今週の気になるセキュリティニュース - Issue #140

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

全国銀行データ通信システムで障害

(10/10) 全国銀行データ通信システムの不具合について

(10/10) 全国銀行データ通信システムの不具合について(その2)

(10/11) 全国銀行データ通信システムの不具合について(その3)

(10/11) 全国銀行データ通信システムの不具合について(その4)

(10/12) 全国銀行データ通信システムの復旧見込みについて

(10/12) 全国銀行データ通信システムの復旧について

(参考) 全国銀行データ通信システムのシステム障害についてまとめてみた - piyolog


公正取引委員会が MCデータプラスに対して、独占禁止法違反の疑いで立ち入り検査

(10/11) 公正取引委員会による立ち入り検査について | ニュース | 株式会社MCデータプラス

本日、一部の報道機関から報道されましたとおり、当社のクラウドサービス「建設サイト・シリーズ」について、独占禁止法違反の疑いがあるとして、公正取引委員会の立ち入り検査を受けております。

立ち入り検査を受けた事実を受け止め、公正取引委員会の調査に全面的に協力してまいります。

(10/11) クラウドサービスで初の立ち入り検査 三菱商事の完全子会社に公取委 | 毎日新聞

クラウドサービスに蓄積されたデータの他社への移行を妨げた疑いが強まったとして、公正取引委員会は11日、三菱商事の100%子会社「MCデータプラス」(東京都渋谷区)を独占禁止法違反(排他条件付き取引)の疑いで立ち入り検査した。関係者への取材で判明した。公取委クラウドサービスを巡って検査に入るのは初めてとみられる。

(10/11) 三菱商事系、クラウド乗り換え制限か 公取委立ち入り - 日本経済新聞

建設業界向けにインターネット上で作業員の情報を管理するクラウドサービスを巡り、他社サービスへの乗り換えを制限した疑いが強まったとして、公正取引委員会は11日、三菱商事子会社のMCデータプラス(東京・渋谷)を独占禁止法違反(不公正な取引方法)の疑いで立ち入り検査した。関係者への取材で分かった。


クラウドストレージサービス「RICOH Drive」で不正アクセスによる顧客情報の流出

(10/13) 不正アクセスによる情報流出に関するお知らせとお詫び | リコーグループ 企業・IR | リコー


攻撃、脅威

IBM が Citrix Netscaler の脆弱性 CVE-2023-3519 を悪用する攻撃キャンペーンについて報告

(10/6) X-Force uncovers global NetScaler Gateway credential harvesting campaign

From that initial engagement, X-Force identified multiple domains created by the threat actor – jscloud[.]ink, jscloud[.]live, jscloud[.]biz, jscdn[.]biz, and cloudjs[.]live – registered on August 5th, 6th and 14th, and leveraging Cloudflare to mask where the domains were hosted. After identifying the threat actor’s C2, X-Force was able to identify almost 600 unique victim IP addresses hosting modified NetScaler Gateway login pages, with concentrations in the United States and Europe. The earliest modification time stamp X-Force has identified for NetScaler Gateway login pages is on August 11th, 2023, although the campaign could have begun closer to when the domains were registered.

(10/11 更新) Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2023-3519)に関する注意喚起


FBI と CISA が AvosLocker ランサムウェアに関する注意喚起を更新

(10/11) FBI and CISA Release Update on AvosLocker Advisory | CISA


CISARansomware Vulnerability Warning Pilot (RVWP) にもとづき、ランサムウェアの攻撃で悪用されている脆弱性や設定ミスに関する情報を公開

(10/11) CISA Releases New Resources Identifying Known Exploited Vulnerabilities and Misconfigurations Linked to Ransomware | CISA

  • A “Known to be Used in Ransomware Campaigns” column in the KEV Catalog that identifies KEVs associated with ransomware campaigns.
  • A “Misconfigurations and Weaknesses Known to be Used in Ransomware Campaigns” table on StopRansomware.gov that identifies misconfigurations and weaknesses associated with ransomware campaigns. The table features a column that identifies the Cyber Performance Goal (CPG) action for each misconfiguration or weakness.


