今週の気になるセキュリティニュース - Issue #142

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

ドイツのホスティングプロバイダーにおいて、XMPP サービスの通信が盗聴される

(10/20) Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service —

TL;DR: we have discovered XMPP (Jabber) instant messaging protocol encrypted TLS connection wiretapping (Man-in-the-Middle attack) of jabber.ru (aka xmpp.ru) service’s servers on Hetzner and Linode hosting providers in Germany. The attacker has issued several new TLS certificates using Let’s Encrypt service which were used to hijack encrypted STARTTLS connections on port 5222 using transparent MiTM proxy. The attack was discovered due to expiration of one of the MiTM certificates, which haven’t been reissued.

There are no indications of the server breach or spoofing attacks on the network segment, quite the contrary: the traffic redirection has been configured on the hosting provider network. The wiretapping may have lasted for up to 6 months overall (90 days confirmed). We believe this is lawful interception Hetzner and Linode were forced to setup.


位置情報共有アプリ「NauNau」において、位置情報やチャットなどが外部から閲覧可能な状態になっていたとの報道

(10/23) Suishow株式会社に関する報道について - 株式会社モバイルファクトリー

2023年10月21日付けで、NHKより、株式会社モバイルファクトリー(本社:東京都品川区、代表取締役:宮嶌 裕二)の100%出資子会社であるSuishow株式会社(本社:東京都渋谷区、代表取締役:片岡 夏輝)の提供するサービス「NauNau」において、一時、少なくとも200万人以上のユーザーの位置情報やチャットなどが外部から閲覧可能な状態が生じていたとの報道がありました。関係者の皆様へ多大なるご迷惑とご心配をお掛けしていることを、深くお詫び申し上げます。現在、報道内容について、Suishow株式会社で個人情報漏洩の可能性を含めた事実確認を行っております。

(10/21) 「NauNau」230万人以上 位置情報など外部から閲覧可能な状態に | NHK | IT・ネット


東京大学大学院総合文化研究科・教養学部で PC へのマルウェア感染による情報漏洩

(10/24) 東京大学大学院総合文化研究科・教養学部への不正アクセスによる情報流出について | 東京大学

2023年1月18日、標的型攻撃メールの事案を調査していた専門機関からの指摘を受け、当該部局が保有するPC(当該部局所属の教員1名(以下、「利用者」という)が在宅勤務で使用していたもの)が2022年7月19日に受信した標的型攻撃メールによりマルウェアに感染していたことが発覚いたしました。

 感染発覚後、当該PCを隔離保全し、同機関ならびに別の専門機関により、PC内の情報漏洩等に関する調査を行いました。調査の結果、2023年5月23日にPC内の情報窃取の形跡が発見され、以下の情報が漏洩した可能性があることが判明いたしました。

(参考) 偽の講演依頼を通じて東京大学教員が被害にあった標的型攻撃についてまとめてみた - piyolog


攻撃、脅威

ENISA が 2023年版 ENISA Threat Landscape (ETL) レポートを公開

(10/19) ENISA Threat Landscape 2023 — ENISA


ラックが観光業を標的としたサイバー攻撃に関する注意喚起

(10/23) コロナ禍から回復中の観光業を標的としたサイバー脅威に対する注意喚起 | LAC WATCH


Microsoft が攻撃者グループ Octo Tempest による攻撃活動について報告

(10/25) Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction | Microsoft Security Blog

Microsoft has been tracking activity related to the financially motivated threat actor Octo Tempest, whose evolving campaigns represent a growing concern for organizations across multiple industries. Octo Tempest leverages broad social engineering campaigns to compromise organizations across the globe with the goal of financial extortion. With their extensive range of tactics, techniques, and procedures (TTPs), the threat actor, from our perspective, is one of the most dangerous financial criminal groups.


研究者が Safari ブラウザに対して投機的実行を悪用する攻撃手法 iLeakage を発表

(10/25) iLeakage

(10/25) Hackers can force iOS and macOS browsers to divulge passwords and much more | Ars Technica


攻撃者グループ Winter Vivern が Roundcube Webmail のゼロデイ脆弱性を悪用していると、ESET が報告

(10/25) Winter Vivern exploits zero-day vulnerability in Roundcube Webmail servers

ESET Research has been closely tracking the cyberespionage operations of Winter Vivern for more than a year and, during our routine monitoring, we found that the group began exploiting a zero-day XSS vulnerability in the Roundcube Webmail server on October 11th, 2023. This is a different vulnerability than CVE-2020-35730, which was also exploited by the group according to our research.

According to ESET telemetry data, the campaign targeted Roundcube Webmail servers belonging to governmental entities and a think tank, all in Europe.


Kaspersky が StripedFly マルウェアによる攻撃活動について報告

(10/26) StripedFly: Perennially flying under the radar | Securelist

(10/26) Sophisticated StripedFly Spy Platform Masqueraded for Years as Crypto Miner


Cloudflare が 2023年第 3四半期の DDoS 攻撃レポートを公開

(10/26) DDoS threat report for 2023 Q3


Kaspersky が Lazarus グループによる攻撃キャンペーンについて報告

(10/27) A cascade of compromise: unveiling Lazarus' new campaign | Securelist


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加

(10/23) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(10/26) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2023-5631 Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability


ApplemacOS Monterey 12.7.1, macOS Ventura 13.6.1, macOS Sonoma 14.1, iOS 15.8 / iPadOS 15.8, iOS 16.7.2 / iPadOS 16.7.2, iOS 17.1 / iPadOS 17.1, tvOS 17.1, watchOS 10.1 をリリース

(10/25) Apple security releases - Apple Support


Citrix NetScaler の脆弱性 CVE-2023-4966 の悪用が確認される。PoC も公開

(10/23) CVE-2023-4966: NetScaler Critical Security Update Now Available

On October 10, 2023, Cloud Software Group released builds to fix CVE-2023-4966, which affects NetScaler ADC and NetScaler Gateway. If exploited, CVE-2023-4966 can result in unauthorized data disclosure. This vulnerability was discovered by our internal team, and at the time of disclosure, we were not aware of any exploits in the wild.

We now have reports of incidents consistent with session hijacking, and have received credible reports of targeted attacks exploiting this vulnerability.

(10/25) Citrix Bleed: Leaking Session Tokens with CVE-2023-4966

(10/26) CVE-2023-4966 Helps Usher In A Baker’s Dozen Of Citrix Tags To Further Help Organizations Mitigate Harm | GreyNoise Blog


ハイテックインターの LTEルータ HWL-2511-SS に脆弱性。すでに悪用が確認されている

(10/26) 【重要】LTEルータ HWL-2511-SSの脆弱性に関するご報告 | ハイテクインター(21773)

さて、9月中旬に掲題の弊社製品HWL-2511-SSと組み合わせにてLTEのSIMの通信をご利用されているお客様において、データ量が急増する事象が発生致しました。 調査の結果、HWL-2511-SSに脆弱性が存在し、それを狙って不正アクセスが発生し、その結果マルウェアに感染することを確認しております。


BIG-IP にリモートコード実行可能な脆弱性

(10/27) BIG-IP Configuration utility unauthenticated remote code execution vulnerability CVE-2023-46747

(10/25) Technical Advisory: F5 BIG-IP Unauthenticated RCE Vulnerability, CVE-2023-46747 -

(10/26) Compromising F5 BIGIP with Request Smuggling -

(10/27) BIG-IPの脆弱性(CVE-2023-46747)について


その他