ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
- 事件、事故
- Slack が利用している GitHub のコードリポジトリに不正アクセス
- PyTorch-nightly の Linux パッケージを pip 経由でインストールした場合、不正なパッケージもインストールされる
- 渋谷区の公式ウェブサイトに対して Anonymous による DDoS 攻撃
- 2億件を越える Twitter のユーザ情報がフォーラムに投稿される
- アイルランドの Data Protection Commission (DPC) が Meta に対して GDPR 違反による €390 の制裁金。Meta は異議を申し立てる方針
- CircleCI に対する不正アクセス。ユーザに対して CircleCI に保存されている全てのシークレットを更新するように推奨
- Rackspace から Hosted Exchange サービスへの不正アクセスについてアップデート。CrowdStrike が 12/20 に報告している OWASSRF 脆弱性を悪用され、Play ランサムウェアに感染した
- ジュピターショップチャンネルの通販サイトで不正ログイン。登録情報の改ざんや、なりすましによる不正購入が発生。
- 攻撃、脅威
- 脆弱性
- その他
事件、事故
Slack が利用している GitHub のコードリポジトリに不正アクセス
(12/31) Slack security update | Slack
On 29 December 2022, we were notified of suspicious activity on our GitHub account. Upon investigation, we discovered that a limited number of Slack employee tokens were stolen and misused to gain access to our externally hosted GitHub repository. Our investigation also revealed that the threat actor downloaded private code repositories on 27 December. No downloaded repositories contained customer data, means to access customer data or Slack’s primary codebase.
PyTorch-nightly の Linux パッケージを pip 経由でインストールした場合、不正なパッケージもインストールされる
PyTorch-nightly Linux packages installed via pip during that time installed a dependency, torchtriton, which was compromised on the Python Package Index (PyPI) code repository and ran a malicious binary. This is what is known as a supply chain attack and directly affects dependencies for packages that are hosted on public package indices.
(1/4) In-depth Analysis of the PyTorch Dependency Confusion Administered Malware
渋谷区の公式ウェブサイトに対して Anonymous による DDoS 攻撃
(1/4) 渋谷区公式ウェブサイトの通信障害について | 渋谷区公式サイト
【お知らせ】1月3日17時現在、渋谷区公式ウェブサイトを閲覧できない事象が発生しています。アノニマスと名乗る国際ハッカー集団による妨害行為と見られ、原因を調査し復旧に向けた対応を行なっています。復旧状況は逐次区公式Twitter で発信します。ご不便をおかけしお詫び申し上げます。(広報課)
— 渋谷区 (@city_shibuya) January 3, 2023
【お知らせ】1/3以降、DDos攻撃を受けたことで、区公式ウェブサイトが閲覧しにくい事象が現在も続いており、ご不便をおかけしておりますことを深くお詫び申し上げます。引き続き、24時間体制で復旧に向けて取り組んでまいります。なお、この事象による個人情報等の流出は確認されていません。
— 渋谷区 (@city_shibuya) January 5, 2023
2億件を越える Twitter のユーザ情報がフォーラムに投稿される
(1/4) 200 million Twitter users' email addresses allegedly leaked online
(1/5) Have I Been Pwned: Pwned websites
(参考) Twitterから流出したとみられる約2億件のデータについてまとめてみた - piyolog
(コメント) メールアドレス自体が Twitter から流出したわけではなく、ほとんどが過去に流出済みのもの。どの Twitter アカウントでメールアドレスが利用されているかわかるのがポイント。
アイルランドの Data Protection Commission (DPC) が Meta に対して GDPR 違反による €390 の制裁金。Meta は異議を申し立てる方針
Final decisions have now been made by the DPC in which it has fined Meta Ireland €210 million (for breaches of the GDPR relating to its Facebook service), and €180 million (for breaches in relation to its Instagram service).
(1/4) How Meta Uses Legal Bases for Processing Ads in the EU | Meta
CircleCI に対する不正アクセス。ユーザに対して CircleCI に保存されている全てのシークレットを更新するように推奨
(1/5) CircleCI security alert: Rotate any secrets stored in CircleCI
Rackspace から Hosted Exchange サービスへの不正アクセスについてアップデート。CrowdStrike が 12/20 に報告している OWASSRF 脆弱性を悪用され、Play ランサムウェアに感染した
(1/5) Rackspace Email & Apps System Status Page
The forensic investigation determined that the threat actor, known as PLAY, used a previously unknown security exploit to gain initial access to the Rackspace Hosted Exchange email environment. This zero-day exploit is associated with CVE-2022-41080. Microsoft disclosed CVE-2022-41080 as a privilege escalation vulnerability and did not include notes for being part of a Remote Code Execution chain that was exploitable.
We urge all organizations and security teams to read the blog CrowdStrike recently published about this exploit and learn how to take action to protect your own organization, available at https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/. We will be sharing more detailed information with our customers and peers in the security community so that, collectively, we can all better defend against these types of exploits in the future.
ジュピターショップチャンネルの通販サイトで不正ログイン。登録情報の改ざんや、なりすましによる不正購入が発生。
(1/6) 不正ログインによる商品購入の発生について
ジュピターショップチャンネル株式会社(以下「当社」)は、当社が運営する通販サイトにおいて、 外部で不正に取得されたと思われる情報を使った第三者の不正ログインにより、お客さま本人になりす まして商品の購入がなされた事実を確認いたしました。 不正ログイン被害が疑われるお客さまには、順次連絡を取り、なりすまし購入と断定された商品の出 荷の停止および、顧客 ID やパスワードの変更依頼または WEB 会員の退会処理を実施しております。
攻撃、脅威
ポーランド政府がロシアの攻撃者によるサイバー攻撃に関する注意喚起
(12/30) Russian cyberattacks - Special Services - Gov.pl website
(1/3) Poland warns of attacks by Russia-linked Ghostwriter hacking group
Bitdefender が MegaCortex ランサムウェアの復号ツールを公開
(1/5) Bitdefender Partnership with Law Enforcement Yields MegaCortex Decryptor
Trend Micro が Dridex マルウェアによる macOS を狙う攻撃について報告
(1/5) Dridex Returns, Targets MacOS Using New Entry Method
脆弱性
デジタルアーツが提供する m-FILTER に認証不備の脆弱性。すでに悪用を確認
(1/6) JVN#55675303: デジタルアーツ製 m-FILTER における認証不備の脆弱性
m-FILTER には、特定の条件下においてメール送信時に認証不備の脆弱性 (CWE-287) があり、第三者によって意図しないメールを送信される問題が存在します。
なお、開発者によると、本脆弱性を悪用した攻撃が既に確認されているとのことです。
その他
AWS の S3 がデフォルトでオブジェクトを暗号化
(1/5) Amazon S3 Encrypts New Objects By Default | AWS News Blog
At AWS, security is job zero. Starting today, Amazon Simple Storage Service (Amazon S3) encrypts all new objects by default. Now, S3 automatically applies server-side encryption (SSE-S3) for each new object, unless you specify a different encryption option. SSE-S3 was first launched in 2011. As Jeff wrote at the time: “Amazon S3 server-side encryption handles all encryption, decryption, and key management in a totally transparent fashion. When you PUT an object, we generate a unique key, encrypt your data with the key, and then encrypt the key with a [root] key.”