脆弱性

オンラインストレージ用ソフトウェア Proself に脆弱性。すでに悪用が確認されている。

(10/10) お知らせ: [至急]Proselfのゼロデイ脆弱性による攻撃発生について / オンラインストレージ構築パッケージ Proself (プロセルフ) / 株式会社ノースグリッド

弊社製品であるProselfにおきまして新たなゼロデイ脆弱性が発見されました(2023/10/04付)。脆弱性の内容としてはXXE(XML External Entity)となります。攻撃者はXXEを悪用してProselfのアカウント情報を外部に送信し、その情報を元にProselfへの不正ログインを試みている可能性がございます。


AppleiOS 16.7.1 / iPadOS 16.7.1 をリリース。すでに悪用が確認されている脆弱性の修正を含む。

(10/10) Apple security releases - Apple Support


Microsoft が 2023年 10月の月例パッチを公開。すでに悪用が確認されている複数の脆弱性を含む。

(10/10) 2023 年 10 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

  • CVE-2023-41763 Skype for Business の特権の昇格の脆弱性
  • CVE-2023-36563 Microsoft ワードパッドの情報漏えいの脆弱性

  • CVE-2023-44487 MITRE: CVE-2023-44487 HTTP/2 Rapid Reset Attack

    CVE-2023-44487 の詳細については、Microsoft Security Response Center のブログ HTTP/2に対する分散型サービス拒否 (DDoS) 攻撃に対するマイクロソフトの対応について も併せて参照してください。

(10/10) Zero Day Initiative — The October 2023 Security Update Review


HTTP/2 プロトコルに Rapid Reset 脆弱性。すでにこの脆弱性を悪用する DDoS 攻撃が観測されている

(10/10) HTTP/2 Rapid Reset Vulnerability, CVE-2023-44487 | CISA

(10/10) HTTP/2 Zero-Day vulnerability results in record-breaking DDoS attacks

Earlier today, Cloudflare, along with Google and Amazon AWS, disclosed the existence of a novel zero-day vulnerability dubbed the “HTTP/2 Rapid Reset” attack. This attack exploits a weakness in the HTTP/2 protocol to generate enormous, hyper-volumetric Distributed Denial of Service (DDoS) attacks. Cloudflare has mitigated a barrage of these attacks in recent months, including an attack three times larger than any previous attack we’ve observed, which exceeded 201 million requests per second (rps). Since the end of August 2023, Cloudflare has mitigated more than 1,100 other attacks with over 10 million rps — and 184 attacks that were greater than our previous DDoS record of 71 million rps.

(10/10) HTTP/2 Rapid Reset: deconstructing the record-breaking attack

Starting on Aug 25, 2023, we started to notice some unusually big HTTP attacks hitting many of our customers. These attacks were detected and mitigated by our automated DDoS system. It was not long however, before they started to reach record breaking sizes — and eventually peaked just above 201 million requests per second. This was nearly 3x bigger than our previous biggest attack on record.

(10/11) How it works: The novel HTTP/2 ‘Rapid Reset’ DDoS attack | Google Cloud Blog

A number of Google services and Cloud customers have been targeted with a novel HTTP/2-based DDoS attack which peaked in August. These attacks were significantly larger than any previously-reported Layer 7 attacks, with the largest attack surpassing 398 million requests per second.

(10/11) Google Cloud mitigated largest DDoS attack, peaking above 398 million rps | Google Cloud Blog

(10/10) CVE-2023-44487 - HTTP/2 Rapid Reset Attack

AWS is aware of CVE-2023-44487, also known as "HTTP/2 Rapid Reset Attack," related to HTTP/2 capable web servers where rapid stream generation and cancellation can result in additional load which could lead to a Denial of Service. AWS infrastructure is designed with various protections to address Layer 7 request floods, however, we have implemented additional mitigations to address this issue. AWS also recommends customers who operate their own HTTP/2 capable web servers verify with their web server vendor to determine if they are affected and, if so, install the latest patches from their respective vendors to address this issue.

(10/10) How AWS protects customers from DDoS events | AWS Security Blog

(10/10) Microsoft Response to Distributed Denial of Service (DDoS) Attacks against HTTP/2 | MSRC Blog | Microsoft Security Response Center


CISA が Known Exploited Vulnerabilities (KEV) カタログに 5 個の脆弱性を追加

(10/10) CISA Adds Five Known Vulnerabilities to Catalog | CISA


curlバッファオーバーフロー脆弱性

(10/11) curl - SOCKS5 heap buffer overflow - CVE-2023-38545

(10/11) curl 8.4.0 | daniel.haxx.se


その他

Google の個人向けアカウントにおいて Passkeys の認証がデフォルトに

(10/10) Passkeys are now enabled by default for Google users

Earlier this year we rolled out support for passkeys, a simpler and more secure way to sign into your accounts online. We’ve received really positive feedback from our users, so today we’re making passkeys even more accessible by offering them as the default option across personal Google Accounts.


MicrosoftWindows 11 で将来的に NTLM を無効にする意向を表明

(10/11) The evolution of Windows authentication | Windows IT Pro Blog

Reducing the use of NTLM will ultimately culminate in it being disabled in Windows 11. We are taking a data-driven approach and monitoring reductions in NTLM usage to determine when it will be safe to disable. In the meantime, you can use the enhanced controls we are providing to get a head start. Once disabled by default, customers will also be able to use these controls to reenable NTLM for compatibility reasons.