今週の気になるセキュリティニュース - Issue #162

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

海底ケーブルの障害により、複数のアフリカ諸国の通信に影響

(3/14) Undersea cable failures cause Internet disruptions for multiple African countries

Internet connectivity in several African countries was disrupted today, March 14, 2024. Beginning at approximately 05:00 UTC, west and central African countries were most impacted, as was South Africa. Based on published reports and social media posts from impacted network providers, the disruption is believed to be due to multiple undersea cable failures in the region. From The Gambia to Côte d'Ivoire, including a major network in South Africa (Vodacom), a total of 11 African countries were impacted, based on our observations.


マクドナルドでシステム障害が発生し、世界中の店舗に影響

(3/15) Update on Global Technology System Outage

At approximately midnight CDT on Friday, McDonald’s experienced a global technology system outage, which was quickly identified and corrected. Many markets are back online, and the rest are in the process of coming back online. We are closely working with those markets that are still experiencing issues. Notably, this issue was not directly caused by a cybersecurity event; rather, it was caused by a third-party provider during a configuration change.

(3/15) McDonald's: Global outage was caused by "configuration change"

(3/15) マクドナルド システム障害で営業取りやめの一部店舗で再開 | NHK | IT・ネット

(3/16) McDonald's outage shuts some restaurants globally | AP News


攻撃、脅威

警察庁が「令和5年におけるサイバー空間をめぐる脅威の情勢等について」を公開

(3/14) 令和5年におけるサイバー空間をめぐる脅威の情勢等について


Sekoia と Orange Cyberdefense が共同で、Residential Proxies (RESIP) サービスに関する調査結果を報告

(3/14) Unveiling the depths of Residential Proxies providers - Sekoia.io Blog


脆弱性

Microsoft が 2024年 3月の月例パッチを公開

(3/12) 2024 年 3 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2024-21334 Open Management Infrastructure のリモートでコードが実行される脆弱性 は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。

(3/12) Zero Day Initiative — The March 2024 Security Update Review


Arcserve UDP に複数の脆弱性

(3/12) P00003059 | Arcserve UDP 8.1 | Console & Agent Vulnerabilities: CVE-2024-0801, CVE-2024-0800, CVE-2024-0799

(3/12) P00003050 | Arcserve UDP 9.2 | Console Vulnerabilities: CVE-2024-0801, CVE-2024-0800, CVE-2024-0799

(3/13) Arcserve Unified Data Protection 9.2 Multiple Vulnerabilities - Research Advisory | Tenable®


その他

KeePassXC 2.7.7 がリリース。Passkeys をサポートし、1Password と Bitwarden からのデータのインポートに対応。

(3/10) KeePassXC 2.7.7 released – KeePassXC


Tor Project が新たなブリッジとして WebTunnel をリリース

(3/12) Hiding in plain sight: Introducing WebTunnel | The Tor Project

Today, March 12th, on the World Day Against Cyber Censorship, the Tor Project's Anti-Censorship Team is excited to officially announce the release of WebTunnel, a new type of Tor bridge designed to assist users in heavily censored regions to connect to the Tor network. Available now in the stable version of Tor Browser, WebTunnel joined our collection of censorship circumvention tech developed and maintained by The Tor Project.

今週の気になるセキュリティニュース - Issue #161

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

LINEヤフー株式会社における不正アクセスによる通信の秘密の漏えい事案に対して、総務省が行政指導

(3/5) 総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)


AI 関連の営業秘密を不正に持ち出したとして、米司法省が中国国籍の元グーグル社員を逮捕、起訴

(3/6) Office of Public Affairs | Chinese National Residing in California Arrested for Theft of Artificial Intelligence-Related Trade Secrets from Google | United States Department of Justice

According to the indictment, returned on March 5 and unsealed earlier today, Ding, 38, a national of the People’s Republic of China and resident of Newark, California, transferred sensitive Google trade secrets and other confidential information from Google’s network to his personal account while secretly affiliating himself with PRC-based companies in the AI industry. Ding was arrested earlier this morning in Newark.


攻撃、脅威

FBI が Internet Crime Report 2023 を公開

(3/) Internet Crime Report 2023


Microsoft からロシアの攻撃者グループ Midnight Blizzard による攻撃についての続報

(3/8) Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog | Microsoft Security Response Center

In recent weeks, we have seen evidence that Midnight Blizzard is using information initially exfiltrated from our corporate email systems to gain, or attempt to gain, unauthorized access. This has included access to some of the company’s source code repositories and internal systems. To date we have found no evidence that Microsoft-hosted customer-facing systems have been compromised.


