ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
- 事件、事故
- 攻撃、脅威
- 脆弱性
- CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1+2+3 個の脆弱性を追加
- Arm の Mali GPU ドライバに脆弱性。限定的な標的型攻撃で悪用が確認されている
- Google が Android の複数の脆弱性を修正。すでに悪用が確認されている脆弱性を含む
- glibc にローカルで権限昇格可能な脆弱性
- Apple が iOS 17.0.3 / iPadOS 17.0.3 をリリース。すでに悪用が確認されている脆弱性の修正を含む
- Atlassian が Confluence Data Center と Confluence Server のゼロデイ脆弱性を修正。一部の顧客で悪用が確認されている
- その他
事件、事故
ETC利用照会サービスのサイトに対する不正ログインが発生
(10/4) ETC利用照会サービスサイトへの不正アクセス・ログインについてのお詫びとお知らせ|ニュース|ETC利用照会サービス
令和5年9月30日~10月2日にかけて、海外のIPアドレスから当サービスへ大量のアクセスがあり、その一部アクセスでIDとパスワードが一致したためログインされたものです。当サービスに記載されているお客さまのメールアドレス、登録ID、秘密の質問・答え及び利用履歴について閲覧された可能性があります。ETCクレジットカード番号、車載器管理番号の漏洩の可能性はございません。
(10/6) 【セキュリティ ニュース】「ETC利用照会サービス」にPW攻撃、約125万件のアクセス(1ページ目 / 全2ページ):Security NEXT
NEXCO東日本によれば、9月30日0時ごろから10月2日23時ごろにかけて約125万件のアクセスがあり、最大で829件のアカウントが本人以外の第三者によるログインを許した可能性がある。
European Investigative Collaborations (EIC) が Predator スパイウェアに関する調査プロジェクト "Predator Files" を公開
(10/5) Predator Files | EIC
Predator Files reveals that European companies have been funding and selling cyber-surveillance tools to dictators for more than a decade with the passive complicity of many European governments. The preliminary peak of surveillance excesses was most recently reached by the Intellexa Alliance - an association of several European companies through which Predator software was supplied to authoritarian states. Activists, journalists and academics have been targeted, as have European and U.S. officials.
The ‘Predator Files’ focuses on the “Intellexa alliance” — a complex, morphing group of interconnected companies — and Predator, its highly invasive spyware. This spyware, and its rebranded variants, can access unchecked amounts of data on devices. It cannot, at present, be independently audited or limited in its functionality to only those functions that are necessary and proportionate to a specific use and target. Predator can infiltrate a device when the user simply clicks on a malicious link, but it can also be delivered through tactical attacks, which can silently infect nearby devices.
攻撃、脅威
JetBrains の TeamCity の脆弱性 (CVE-2023-42793) を悪用する複数の攻撃者グループの活動を観測
(10/2) Ransomware gangs now exploiting critical TeamCity RCE flaw
(9/27) Source Code at Risk: Critical Code Vulnerability in CI/CD Platform TeamCity | Sonar
(9/27) CVE-2023-42793 | AttackerKB
(9/28) CVE-2023-42793 Vulnerability in TeamCity: Post-Mortem | The TeamCity Blog
🚨Many popular ransomware groups started to weaponize CVE-2023-42793 and added the exploitation phase in their workflow.
— PRODAFT (@PRODAFT) October 1, 2023
Our #BLINDSPOT platform has detected multiple organizations already exploited by threat actors over the last three days. Unfortunately, most of them will…
JetBrainsのCI/CDツールであるTeamCityの23年9月17日に修正された認証前RCE/CVE-2023-42793をランサムギャングが悪用しているとのことhttps://t.co/Vv5Ulwl4PX
— nekono_nanomotoni (@nekono_naha) October 5, 2023
ShodanとCensysで見える公開サーバはWW/47k、JP/26台でしたが、同社曰く3万以上の組織で利用されているとのことで利用者は早めの対処を pic.twitter.com/C2MGvghXXk
Microsoft が "Microsoft Digital Defense Report 2023" を公開
(10/5) Espionage fuels global cyberattacks - Microsoft On the Issues
(10/5) Microsoft Digital Defense Report 2023 (MDDR) | Microsoft Security Insider
ラックが gokcpdoor マルウェアを使用する日本を狙う攻撃キャンペーンについて報告
(10/6) マルウェア「gokcpdoor」を用いた日本組織を狙う攻撃キャンペーン | LAC WATCH
ラックの脅威分析チームは、2022年4月頃から、KCPプロトコル※1をC2通信として利用する新たなマルウェア「gokcpdoor」を使用した攻撃活動を日本国内の製造業や学術機関などで確認しています。この攻撃活動は、中国を拠点とする攻撃者グループによるものと見られ、日本国内の組織や海外拠点へ同様の攻撃が行われている可能性がうかがえます。
脆弱性
CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1+2+3 個の脆弱性を追加
