Threat Report

Silobreaker-CyberAlert

FortiOSとFortiProxyの新しい重大な脆弱性はハッカーによるリモートアクセスを可能にする恐れ（CVE-2023-25610）

山口 Tacos

2023.03.09

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月9日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

FortiOSとFortiProxyの新しい重大な脆弱性はハッカーによるリモートアクセスを可能にする恐れ（CVE-2023-25610）

The Hacker News – Mar 09 2023 05:23

Fortinetが、セキュリティ欠陥15件に対処。うち1件（CVE-2023-25610）はFortiOSとFortiProxyに影響を与える重大な脆弱性で、脅威アクターによるシステムの制御を可能にするもの。

CVE-2023-25610はバッファアンダーライト（バッファアンダーフロー）の脆弱性で、CVSSスコアは9.3/10。Fortinetによると、同脆弱性が悪用されると、認証されていない遠隔の攻撃者がデバイス上で任意コードを実行したり、特別に細工したリクエストを使ってGUIでDoSを行ったりする恐れがあるという。

影響を受けるFortiOSのバージョンは以下：

・7.2.0〜7.2.3

・7.0.0〜7.0.9

・6.4.0〜6.4.11

・6.2.0〜6.2.12

・6.0の全バージョン

影響を受けるFortiProxyのバージョンは以下：

・7.2.0〜7.2.2

・7.0.0〜7.0.8

・2.0.0〜2.0.11

・1.2の全バージョン

・1.1の全バージョン

Fortinetは、まだこの脆弱性に対する悪意ある悪用の試みを認識していないとのこと。同脆弱性に関するFortinetのアドバイザリはこちら。

北朝鮮関連APT「Lazarus」、最近の攻撃でゼロデイを悪用

Security Affairs – Mar 08 2023 15:51

北朝鮮関連のAPTグループLazarusが、韓国の金融関連組織を狙った攻撃であるソフトウェア（名称は未開示）におけるゼロデイ脆弱性を悪用しているのを、ASECが観測。

2022年5月に観測された最初の攻撃では、韓国の公共機関や大学で広く使われている認証用ソフトの脆弱なバージョンが標的になった。この攻撃の後、標的になった組織はすべてのソフトウェアを最新バージョンにアップデートしたものの、同年10月の2回目の攻撃では、同じソフトウェアにおけるゼロデイ脆弱性が悪用されていたという。

Lazarusはラテラルムーブメントを行うために同ゼロデイを悪用したほか、BYOVDという手法を用いてマルウェア対策ソフトを無効化したそう。また同グループはフォレンジックに対抗するための手法（ファイル削除前のファイル名変更、タイムスタンプの修正など）を利用して自らの悪意ある活動を隠そうとしていたという。

ASECはこのゼロデイを韓国インターネット振興院（KISA）に報告済みだが、脆弱性の検証はまだ済んでおらず、パッチもまだリリースされていないとのこと。

Killnetの戦闘序列、2023年版

Medium Cybersecurity – Mar 08 2023 11:23

2022年2月24日の侵攻開始以来、ロシア・ウクライナ戦争のサイバーランドスケープをモニタリングし、報告を行ってきた「Cyberknow」氏が、Killnetのオペレーション構造に関するブログ記事を公開。

Cyberknow氏はKillnetと関連するグループ（少なくとも22組）やフォーラムなどの関係性を戦闘序列図にまとめ、1年間のモニタリングで得られた見解を伝えている。その一部が以下。

・Killnetは独自の暗号資産取引所を所有しており、これが同グループのオペレーションの資金源となっている可能性が高い。

・Killnetは独自のフォーラム「Infinity Forum」を所有している。Infinity ForumはKillmilk（Killnetの創設者）によって、DeanonやSolaris Forum（おそらく）のサポートのもと作られた。

・Killnet傘下のグループの中には、単体でオペレーションを実行できる能力を持つものもある（Anonymous RussiaやPhoenixなど）。

・Killnetは自身の傘下ではない親ロシアグループに対しても大きな影響力を持つ。

・Killnetはロシアのメディアによるインタビューを受けるなど、多数のメディアやTelegramで賞賛されている。

関連記事：オンライン募金詐欺、Killnetの救援活動妨害、トルコ政府によるTwitterへのアクセス規制：トルコ・シリア地震後のサイバー関連の動き

2023年3月9日

ハイライト

関連記事：魂を持つパンダ：東南アジアの政府機関に対する中国のスパイ攻撃

Transparent Tribeが偽のメッセージングアプリを使ってCapraRATを拡散

BankInfoSecurity – Mar 09 2023 01:39

新たな情報スティーラー「SYS01」が政府の重要インフラを狙う

Heimdal Security Blog – Mar 08 2023 14:56

3か月の休止を経て、新たなEmotetキャンペーンが実施される

Heimdal Security Blog – Mar 08 2023 12:21

スニッファ・アズ・ア・サービス「R3NIN」がEコマース利用者を標的に

Cyware – Mar 08 2023 10:18

Acerがデータ侵害を認める：秘密情報160GB分が売りに出される

Heimdal Security Blog – Mar 08 2023 08:17

FBIは米国下院の議員や職員に影響与えるデータ侵害について調査中

Bleeping Computer – Mar 08 2023 22:48

HDB Financial Servicesがデータ処理業者でのデータ侵害を発見

BankInfoSecurity – Mar 08 2023 18:09

Acerがデータ侵害について認める

SC Magazine US – Mar 08 2023 21:06

Log4jの脆弱性に関するチートシート（CVE-2021–44228）

Medium Infosec Cybersecurity Writeups – Mar 08 2023 09:46

米CISA、「悪用が確認済みの脆弱性カタログ」にバグ3件を追加（CVE-2022-35914、CVE-2022-33891、CVE-2022-28810）

Security Affairs – Mar 08 2023 11:57

CVE-2023-27974

Latest security vulnerabilities – Mar 09 2023 00:00

OSVと、脆弱性のライフサイクル

Google Online Security Blog – Mar 08 2023 17:04

過去の脆弱性の亡霊は今なお懸念材料

Cyware – Mar 08 2023 07:39

「CorePlague」：Jenkinsサーバーにおける深刻なRCEの脆弱性（CVE-2023-27898、CVE-2023-27905）

Aqua Blog – Mar 08 2023 12:00

Sharp Panda、Soulフレームワークの新バージョンを使って東南アジアの政府機関を標的に

The Hacker News – Mar 08 2023 07:57

Lazarus Group、韓国の金融関連組織をハッキングするためゼロデイ脆弱性を悪用

The Hacker News – Mar 08 2023 10:34

サイバー犯罪グループ「Ransom House」がHospital Clinic de Barcelonaを攻撃

Bitdefender – Mar 08 2023 10:25

ランサムウェア時代のコワーキング：Hive隆盛の経緯

BankInfoSecurity – Mar 08 2023 16:09

APT27がカスタムRATを改良し、Linuxシステムを狙うように

Cyware – Mar 08 2023 07:39

中国のハッカーがMQsTTangを使ってアジアとヨーロッパの組織を標的に

Cyware – Mar 08 2023 10:18

関連記事：MQsTTang：Mustang Pandaの新しいバックドア、QtとMQTTを使って新境地へ

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。