脆弱性

JetBrains TeamCity に複数の脆弱性

(3/4) TeamCity 2023.11.4 Is Out | The TeamCity Blog

(3/4) Additional Critical Security Issues Affecting TeamCity On-Premises (CVE-2024-27198 and CVE-2024-27199) – Update to 2023.11.4 Now | The TeamCity Blog

(3/6) Insights and Timeline: Our Approach to Addressing the Recently Discovered Vulnerabilities in TeamCity On-Premises | The TeamCity Blog

(3/4) CVE-2024-27198 and CVE-2024-27199: JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities (FIXED) | Rapid7 Blog

(3/6) Critical TeamCity flaw now widely exploited to create admin accounts


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+2+2 個の脆弱性を追加

(3/4) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(3/5) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2023-21237 Android Pixel Information Disclosure Vulnerability
  • CVE-2021-36380 Sunhillo SureLine OS Command Injection Vulnerablity

(3/6) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA


ApplemacOS Monterey 12.7.4, macOS Ventura 13.6.5, macOS Sonoma 14.4, iOS 15.8.2 / iPadOS 15.8.2, iOS 16.7.6 / iPadOS 16.7.6, iOS 17.4 / iPadOS 17.4, tvOS 17.4, watchOS 10.4, visionOS 1.1, Safari 17.4 をリリース。すでに悪用が確認されている脆弱性の修正を含む。

(3/5) Apple security releases - Apple Support


VMware ESXi などに複数の脆弱性

(3/5) VMSA-2024-0006.1


SKYSEA Client View に複数の脆弱性

(3/7) 特定フォルダにおけるアクセス制限不備の脆弱性(CVE-2024-21805) / 常駐プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-24964)|セキュリティ・脆弱性について|Sky株式会社

平素より、当サイトをご利用いただきありがとうございます。弊社商品「SKYSEA Client View」において、下記2件の脆弱性が確認されました。

(1)特定フォルダにおけるアクセス制限不備の脆弱性

SKYSEA Client View のサービス起動時、サービスプロセスに任意のDLLをロードさせ、任意のコードを実行することができる脆弱性 (2)常駐プロセスにおけるアクセス制限不備の脆弱性

SKYSEA Client View の常駐プロセスを利用して、ユーザー権限のプロセスから管理者権限のプロセスが起動できる脆弱性

脆弱性は、コンピューター内の実行プロセスにとどまる脆弱性であることから、リモートで悪意のあるコードを実行させるようなものではございません。また、悪用報告等もございません。

(3/7) JVN#54451757: SKYSEA Client View における複数の脆弱性


その他

X で音声通話とビデオ通話が全ユーザで利用可能となり、デフォルトで有効に。

(3/2) The Twitter Settings You Should Change Now To Block Unwanted Calls

(3/5) Elon Musk switched on X calling by default: Here’s how to switch it off | TechCrunch

(参考) Audio and Video Calls

今週の気になるセキュリティニュース - Issue #160

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

「うるう日」が原因と見られるシステム障害

(2/29) 運転免許システム障害、新潟県警を除く3県警で復旧…「うるう年」で不具合か : 読売新聞

(2/29) 免許センターでシステム障害 一部除き復旧 「うるう日」原因か | NHK | 神奈川県

(2/29) スギ薬局グループ システム障害が復旧 「うるう日」が原因か | NHK | 医療・健康

(3/1) システム障害によるお詫びと復旧のお知らせ | スギ薬局グループお客様サイト


攻撃、脅威

マクニカが日経企業のランサム被害傾向を分析した結果を公開

(2/26) 公開情報から読み解く日系企業のランサム被害傾向 - セキュリティ研究センターブログ

データ窃取やデータ暗号化をもとに身代金を要求する攻撃手法を用いるランサムアクターによる日系企業・組織の被害傾向を公開情報から記録、分析し始めて4年目となりました。ここでの公開情報は企業の被害公表プレスリリースや攻撃者によるダークウェブ上でのリーク情報を指します。過去何度か講演やカンファレンス等でデータを公開していましたが、2020年5月~2023年12月末までのデータをブログとしても公開したいと思います。


NCSC, CISA ほか Five Eyes 諸国が共同で、ロシアの攻撃者グループ APT29 による攻撃活動に関する注意喚起

(2/26) SVR cyber actors adapt tactics for initial cloud access - NCSC.GOV.UK

This advisory details recent tactics, techniques and procedures (TTPs) of the group commonly known as APT29, also known as Midnight Blizzard, the Dukes or Cozy Bear.


CISA, FBI, HHS が共同で、ALPHV Blackcat ランサムウェアに関する注意喚起

(2/27) CISA, FBI, and HHS Release an Update to #StopRansomware Advisory on ALPHV Blackcat | CISA

Today, CISA, the Federal Bureau of Investigation (FBI), and the Department of Health and Human Services (HHS) released an update to the joint advisory #StopRansomware: ALPHV Blackcat to provide new indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs) associated with the ALPHV Blackcat ransomware as a service (RaaS). ALPHV Blackcat affiliates have been observed primarily targeting the healthcare sector.


CISAFive Eyes 諸国と共同で、Ivanti 製品の脆弱性を悪用する攻撃活動に関する注意喚起

(2/29) Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways | CISA

Cyber threat actors are actively exploiting multiple previously identified vulnerabilities—CVE-2023-46805, CVE-2024-21887, and CVE-2024-21893—affecting Ivanti Connect Secure and Ivanti Policy Secure gateways. The vulnerabilities impact all supported versions (9.x and 22.x) and can be used in a chain of exploits to enable malicious cyber threat actors to bypass authentication, craft malicious requests, and execute arbitrary commands with elevated privileges.