(10/2) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2023-5217 Google Chrome libvpx Heap Buffer Overflow Vulnerability
(10/3) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2023-4211 Arm Mali GPU Kernel Driver Use-After-Free Vulnerability
(10/4) CISA Adds Two Known Exploited Vulnerabilities to Catalog, Removes Five KEVs | CISA
- CVE-2023-42793 JetBrains TeamCity Authentication Bypass Vulnerability
- CVE-2023-28229 Microsoft Windows CNG Key Isolation Service Privilege Escalation Vulnerability
(10/5) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2023-40044 Progress WS_FTP Server Deserialization of Untrusted Data Vulnerability
- CVE-2023-42824 Apple iOS and iPadOS Kernel Privilege Escalation Vulnerability
- CVE-2023-22515 Atlassian Confluence Data Center and Server Privilege Escalation Vulnerability
Arm の Mali GPU ドライバに脆弱性。限定的な標的型攻撃で悪用が確認されている
(10/2) Mali GPU Driver Vulnerabilities
(10/2) Arm warns of Mali GPU flaws likely exploited in targeted attacks
Google が Android の複数の脆弱性を修正。すでに悪用が確認されている脆弱性を含む
(10/2) Android Security Bulletin—October 2023 | Android Open Source Project
Note: There are indications that the following may be under limited, targeted exploitation.
- CVE-2023-4863
- CVE-2023-4211
glibc にローカルで権限昇格可能な脆弱性
(10/5) Exploits released for Linux flaw giving root on major distros
Yeah, this works. https://t.co/EQWH04G2eM pic.twitter.com/AY8eWMMIsp
— Will Dormann (@wdormann) October 5, 2023
Apple が iOS 17.0.3 / iPadOS 17.0.3 をリリース。すでに悪用が確認されている脆弱性の修正を含む
(10/4) Apple security releases - Apple Support
(10/4) About the security content of iOS 17.0.3 and iPadOS 17.0.3 - Apple Support
Atlassian が Confluence Data Center と Confluence Server のゼロデイ脆弱性を修正。一部の顧客で悪用が確認されている
Atlassian has been made aware of an issue reported by a handful of customers where external attackers may have exploited a previously unknown vulnerability in publicly accessible Confluence Data Center and Server instances to create unauthorized Confluence administrator accounts and access Confluence instances.
(10/4) CVE: Zero-Day Privilege Escalation in Confluence Server & Data Center | Rapid7 Blog
(10/4) Atlassian patches critical Confluence zero-day exploited in attacks
企業向けWikiのAtlassian Confluenceで未認証の攻撃者が管理者アカウントを作成できるゼロデイCVE-2023-22515 の報道https://t.co/awxebBXps2
— nekono_nanomotoni (@nekono_naha) October 6, 2023
ConfluenceはGlobalで7.5k台の公開サーバがあり過去何度もインシデントの原因になってるのでヒヤッとしましたが8系のみ該当/1k台のみで不幸中の幸いでした pic.twitter.com/1EYcNTTi9g
その他
NICTサイバーセキュリティネクサスが CYNEXアライアンスを発足
(10/2) 日本のサイバーセキュリティの結節点“CYNEXアライアンス”を発足|2023年|NICT-情報通信研究機構
国立研究開発法人情報通信研究機構(NICTエヌアイシーティー、理事長: 徳田 英幸)サイバーセキュリティネクサスは、日本のサイバーセキュリティ分野における産学官の結節点となることを目指して2021年4月に設立され、各種活動の準備を進めてきました。この度、国内の産学官の組織が参画する“CYNEXアライアンス”を発足し、CYNEXの活動を本格始動しました。これにより、国内にサイバーセキュリティの産学官連携拠点を形成し、日本のサイバー攻撃対処能力とセキュリティ自給率の向上を目指します。
(コメント) 私も専門委員の一人として活動に参画してます!
NSA と CISA が共同で、もっともやりがちなセキュリティの設定ミスのトップ 10 を公開
(10/5) NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations | CISA
Through NSA and CISA Red and Blue team assessments, as well as through the activities of NSA and CISA Hunt and Incident Response teams, the agencies identified the following 10 most common network misconfigurations:
- Default configurations of software and applications
- Improper separation of user/administrator privilege
- Insufficient internal network monitoring
- Lack of network segmentation
- Poor patch management
- Bypass of system access controls
- Weak or misconfigured multifactor authentication (MFA) methods
- Insufficient access control lists (ACLs) on network shares and services
- Poor credential hygiene
- Unrestricted code execution
