat 2024 で悪用チェーンなどが公開予定

Microsoft Researcher to Unveil 4 OpenVPN Zero-Day Vulnerabilities at Black Hat USA 2024

2024/05/02 SecurityOnline — 2024年8月上旬に開催される Black Hat USA 2024 Conference において、OpenVPN に存在する一連の深刻なゼロデイ脆弱性に関するプレゼンテーションが、Microsoft の Senior Security Researcher である Vladimir Tokarev から行われる予定だ。OpenVPN は、全世界で何百万ものエンドポイントに使用されている、世界有数の VPN ソリューションである。コードネーム “OVPNX” と命名された、これらの脆弱性は、Windows／iOS／macOS／Android／BSD などの広範なプラットフォームのセキュリティ・リスクを露呈し、世界中の何千もの企業に影響を与える可能性がある。

Google のゼロデイ調査：2022／2023 の比較で50％以上も増加

Zero-Day Vulnerabilities Surged by Over 50% Annually, Says Google

2024/03/27 InfoSecurity — Google が検出したゼロデイ脆弱性の量は、2022年から2023年にかけて 50％以上も増加し、サードパーティ製コンポーネントのバグが増加しているとのことだ。Google TAG (Threat Analysis Group) と Mandiant の研究者で構成される調査チームは、2023年を振り返る “We’re All in this Together” で調査の結果を明らかにしている。2023年に発見されたゼロデイ脆弱性は合計で 97件であり、2021年の106件に僅かに及ばなかった。

D-Link DIR-859 の脆弱性 CVE-2024-0769：EoS のためパッチは適用されない

CVE-2024-0769: The Vulnerability D-Link Won’t Fix in DIR-859 Router

2024/01/24 SecurityOnline — 信頼性の高いワイヤレス接続を提供するモデルとして人気を集めてきた、D-Link の DIR-859 Wi-Fi ルーターだが、深刻なセキュリティ脆弱性 CVE-2024-0769 が発見されている。そして D-Link は、このルーターが 2020年8月7日にサポート終了 (EoS：End of Support) となっているため、新たな脆弱性には対処しないとしている。

CISA KEV 警告 24/01/17：Citrix Netscaler／Google Chrome の脆弱性が追加

CISA pushes federal agencies to patch Citrix RCE within a week

2024/01/17 BleepingComputer — 2024年1月17日に CISA は、最近パッチが適用された Citrix NetScaler および Google Chrome のゼロデイ攻撃３件を、Known Exploited Vulnerabilities (KEV) カタログに追加した。CISA は、これらの脆弱性が攻撃で積極的に悪用されているとして、米連邦政府機関に対して、システムの安全性を確保するよう命じており、Citrix の RCE 脆弱性に関しては、１週間以内にパッチを適用するよう求めている。同機関は、このような脆弱性はサイバー攻撃者にとっての常套手段であり、連邦政府企業にとって重大なリスクであると述べている。

Ivanti Connect Secure のゼロデイ脆弱性：カスタム・マルウェアのデプロイを観測

Ivanti Connect Secure zero-days exploited to deploy custom malware

2024/01/12 BleepingComputer — 今週に公開された Ivanti Connect Secure の２つのゼロデイ脆弱性だが、スパイ行為を目的とした複数のカスタム・マルウェア・ファミリーの展開において、2023年12月初旬から悪用されていたことが判明した。これらの脆弱性 CVE-2023-46805／CVE-2024-21887 の悪用に成功した攻撃者は、認証をバイパスして、脆弱なシステム上で任意のコマンド注入を可能にしていた。ただし Ivanti は、少数の顧客が標的にされていたに過ぎないと述べている。

2023年の脆弱性は 26,447件：悪用に至ったものは１％に過ぎない – Qualys

More Flaws, Fewer Frightmares: 2023 Cybersecurity – A Tale of Exploitable Echoes

2023/12/20 SecurityOnline — 2023年の終わりを迎えるにあたり、私たちのデジタル世界を形成してきたサイバー脅威を振り返ることは極めて重要である。今年のサイバー・セキュリティ領域はジェットコースターのような１年であり、デジタル脅威に対する理解と挑戦があり、また、前進させてきたという進展があった。Qualys Threat Research Unit の包括的な分析から、今年のサイバー脅威の状況について、重要な洞察を得ることが可能となっている。

Google Chrome ゼロデイ脆弱性 CVE-2023-7024 が FIX：WebRTC フレームワークの欠陥

Google fixes 8th Chrome zero-day exploited in attacks this year

2023/12/20 BleepingComputer — Google Chrome のゼロデイ脆弱性を修正するための、緊急アップデートが公開された。Google は、「脆弱性 CVE-2023-7024 が、野放し状態で悪用されていることを認識している」と述べている。このゼロデイバグが Google に報告された翌日に、世界中の Stable Desktop チャンネル・ユーザー向けに修正版が提供された。Windows 版の 120.0.6099.129/130 と、Mac／Linux 版の120.0.6099.129 が、パッチ適用済のバージョンである。

3CX CRM Integration に深刻な SQL 脆弱性 CVE-2023-49954：パッチ提供までの緩和策は？

CVE-2023-49954: Critical SQL Injection Vulnerability in 3CX CRM Integration

2023/12/16 SecurityOnline — 目まぐるしく変化するインターネット・コミュニケーションの世界において、セキュリティの脅威に先手を打つことは、必要不可欠なことだ。最近では、有名な VoIP 通信会社である 3CX が、膨大な量の機密データを危険にさらす可能性のある深刻なセキュリティの脆弱性について、顧客に警告を発している。