During multiple incident response engagements associated with this activity, CISA identified that Ivanti’s internal and previous external ICT failed to detect compromise. In addition, CISA has conducted independent research in a lab environment validating that the Ivanti ICT is not sufficient to detect compromise and that a cyber threat actor may be able to gain root-level persistence despite issuing factory resets.

(2/29) Enhanced External Integrity Checking Tool to Provide Additional Visibility and Protection for Customers Against Evolving Threat Actor Techniques in Relation to Previously Disclosed Vulnerabilities

(2/27) Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts | Mandiant


CISA などが共同で、Phobos ランサムウェアに関する注意喚起

(2/29) #StopRansomware: Phobos Ransomware | CISA


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(2/29) CISA Adds One Known Exploited Vulnerability to Catalog | CISA


その他

ホワイトハウスは、開発者にメモリセーフなプログラミング言語の利用を推奨する報告書を公開

(2/26) Press Release: Future Software Should Be Memory Safe | ONCD | The White House

Today, the White House Office of the National Cyber Director (ONCD) released a report calling on the technical community to proactively reduce the attack surface in cyberspace. ONCD makes the case that technology manufacturers can prevent entire classes of vulnerabilities from entering the digital ecosystem by adopting memory safe programming languages. ONCD is also encouraging the research community to address the problem of software measurability to enable the development of better diagnostics that measure cybersecurity quality.


NIST が Cybersecurity Framework (CSF) の Version 2.0 を公開

(2/26) NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST

(2/29) NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?|ブログ|NRIセキュア


重要経済安保情報の保護及び活用に関する法律案が閣議決定

(2/27) 重要経済安保情報の保護及び活用に関する法律案について | 報道発表 | 内閣官房ホームページ

(2/27) セキュリティークリアランス制度 創設に向けた法案 閣議決定 | NHK | 経済安全保障

今週の気になるセキュリティニュース - Issue #159

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

中国の I-Soon の内部情報が何者かによってリークされる

(2/21) A first analysis of the i-Soon data leak | Malwarebytes

(2/21) Unmasking I-Soon | The Leak That Revealed China's Cyber Operations - SentinelOne

(2/22) Lessons from the iSOON Leaks

(2/22) New Leak Shows Business Side of China’s APT Menace – Krebs on Security

(2/23) Data From Chinese Security Services Company i-Soon Linked to Previous Chinese APT Campaigns


AT&T の携帯電話回線で大規模な障害

(2/22) AT&T Network Update

(2/22) Massive AT&T outage impacts US mobile subscribers


攻撃、脅威

米英など複数の法執行機関の協力により、LockBit ランサムウェアのインフラを摘発。日本警察も復号ツールの開発などで協力

(2/20) International investigation disrupts the world’s most harmful cyber crime group - National Crime Agency

(2/20) Office of Public Affairs | U.S. and U.K. Disrupt LockBit Ransomware Variant | United States Department of Justice

(2/20) United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group | U.S. Department of the Treasury

(2/20) Law enforcement disrupt world’s biggest ransomware operation | Europol

(2/20) Unpicking LockBit — 22 Cases of Affiliate Tradecraft | Secureworks

(2/20) OpCronos: The Demise of One of the Most Prominent RaaS Gangs, LOCKBIT

(2/21) ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウンに関するユーロポールのプレスリリースについて|警察庁Webサイト

(2/21) ランサムウェアによる暗号化被害データに関する復号ツールの開発について|警察庁Webサイト

(2/22) LockBit Attempts to Stay Afloat with a New Version


JPCERT/CC が Lazarus グループによる PyPI を悪用する攻撃活動について報告

(2/21) PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ


脆弱性

ConnectWise ScreenConnect に脆弱性。すでに悪用を確認

(2/19) ConnectWise ScreenConnect 23.9.8 security fix

(2/21) ConnectWise ScreenConnect: Authentication Bypass Deep Dive – Horizon3.ai

(2/23) SlashAndGrab: ScreenConnect Post-Exploitation in the Wild (CVE-2024-1709 & CVE-2024-1708)

(2/23) ConnectWise ScreenConnect attacks deliver malware – Sophos News


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(2/22) CISA Adds One Known Exploited ConnectWise Vulnerability, CVE-2024-1709, to Catalog | CISA

  • CVE-2024-1709 ConnectWise ScreenConnect Authentication Bypass Vulnerability


その他

Signal が username をサポート

(2/20) Signal >> Blog >> Keep your phone number private with Signal usernames


(宣伝) 来月セミナーに登壇します!

TECH+ フォーラム - セキュリティ 2024 Mar. 「推奨」と事例に学ぶ事前対策 | マイナビニュース

今週の気になるセキュリティニュース - Issue #158

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

LINEヤフーは委託先からの不正アクセスによる情報漏洩を公表。また昨年11月に公表した不正アクセス事案について情報を更新

(2/14) 委託先2社のアカウントを利用した不正アクセスによる、従業者等の情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社

LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、従業者等*1に関する情報の漏えい(可能性も含みます)があることが判明しましたのでお知らせいたします。本事案は、2023年11月27日に公表した不正アクセス事案とは異なる事案となり、モニタリングを強化する中で判明したものです。

