Threat Report

Silobreaker-CyberAlert

Jenkinsサーバーの脆弱性2件を連鎖させることでリモートコード実行が可能に（CVE-2023-27898、CVE-2023-27905）

山口 Tacos

2023.03.10

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年3月10日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

Jenkinsサーバーの脆弱性2件を連鎖させることでリモートコード実行が可能に（CVE-2023-27898、CVE-2023-27905）

SecurityWeek – Mar 09 2023 13:45

最近パッチがリリースされたJenkinsサーバーにおけるクロスサイトスクリプティングの脆弱性2件（CVE-2023-27898、CVE-2023-27905）を組み合わせることでリモートコード実行が可能になると、サイバーセキュリティ企業Aqua Securityが注意喚起。

Aqua Securityが「CorePlague」と名付けたこれら2件の脆弱性は、悪意あるプラグインを提供することで悪用可能だという。

CVE-2023-27898は深刻度が高く、Jenkinsのバージョン2.270〜2.393、LTSの2.277.1〜2.375.3に影響を与える。攻撃者は、悪意あるプラグインをJenkins Update CenterにアップデートすることによりXSSを引き起こすことが可能で、この悪用を成功させる上で被害者によるプラグインのインストールは不要だという。

CVE-2023-27905の深刻度は中程度で、update-center2がこの脆弱性の影響を受ける。攻撃者はホスティング用のプラグインを提供することで、同脆弱性を悪用できる。

Aqua Securityによると、認証されていない遠隔の攻撃者はこれら2件の脆弱性を連鎖させることで、脆弱なサーバー上での任意コードの実行を達成できるという。これにより、Jenkinsサーバーを完全に侵害することが可能になる恐れがある。

なおこれらの脆弱性のパッチはすでにリリース済み。Jenkinsのセキュリティアドバイザリはこちら。

CISAの「パッチ必須」リストは、悪用されている脆弱性42件を含まず（CVE-2017-20149、CVE-2022-28810ほか）

Security Week – Mar 09 2023 13:52

米CISAの「悪用が確認済みの脆弱性（KEV）カタログ」からは、実際の攻撃で悪用されている可能性が高い脆弱性数十件が漏れていると、脆弱性インテリジェンス企業VulnCheckが伝えた。

KEVカタログに記載される脆弱性に対しては、政府関連組織には指定された期間内にパッチを適用することが義務付けられており、民間企業には指定された期間内のパッチ適用が強く推奨されている。このことから、KEVカタログは「パッチ必須」リストと呼ばれることが多い。

しかしVulnCheckが最近行った分析の結果によると、CISAは2022年に550件の脆弱性を同カタログに追加したものの、悪意ある攻撃で実際に悪用されている可能性が高い脆弱性42件は同カタログに掲載されていなかったとのこと（3月3日時点で）。42件のうち4分の3が初期アクセス獲得のために悪用可能であるほか、31件には公開エクスプロイトが存在している。

これら42件には、CVE-2017-20149（Mikrotik製ルーターに影響を与える脆弱性）、CVE-2022-28810（ ManageEngine ADSelfService Plusの脆弱性）、CVE-2022-35914（GLPIの脆弱性）、CVE-2022-33891（Apache Sparkの脆弱性）などが含まれる。CVE-2022-28810は中国関連APTの活動との関連が指摘されており、VulnCheckのレポートが公開された後、CISAは同脆弱性およびCVE-2022-35914をカタログに追加した。またCVE-2022-33891については2022年12月に悪用がマイクロソフトによって観測されていた。

数十件もの悪用されている可能性が高い脆弱性がKEVカタログから漏れている理由については不明だが、SecurityWeekはCISAに説明を求めており、返答が得られ次第最新情報を伝えるつもりであるとのこと。

NetWire RATをFBIと複数国の警察が排除

The Register – Security – Mar 10 2023 01:33

複数国の法執行機関が、リモートアクセス型トロイの木馬（RAT）「NetWire」関連のサイバー犯罪者によって運営されるWebサイトを差し押さえ、インフラをテイクダウンした。

クロアチアの警察は火曜、数年間にわたってNetWireの販売を行っていたWebサイト「worldwiredlabs」の管理者だったとされる容疑者を逮捕。また同日にロサンゼルスの連邦当局がドメインを差し押さえたほか、スイスの法執行機関はNetWireのインフラをホストしていたサーバーを差し押さえた。

NetWireは2012年に初めて発見され、以後サイバー犯罪グループや国家支援型グループによって好んで使われてきた。同RATは被害者のスマートフォンやPCに感染後、パスワードの窃取、キーロギング、デバイスの遠隔操作などを行うことができる。

今回のテイクダウンについてFBIロサンゼルス支局のDonald Alway副局長は、「NetWire RATを排除することにより、FBIは不法なサイバーエコシステムに影響を与えた」と語った。

2023年3月10日

ハイライト

関連記事：Bitwardenにパスワード窃取という不可解な「ユースケース」

FortinetがFortiOS、FortiProxyにおける重大なRCEの脆弱性を修正（CVE-2023-25610）

Help Net Security – News – Mar 09 2023 11:11

関連記事：FortiOSとFortiProxyの新しい重大な脆弱性はハッカーによるリモートアクセスを可能にする恐れ（CVE-2023-25610）

8220 Gang、最近のクリプトジャッキング攻撃で新たなクリプター「ScrubCrypt」を使用していた

Security Affairs – Mar 09 2023 10:54

ランサムウェア時代のコワーキング：Hive隆盛の経緯

DataBreaches.net – Mar 09 2023 13:40

Lazarusグループは昨年、韓国の金融関連企業に2度侵入

CSO Magazine – Mar 09 2023 12:54

ロシアの脅威グループTA499が北米とヨーロッパの国々を標的に

Cyware – Mar 09 2023 18:17

最近見つかったランサムウェア「IceFire」がLinuxシステムも狙うように

Security Affairs – Mar 09 2023 15:11

APT29の高度なキャンペーンで、欧州委員会を狙うためにNotion APIが悪用される

Medium Cybersecurity – Mar 09 2023 23:51

Oracle WebLogicを狙うクリプトジャッキング攻撃で新たなクリプター「ScrubCrypt」が使用される

The Hacker News – Mar 09 2023 08:10

ボットネットPrometeiのアップデート版が防御を回避し、モネロを採掘

SC Magazine US – Mar 09 2023 23:10

偽のFacebookプロフィールに注意を、Google広告がスティーラーSYS01を配布

HackRead – Mar 09 2023 14:58

ハッカーら、リモートデスクトップソフトウェアの欠陥を悪用してマルウェアPlugXを展開

The Hacker News – Mar 09 2023 14:54

キーロギングのパワーを解明：Revealer Keyloggerのハンティング

Medium Cybersecurity – Mar 09 2023 17:02

注意！AIが真のポリモーフィック型マルウェア「BlackMamba」を生成

Cyware – Mar 09 2023 18:17

MedusaLockerはRDP経由でランサムウェアGlobeImposterを配布

Cyware – Mar 09 2023 11:40

関連記事：開放RDPポートはランサムウェア攻撃を企てる攻撃者の間で今なお人気の標的

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。