今週の気になるセキュリティニュース - Issue #112

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

大阪急性期・総合医療センターが昨年10月に発生したランサムウェア感染事案に関して、外部有識者による情報セキュリティインシデント調査委員会の報告書を公開

(3/28) 情報セキュリティインシデント調査委員会報告書について | 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター


3CX DesktopApp のインストーラマルウェアが混入して配布

(3/30) 3CX Security Alert for Electron Windows App | Desktop App

We regret to inform our partners and customers that our Electron Windows App shipped in Update 7, version numbers 18.12.407 & 18.12.416, includes a security issue. Anti Virus vendors have flagged the executable 3CXDesktopApp.exe and in many cases uninstalled it. Electron Mac App version numbers 18.11.1213, 18.12.402, 18.12.407 & 18.12.416 are also affected.

The issue appears to be one of the bundled libraries that we compiled into the Windows Electron App via GIT. We’re still researching the matter to be able to provide a more in depth response later today. Here’s some information on what we’ve done so far.

(3/30) Updates on the 3CX Security Alert for Electron Windows App

In response to this, 3CX has appointed Mandiant a renowned American cybersecurity firm and subsidiary of Google - and the market leader in threat intelligence. With their help we will be able to review this incident in full. Whilst their investigation is underway, we ask you to follow the instructions below immediately.

(3/31) The latest 3CX MSI installer has been blocked by Google

Google has invalidated our software security certificate. This means the MSI DesktopApp files that we released yesterday afternoon can no longer be downloaded via Google Chrome (nor can the originally infected MSI files). Furthermore several AV vendors are blocking any software signed with the old security certificate.

(3/30) Supply Chain Attack Against 3CXDesktopApp | CISA

CISA is aware of open-source reports describing a supply chain attack against 3CX software and their customers. According to the reports, 3CXDesktopApp — a voice and video conferencing app — was trojanized, potentially leading to multi-staged attacks against users employing the vulnerable app.

(3/30) NVD - CVE-2023-29059

3CX DesktopApp through 18.12.416 has embedded malicious code, as exploited in the wild in March 2023. This affects versions 18.12.407 and 18.12.416 of the Electron Windows application shipped in Update 7, and versions 18.11.1213, 18.12.402, 18.12.407, and 18.12.416 of the Electron macOS application.

(3/29) CrowdStrike Prevents 3CXDesktopApp Intrusion Campaign

Once active, the HTTPS beacon structure and encryption key match those observed by CrowdStrike in a March 7, 2023 campaign attributed with high confidence to DPRK-nexus threat actor LABYRINTH CHOLLIMA.

(3/29) SmoothOperator | Ongoing Campaign Trojanizes 3CXDesktopApp in Supply Chain Attack - SentinelOne

(3/29) Updated: 3CX users under DLL-sideloading attack: What you need to know – Sophos News

(3/29) Ironing out (the macOS details) of a Smooth Operator

(3/29) Hackers compromise 3CX desktop app in a supply chain attack


富士通Japan が自治体向けに提供するコンビニ交付サービスで、他人の証明書が印刷される障害

(3/30) 「Fujitsu MICJET コンビニ交付」サービスで発生した印刷障害について : 富士通Japan株式会社

コンビニエンスストアで証明書交付申請をされる方が増加し、取引負荷が高まったため、印刷処理における遅延が発生いたしました。この遅延に起因し、システム上設定されていたタイムアウトの上限を超える状態となり強制的な印刷処理の解除が生じ、次の印刷イメージファイルを誤って取得したため、申請された方とは異なる住民の方の証明書が発行されました。


エン・ジャパンが提供する「エン転職」の Webサイトで不正ログインが発生

(3/30) 「エン転職」への不正ログイン発生に関するお詫びとお願い | エン・ジャパン(en Japan)

2023年3月27日、「エン転職」のWEBサーバーにおいて不正なログインが確認されました。社内にて詳細な調査を行なった結果、2023年3月20日~3月27日の期間に、外部から不正に取得されたと思われるID(メールアドレス)およびパスワードを使ったなりすましによる不正ログイン(リスト型アカウントハッキング※)が発生し、一部のユーザー様のWeb履歴書にアクセスされた可能性があることが判明しました。


NTTドコモで「ぷらら」「ひかりTV」などを利用する顧客の個人情報が流出した可能性

(3/31) ドコモからのお知らせ : 【お詫び】「ぷらら」及び「ひかりTV」などをご利用のお客さまの個人情報流出の可能性のお知らせとお詫び | お知らせ | NTTドコモ

2023年3月30日(木)にドコモが業務を委託している企業において、業務に使用しているパソコンから、個人向けインターネット接続サービス(ISP)「ぷらら」及び「ひかりTV」のお客さま情報が流出した可能性があることを確認いたしました。


攻撃、脅威

米バイデン大統領が連邦政府機関における商用スパイウェアの使用を禁止する大統領令

(3/27) Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security | The White House


警視庁が家庭用ルーターの不正利用に関する注意喚起

(3/28) 家庭用ルーターの不正利用に関する注意喚起について 警視庁

今回確認された手法は、一般家庭で利用されているルーターを、サイバー攻撃者が外部から不正に操作して搭載機能を有効化するもので、一度設定を変更されると従来の対策のみでは不正な状態は解消されず、永続的に不正利用可能な状態となってしまう手法です。


脆弱性

ApplemacOS Ventura 13.3, macOS Monterey 12.6.4, macOS Big Sur 11.7.5, iOS 16.4 / iPadOS 16.4, iOS 15.7.4 / iPadOS 15.7.4, watchOS 9.4, tvOS 16.4, Safari 16.4 をリリース

(3/27) Apple security updates - Apple Support


CISA が Known Exploited Vulnerabilities (KEV) カタログに 10 個の脆弱性を追加

(3/30) CISA Adds Ten Known Exploited Vulnerabilities to Catalog | CISA


その他

GitHubリポジトリから SBOM を生成する機能をリリース

(3/28) Introducing self-service SBOMs | The GitHub Blog

Following the precedent set by Executive Order 14028, security and compliance teams increasingly request software bills of materials (SBOMs) to identify the open source components of their software projects, assess their vulnerability to emerging threats, and verify alignment with license policies. So, we asked ourselves, how do we make SBOMs easier to generate and share?

Today, we’re happy to announce a new Export SBOM function that allows anyone with read access to a GitHub cloud repository to generate an NTIA-compliant SBOM with a single click. The resulting JSON file saves project dependencies and metadata, like versions and licenses in the industry standard SPDX format, which can then be used with security and compliance workflows and tools, or reviewed in Microsoft Excel (use a JSON-to-CSV converter for compatibility with Google Sheets).


MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck4) が公開

(3/28) MyJVN - MyJVN 脆弱性対策情報フィルタリング収集ツール

MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck4) は、JVN iPedia に登録されている脆弱性対策情報を MyJVN API を利用して、製品名等でフィルタリングして収集するためのツールです。 mjcheck4 を利用することで、組織で利用しているソフトウェアの脆弱性対策情報を効率よく収集することができます。