(2/14) 不正アクセスによる個人情報漏えいへの再発防止策に関するお知らせ|LINEヤフー株式会社

(2/14 更新) 不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)|LINEヤフー株式会社

2024年2月14日追記および修正:当社が主体として管理運用するシステムに加え、社外のサービスシステムについても当該サービスシステムの提供先に対して不正アクセスに係る情報提供を依頼する等、追加的な調査を実施。社内コミュニケーションに利用しているメール、Slack等のサービスシステム等において、「ユーザーに関する情報(42件)と取引先等に関する情報(106件)、従業者等に関する情報(78,962件)」の漏えいを新たに確認。(漏えい可能性を含みます。)影響範囲の最終調査を完了。

(参考) LINEヤフーへの不正アクセスについてまとめてみた - piyolog


昨年発生した派遣社員による顧客情報の不正な持ち出しに関して、個人情報保護委員会NTTドコモとNTTネクシアに行政指導

(2/15) 株式会社NTTドコモ及び株式会社NTTネクシアに対する個人情報の保護に関する法律に基づく行政上の対応について(令和6年2月15日) |個人情報保護委員会

(2/15) 当社に対する個人情報保護委員会からの指導等について|お知らせ|NTTネクシア

(2/15) 報道発表資料 : 当社に対する個人情報保護委員会からの指導等について | お知らせ | NTTドコモ


トヨタモビリティサービスの「Booking Car」から情報漏洩の可能性

(2/16) お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて - トヨタモビリティサービス株式会社

トヨタモビリティサービス株式会社が提供する社用車専用クラウドサービス「Booking Car」をご利用中、または過去ご利用いただいた企業・自治体の従業員・職員の方のメールアドレスおよびお客様識別番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、約25,000名分が漏洩した可能性があることが判明致しました。 「Booking Car」をご利用いただいている企業・自治体およびご登録いただいているお客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。


攻撃、脅威

Rhysida ランサムウェアの復号ツールが公開

(2/13) Decrypted: Rhysida Ransomware - Avast Threat Labs

In October 2023, we published a blog post containing technical analysis of the Rhysida ransomware. What we intentionally omitted in the blog post was that we had been aware of a cryptographic vulnerability in this ransomware for several months and, since August 2023, we had covertly provided victims with our decryption tool. Thanks to our collaboration with law enforcement units, we were able to quietly assist numerous organizations by decrypting their files for free, enabling them to regain functionality. Given the weakness in Rhysida ransomware was publicly disclosed recently, we are now publicly releasing our decryptor for download to all victims of the Rhysida ransomware.

(2/12) Rhysida Ransomware Cracked, Free Decryption Tool Released

(2/9) [2402.06440] A Method for Decrypting Data Infected with Rhysida Ransomware


Microsoft と OpenAI が共同で、国家を背景とする攻撃者グループによる AI 関連サービスの利用に関する報告

(2/14) Staying ahead of threat actors in the age of AI | Microsoft Security Blog

Over the last year, the speed, scale, and sophistication of attacks has increased alongside the rapid development and adoption of AI. Defenders are only beginning to recognize and apply the power of generative AI to shift the cybersecurity balance in their favor and keep ahead of adversaries. At the same time, it is also important for us to understand how AI can be potentially misused in the hands of threat actors. In collaboration with OpenAI, today we are publishing research on emerging threats in the age of AI, focusing on identified activity associated with known threat actors, including prompt-injections, attempted misuse of large language models (LLM), and fraud. Our analysis of the current use of LLM technology by threat actors revealed behaviors consistent with attackers using AI as another productivity tool on the offensive landscape. You can read OpenAI’s blog on the research here. Microsoft and OpenAI have not yet observed particularly novel or unique AI-enabled attack or abuse techniques resulting from threat actors’ usage of AI. However, Microsoft and our partners continue to study this landscape closely.

(2/14) Disrupting malicious uses of AI by state-affiliated threat actors

We build AI tools that improve lives and help solve complex challenges, but we know that malicious actors will sometimes try to abuse our tools to harm others, including in furtherance of cyber operations. Among those malicious actors, state-affiliated groups—which may have access to advanced technology, large financial resources, and skilled personnel—can pose unique risks to the digital ecosystem and human welfare.

In partnership with Microsoft Threat Intelligence, we have disrupted five state-affiliated actors that sought to use AI services in support of malicious cyber activities. We also outline our approach to detect and disrupt such actors in order to promote information sharing and transparency regarding their activities.


CISA と MS-ISAC が共同で、州政府機関を標的とした攻撃に関する注意喚起

(2/15) Threat Actor Leverages Compromised Account of Former Employee to Access State Government Organization | CISA

The Cybersecurity and Infrastructure Security Agency (CISA) and the Multi-State Information Sharing & Analysis Center (MS-ISAC) conducted an incident response assessment of a state government organization’s network environment after documents containing host and user information, including metadata, were posted on a dark web brokerage site. Analysis confirmed that an unidentified threat actor compromised network administrator credentials through the account of a former employee—a technique commonly leveraged by threat actors—to successfully authenticate to an internal virtual private network (VPN) access point, further navigate the victim’s on-premises environment, and execute various lightweight directory access protocol (LDAP) queries against a domain controller.[1] Analysis also focused on the victim’s Azure environment, which hosts sensitive systems and data, as well as the compromised on-premises environment. Analysis determined there were no indications the threat actor further compromised the organization by moving laterally from the on-premises environment to the Azure environment.


