FortinetがFortiNACにおける重大なセキュリティホールに対処、PoCエクスプロイトもまもなくリリースされる見込み(CVE-2022-39952) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > FortinetがFortiNACにおける重大なセキュリティホールに対処、PoCエクスプロイトもまもなくリリースされる見込み(CVE-2022-39952)

Threat Report

Silobreaker-CyberAlert

FortinetがFortiNACにおける重大なセキュリティホールに対処、PoCエクスプロイトもまもなくリリースされる見込み(CVE-2022-39952)

山口 Tacos

山口 Tacos

2023.02.20

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめ平日毎日更新

各見出しの末尾に、情報源のWebサイトへのリンク(赤字)が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

 

注目のニュースをピックアップ

2023年2月20日のサイバーアラートの中から、注目のニュースをピックアップしました(その他のニュースはページ後半に記載)。

 

FortinetがFortiNACにおける重大なセキュリティホールに対処、PoCエクスプロイトもまもなくリリースされる見込み(CVE-2022-39952)

Help Net Security – News – Feb 20 2023 06:00

Fortinetが、同社のさまざまな製品における脆弱性40件に対するパッチをリリースした。うち2件は、FortiNACおよびFortiWebに影響を与える重大な脆弱性(CVE-2022-39952、CVE-2021-42756)。

CVE-2022-39952はFortiNACのWebサーバーにおける脆弱性で、外部からのファイル名やパスの操作を可能にするもの。CVSSスコアは9.8/10で、Fortinetによる深刻度の分類は「Critical(緊急)」。認証されていない攻撃者に悪用されると、脆弱なシステム上で任意の書き込みが行われてしまう恐れがあるという。同脆弱性は、FortiNACの9.4.1とそれ以降のバージョン、9.2.6とそれ以降のバージョン、9.1.8とそれ以降のバージョン、および7.2.0とそれ以降のバージョンで修正されている。

CVE-2021-42756はFortiWebのProxyデーモンにおけるスタックベースのバッファオーバーフローの脆弱性。CVSSスコアは9.3/10で、Fortinetによる深刻度の分類は「Critical(緊急)」。同脆弱性は特別に作成されたHTTPリクエストによって発動される恐れがあり、認証されていない遠隔の攻撃者による任意のコード実行を可能にするもの。同脆弱性は、FortiWebの7.0.0とそれ以降のバージョン、6.3.17とそれ以降のバージョン、6.2.7とそれ以降のバージョン、6.1.3とそれ以降のバージョン、および6.0.8とそれ以降のバージョンで修正されている。

なお、CVE-2022-39952に関しては、Horizon3’s Attack Teamがすでに「まもなくPoCと悪用について説明するブログ記事をリリースする」と発表している。

関連記事:Fortinet FortiNACにおける脆弱性が実際の攻撃で悪用される、パッチリリースの数日後(CVE-2022-39952)

マルウェアFrebniis、Microsoft IISの機能を悪用してバックドアを設置

Security Affairs – Feb 19 2023 20:22

Microsoft Internet Information Services(IIS)の機能を悪用してバックドアを展開し、システム上のあらゆるHTTPトラフィックをモニタリングしようとするマルウェア「Frebniis」を、Symantecの研究者が発見。同マルウェアは、正体不明の脅威アクターによる台湾を狙った攻撃で使用されているという。

Frebniisはまず、IISの機能「Failed Request Event Buffering(FREB)」で用いられるDLLファイル(iisfreb.dll)のメモリ内にコードを注入する。FREBは失敗したリクエストのトラブルシューティングを行うための機能だが、Frebniisはコードの注入によってWebページの失敗したリクエストを分析できるようになる。これにより、同マルウェアは密かにすべてのHTTPリクエストをモニタリングして攻撃者が送り込む特別にフォーマットされたHTTPリクエストを識別できるようになり、攻撃者によるリモートコード実行が可能になるという。

FrebniisがIISの機能をハイジャックすると、攻撃者はPOSTによる通信を行う。この通信に含まれた文字列が、セットされたパスワード(「7ux4398!」)と一致すると、注入されたコードに含まれるメインのバックドア(.NETの実行可能コード)が復号され、実行されるそう。Frebniisはディスクに実行可能ファイルを保存しないことから、研究者は、同マルウェアは完全なステルス性能を手にしている、と指摘している。

Symantecによれば、攻撃者がこの手法を実行するためには何らかの手段によってIISの動作するWindowsシステムへアクセスする必要があるが、このアクセスがどのように行われるのかはわかっていないとのこと。

 

Symantecのレポートはこちら:Frebniis: New Malware Abuses Microsoft IIS Feature to Establish Backdoor

 

2023年2月20日

ハイライト

 

インドの切符販売プラットフォームRailYatriでハッキング被害 – 3,100万人に影響

HackRead – Feb 20 2023 00:34

 

Edgepark Medical SuppliesがRise Interactive Media & Analyticsでのデータ侵害について患者に通知

DataBreaches.net – Feb 19 2023 13:10

 

アトラシアンのデータをハッカーらが公表、従業員の認証情報を窃取後に

Security Affairs – Feb 19 2023 15:00

 

1.2 — Netgear R6700V3のcircledバイナリのエミュレーション(CVE-2022–27644、 CVE-2022–27646)、パート2

Medium Cybersecurity – Feb 20 2023 01:24

 

 


ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

情報ソースは、OSINT特化型インテリジェンス収集・分析ツール「Silobreaker」が自動生成するサイバーセキュリティニュースのハイライト(英語)です。

本ページでは、これを翻訳してお届けしています。

 

翻訳元 : Daily Cyber Alert (20 February 2023)

 

Silobreakerについて

Silobreakerは、日々Webに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