米司法省はロシアの情報機関が利用しているボットネットの活動を停止させる作戦を実施

(2/15) Office of Public Affairs | Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU) | United States Department of Justice

A January 2024 court-authorized operation has neutralized a network of hundreds of small office/home office (SOHO) routers that GRU Military Unit 26165, also known as APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear, and Sednit, used to conceal and otherwise enable a variety of crimes. These crimes included vast spearphishing and similar credential harvesting campaigns against targets of intelligence interest to the Russian government, such as U.S. and foreign governments and military, security, and corporate organizations. In recent months, allegations of Unit 26165 activity of this type has been the subject of a private sector cybersecurity advisory and a Ukrainian government warning.


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+2+2 個の脆弱性を追加

(2/12) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2023-43770 Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability

(2/13) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

(2/15) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA


Microsoft が 2024年 2月の月例パッチを公開。すでに悪用が確認されている複数の脆弱性を含む。

(2/13) 2024 年 2 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

(2/13) Zero Day Initiative — The February 2024 Security Update Review

(2/13) CVE-2024-21412: Water Hydra Targets Traders with Microsoft Defender SmartScreen Zero-Day

(2/14) The Risks of the #MonikerLink Bug in Microsoft Outlook and the Big Picture - Check Point Research


QNAP 製品に複数の脆弱性

(2/13) Multiple Vulnerabilities in QTS, QuTS hero and QuTScloud - Security Advisory | QNAP

(2/13) CVE-2023-47218: QNAP QTS and QuTS Hero Unauthenticated Command Injection (FIXED) | Rapid7 Blog

(2/13) New Vulnerability in QNAP QTS Firmware: CVE-2023-50358


その他

JNSA が「インシデント損害額調査レポート 第2版」を公開

(2/9) NPO日本ネットワークセキュリティ協会 報告書・公開資料


NICT が「NICTER観測レポート2023」を公開

(2/13) NICTER観測レポート2023の公開|2024年|NICT-情報通信研究機構


DuckDuckGo ブラウザがエンドツーエンドでの同期とバックアップに対応

(2/14) DuckDuckGo Browser Update: Private Sync & Backup


nginx のコア開発者が nginx をフォークして freenginx.org を立ち上げ

(2/14) announcing freenginx.org

(2/16) NGINXのコア開発者がF5の経営陣に反発、NGINXをフォークし「FreeNginx」を立ち上げ。F5の経営陣がポリシーや開発者の立場を無視したと - Publickey


JPCERT/CC が 2023年 10〜12月のインターネット定点観測レポートを公開

(2/15) インターネット定点観測レポート(2023年 10~12月)


NICT が 2023年第 4 四半期の NICTER観測統計を公開

(2/15) NICTER観測統計 - 2023年10月~12月 - NICTER Blog

今週の気になるセキュリティニュース - Issue #157

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

外務省のシステムが中国からのサイバー攻撃を受け、大規模な情報漏洩が起きていたとの報道

(2/5) 外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検 : 読売新聞

 外交上の機密情報を含む公電をやりとりする外務省のシステムが中国のサイバー攻撃を受け、大規模な情報漏えいが起きていたことがわかった。米政府は2020年に日本政府に警告して対応を求め、日本側は主要な政府機関のシステムを点検し、対策の強化を急いでいる。

(参考) 外務省の外交公電を取り扱うシステムへのサイバー攻撃についてまとめてみた - piyolog


ツイキャスへの大規模な DDoS 攻撃が断続的に発生

(2/6) DDoS攻撃によるサービス障害に関するお知らせ - TwitCasting

2024年1月30日から、ツイキャスのサーバーに対して大規模なDDoS攻撃が断続的に行われていることを確認しております。


名刺管理サービスから不正に情報を入手したとして、不動産会社の社員を逮捕

(2/9) 名刺管理サービスから情報不正入手か 不動産販売会社社員逮捕|NHK 首都圏のニュース

(2/9) 名刺管理サービスに不正アクセス疑い 会社員逮捕 投資勧誘に悪用か | 毎日新聞

(2/9) 「Sansan」社員装い、名刺情報入手=容疑で不動産会社次長逮捕―警視庁 | 時事通信ニュース

(2/9) 本日の報道に関して | Sansan株式会社

(参考) 不正アクセスで入手した名刺情報を投資勧誘に悪用していた事案についてまとめてみた - piyolog


米司法省が Warzone RAT マルウェアの販売サイトを摘発し、容疑者 2人を起訴

(2/9) Office of Public Affairs | International Cybercrime Malware Service Dismantled by Federal Authorities: Key Malware Sales and Support Actors in Malta and Nigeria Charged in Federal Indictments | United States Department of Justice

The Justice Department announced today that, as part of an international law enforcement effort, federal authorities in Boston seized internet domains that were used to sell computer malware used by cybercriminals to secretly access and steal data from victims’ computers. Federal authorities in Atlanta and Boston also unsealed indictments charging individuals in Malta and Nigeria, respectively, for their alleged involvement in selling the malware and supporting cybercriminals seeking to use the malware for malicious purposes.


攻撃、脅威

Google TAG が商用スパイウェアのベンダーの活動に関して報告

(2/6) New Google TAG report: How Commercial Surveillance Vendors work

To shine a light on the spyware industry, today, Google’s Threat Analysis Group (TAG) is releasing Buying Spying, an in-depth report with our insights into Commercial Surveillance Vendors (CSVs). TAG actively tracks around 40 CSVs of varying levels of sophistication and public exposure. The report outlines our understanding of who is involved in developing, selling, and deploying spyware, how CSVs operate, the types of products they develop and sell, and our analysis of recent activity.


CISA, NSA, FBI などが共同で、中国の攻撃者グループ Volt Typhoon による攻撃活動に関する注意喚起

(2/7) PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | CISA

(2/7) Identifying and Mitigating Living Off the Land Techniques | CISA

(2/7) The Importance of Patching: An Analysis of the Exploitation of N-Day Vulnerabilities | Fortinet Blog


Citizen Lab が中国による影響工作のキャンペーンについて報告

(2/7) PAPERWALL: Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content - The Citizen Lab

A network of at least 123 websites operated from within the People’s Republic of China while posing as local news outlets in 30 countries across Europe, Asia, and Latin America, disseminates pro-Beijing disinformation and ad hominem attacks within much larger volumes of commercial press releases. We name this campaign PAPERWALL.


脆弱性

JetBrains TeamCity に認証バイパスの脆弱性 CVE-2024-23917

(2/6) Critical Security Issue Affecting TeamCity On-Premises (CVE-2024-23917) – Update to 2023.11.3 Now | The TeamCity Blog

The vulnerability may enable an unauthenticated attacker with HTTP(S) access to a TeamCity server to bypass authentication checks and gain administrative control of that TeamCity server.

(2/6) JetBrains warns of new TeamCity auth bypass vulnerability


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加

(2/6) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(2/9) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-21762 Fortinet FortiOS Out-of-Bound Write Vulnerability


FortiOS に複数の脆弱性

(2/8) FortiOS - Out-of-bound Write in sslvpnd | PSIRT | FortiGuard

Note: This is potentially being exploited in the wild.

(2/8) FortiOS - Format String Bug in fgfmd | PSIRT | FortiGuard

(2/9) Fortinet製FortiOSの境域外書き込みの脆弱性(CVE-2024-21762)に関する注意喚起

(参考) FortiOSの脆弱性 CVE-2024-21762 についてまとめてみた - piyolog


Ivanti Connect Secure と Ivanti Policy Secure に新たな脆弱性 CVE-2024-22024

(2/8) CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure

As part of the ongoing investigation, we discovered a new vulnerability as part of our internal review and testing of our code, which was also responsibly disclosed by watchTowr. This vulnerability only affects a limited number of supported versions – Ivanti Connect Secure (version 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, and 22.5R2.2), Ivanti Policy Secure version 22.5R1.1 and ZTA version 22.6R1.3.

(2/8) Ivanti Connect Secure CVE-2024-22024 - Are We Now Part Of Ivanti?


その他

警察庁および金融庁が、暗号資産交換業者への不正送金対策の強化について金融機関に要請

(2/6) 暗号資産交換業者への不正送金対策の強化に関する金融機関への要請について|警察庁Webサイト

昨今、フィッシングによるものとみられるインターネットバンキングによる不正送金事犯において暗号資産交換業者の金融機関口座に送金される被害や、特殊詐欺事案において暗号資産交換業者の金融機関口座に送金させる被害が多発している状況を踏まえ、令和6年2月6日、金融庁と連携し、一般社団法人全国銀行協会等に対して、次の対策事例を参考とした更なる対策の強化について、会員等への周知を要請しました。

(2/7) 第三者への資金移動が可能な暗号資産交換業者への不正送金対策の強化について:金融庁

現在、インターネットバンキングに係る不正送金事犯をはじめ、還付金詐欺や架空料金請求詐欺等をはじめとする特殊詐欺の被害金が、暗号資産交換業者あてに送金される事例が多発している情勢を踏まえ、2月6日、金融庁は下記の団体等に対して、警察庁と連名で、暗号資産交換業者あての送金利用状況などリスクに応じ、次の対策事例も参考にしつつ、利用者保護等のための更なる対策の強化を要請しました。


Mozilla が有料の Mozilla Monitor Plus サービスを開始

(2/7) Introducing Mozilla Monitor Plus, a new tool to automatically remove your personal information from data broker sites

Today, Mozilla Monitor (previously called Firefox Monitor), a free service that notifies you when your email has been part of a breach, announced its new paid subscription service offering: automatic data removal and continuous monitoring of your exposed personal information.

(参考) Data Removal Service - Onerep

(コメント) Mozilla は Onerep と提携して Monitor Plus のサービスを提供している

今週の気になるセキュリティニュース - Issue #156

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

ブラジルの法執行機関が Grandoreiro マルウェアのインフラを摘発し、容疑者を逮捕

(1/30) PF combate organização criminosa que praticava fraudes bancárias eletrônicas contra vítimas no exterior — Polícia Federal

(1/30) ESET takes part in global operation to disrupt the Grandoreiro banking trojan

ESET has collaborated with the Federal Police of Brazil in an attempt to disrupt the Grandoreiro botnet. ESET contributed to the project by providing technical analysis, statistical information, and known command and control (C&C) server domain names and IP addresses. Due to a design flaw in Grandoreiro’s network protocol, ESET researchers were also able to get a glimpse into the victimology.

(1/30) Police disrupt Grandoreiro banking malware operation, make arrests


埼玉県健康づくり事業団が所有する X 線画像読影システムでランサムウェア感染被害

(1/31) X 線画像読影システムへの不正アクセスについて

(2/1) 漏えいの可能性も…埼玉で年間40万人が健康診断する法人、サイバー攻撃され復旧未定 X線画像読影システム、画像など暗号化され身代金要求される ランサムウエアは「ロックビット」、今後は | 埼玉新聞


求人情報サイト「バイトル」で求人掲載企業の管理画面への不正ログインによる情報漏洩

(1/31) 不正ログインによる個人情報漏洩のお知らせとお詫び/保育・物流業界の人材派遣・人材紹介 / SESなら株式会社サンライズワークス

弊社が求人情報を掲載しておりますディップ株式会社(以下、ディップ社)の運営にかかる求人情報サイト「バイトル」において、弊社の応募者情報管理画面(以下、本件管理画面)への不正ログインが行われ、2023年1月から同年11月に「バイトル」を利用して弊社にご応募いただいた方(以下、応募者様)のうち20名の応募情報の一部と上記不正ログインに使用されたID・パスワードが記載されたメール(以下、本件メール)が、本件管理画面のメール送信機能を利用して、外部へ送信された事実が判明いたしました。 そのため、本件管理画面に保存されていた応募者様1296名分の応募情報が、不正ログインを行った第三者及び本件メールに記載されたID・パスワードを用いてアクセスした者に閲覧された可能性があります。

なお、送信された個人情報および 閲覧された可能性のある個人情報は後記の通りであり、クレジットカード情報は含まれておりません。 また、現時点で、不正ログインに使用されたID・パスワードが弊社内部から漏洩した事実は確認されておりません。

(1/31) 求人掲載企業の管理画面への不正ログインに関するお詫びとお知らせ | ディップ株式会社


スタンレー電気のグループ会社において、送金詐欺による資金流出被害

(1/31) 当社アジア大洋州グループ会社における資金流出事案について


三浦工業のホームページが改ざん被害

(1/31) 三浦工業:お詫びとご報告

2024年1月26日(金)17時00分頃から1月28日(日)11時21分までの間に、第三者からのサイバー攻撃によりホームページが改ざんされていた事が判明いたしました。 ご利用いただいておりますお客様の皆様には多大なご迷惑、ご心配をお掛けしたことを深くお詫び申し上げます。 現在、原因と影響の調査を進めており、ホームページを閉じさせていただいております。


Ripple Labs の共同創業者である Chris Larsen 氏の個人アカウントが不正アクセスを受け、約 156億円相当の XRP が盗まれる

(1/31) Ripple chairman Chris Larsen hacked for reported 213M XRP worth approximately $112.5M


Cloudflare が昨年 11月に社内システムへの不正アクセスがあったと公表

(2/1) Thanksgiving 2023 security incident

On Thanksgiving Day, November 23, 2023, Cloudflare detected a threat actor on our self-hosted Atlassian server. Our security team immediately began an investigation, cut off the threat actor’s access, and on Sunday, November 26, we brought in CrowdStrike’s Forensic team to perform their own independent analysis.


50ヶ国以上の法執行機関が協力する Operation Synergia により、フィッシングやマルウェア感染に利用される不正な約 1,300 の IP アドレスや URL を特定し摘発

(2/1) INTERPOL-led operation targets growing cyber threats

SINGAPORE – Some 1,300 suspicious IP addresses or URLs have been identified as part of a global INTERPOL operation targeting phishing, malware and ransomware attacks.

Operation Synergia, which ran from September to November 2023, was launched in response to the clear growth, escalation and professionalisation of transnational cybercrime and the need for coordinated action against new cyber threats.

The operation involved 60 law enforcement agencies from more than 50 INTERPOL member countries, with officers conducting house searches and seizing servers as well as electronic devices. To date, 70% of the command-and-control (C2) servers identified have been taken down, with the remainder currently under investigation.


AnyDesk が社内システムへの不正アクセスがあったと発表

(2/2) AnyDesk Incident Response 2-2-2024


攻撃、脅威

Coveware が 2023年第 4四半期のランサムウェアレポートを公開

(1/26) New Ransomware Reporting Requirements Kick in as Victims Increasingly Avoid Paying


JC3 が KeepSpy および XLoader/MoqHao マルウェアに関する注意喚起

(1/30) あなたのスマホがフィッシングサイトをばら撒く! | トピックス | 脅威情報 | 一般財団法人日本サイバー犯罪対策センター(JC3)


米司法省は中国の攻撃者グループ Volt Typhoon が使用する KV ボッネットを感染機器から削除する作戦を実施

(1/31) Office of Public Affairs | U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure | United States Department of Justice

The vast majority of routers that comprised the KV Botnet were Cisco and NetGear routers that were vulnerable because they had reached “end of life” status; that is, they were no longer supported through their manufacturer’s security patches or other software updates. The court-authorized operation deleted the KV Botnet malware from the routers and took additional steps to sever their connection to the botnet, such as blocking communications with other devices used to control the botnet.

(1/31) China's Hackers Have Entire Nation in Their Crosshairs, FBI Director Warns — FBI

(1/31) CISA and FBI Release Secure by Design Alert Urging Manufacturers to Eliminate Defects in SOHO Routers | CISA


トビラシステムズが「詐欺SMSモニター」を公開

(2/1) 詐欺SMSの発生状況がリアルタイムでわかる?!「詐欺SMSモニター」 |トビラシステムズ(証券コード:4441)

詐欺SMSモニター


脆弱性

Jenkins に複数の脆弱性。PoC も公開

(1/24) Jenkins Security Advisory 2024-01-24

(1/24) Excessive Expansion: Uncovering Critical Security Vulnerabilities in Jenkins | Sonar

(1/28) Exploits released for critical Jenkins RCE flaw, patch now

(1/30) CVE-2024-23897: Jenkins - Censys

As of January 30, 2024, Censys has observed 83,509 Jenkins servers on the internet, 79,952 (~96%) of which are potentially vulnerable.

(参考) Jenkinsの脆弱性 CVE-2024-23897 についてまとめてみた - piyolog


Hitron Systems 製の複数の DVR に脆弱性。すでに悪用が確認されている

(1/30) Actively Exploited Vulnerability in Hitron DVRs: Fixed, Patches Available | Akamai

As part of the InfectedSlurs discovery, the Akamai SIRT uncovered vulnerabilities in multiple Hitron DVR device models that are actively exploited in the wild. Hitron devices are manufactured in South Korea by Hitron Systems.

The vulnerability allows an authenticated attacker to achieve OS command injection with a payload delivered via a POST request to the management interface. In its current configuration, it is utilizing device default credentials in the captured payloads.

(1/31) JVNVU#93639653: 複数のHitron Systems製デジタルビデオレコーダにおける不適切な入力確認の脆弱性


Ivanti Connect Secure と Ivanti Policy Secure に新たな脆弱性。すでに悪用が確認されている。

(1/31) Security Update for Ivanti Connect Secure and Ivanti Policy Secure Gateways

As part of our ongoing strengthening of the security of our products we have discovered new vulnerabilities in Ivanti Connect Secure (formerly Pulse Secure) and Ivanti Policy Secure gateways. We are reporting these vulnerabilities as CVE-2023-46805 and CVE-2024-21887. These vulnerabilities impact all supported versions of the products. Mitigations are available now.

(1/31) CVE-2024-21888 Privilege Escalation for Ivanti Connect Secure and Ivanti Policy Secure

We have no evidence of any customers being impacted by CVE-2024-21888 at this time. We are only aware of a small number of customers who have been impacted by CVE-2024-21893 at this time. The table below provides details on the vulnerabilities:

(1/31) Cutting Edge, Part 2: Investigating Ivanti Connect Secure VPN Zero-Day Exploitation | Mandiant

In this follow-up blog post, we detail additional tactics, techniques, and procedures (TTPs) employed by UNC5221 and other threat groups during post-exploitation activity across our incident response engagements. We also detail new malware families and variants to previously identified malware families being used by UNC5221. We acknowledge the possibility that one or more related groups may be associated with the activity described in this blog post. It is likely that additional groups beyond UNC5221 have adopted one or more of these tools.

(1/31) Updated: New Software Updates and Mitigations to Defend Against Exploitation of Ivanti Connect Secure and Policy Secure Gateways | CISA

(1/31) Supplemental Direction V1: ED 24-01: Mitigate Ivanti Connect Secure and Ivanti Policy Secure Vulnerabilities | CISA

(2/2) CVE-2024-21893 | AttackerKB


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加

(1/31) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(1/31) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-21893 Ivanti Connect Secure, Policy Secure, and Neurons Server-Side Request Forgery (SSRF) Vulnerability


Docker と runc にコンテナエスケープ可能な脆弱性

(1/31) Leaky Vessels: Docker and runc Container Breakout Vulnerabilities - January 2024 | Snyk

Snyk security researcher Rory McNamara, with the Snyk Security Labs team, identified four vulnerabilities — dubbed "Leaky Vessels" — in core container infrastructure components that allow container escapes. An attacker could use these container escapes to gain unauthorized access to the underlying host operating system from within the container.

(1/31) Docker Security Advisory: Multiple Vulnerabilities in runc, BuildKit, and Moby | Docker

We at Docker prioritize the security and integrity of our software and the trust of our users. Security researchers at Snyk Labs recently identified and reported four security vulnerabilities in the container ecosystem. One of the vulnerabilities, CVE-2024-21626, concerns the runc container runtime, and the other three affect BuildKit (CVE-2024-23651, CVE-2024-23652, and CVE-2024-23653). We want to assure our community that our team, in collaboration with the reporters and open source maintainers, has been diligently working on coordinating and implementing necessary remediations.

(1/31) several container breakouts due to internally leaked fds · Advisory · opencontainers/runc · GitHub


その他