Fortinetがデータ分析ソリューションの重大な脆弱性にパッチ（CVE-2022-41331ほか）

山口 Tacos

2023.04.13

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月13日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

Fortinetがデータ分析ソリューションの重大な脆弱性にパッチ（CVE-2022-41331ほか）

SecurityWeek – Apr 12 2023 14:03

Fortinetが今週、複数製品に関するセキュリティアップデートのリリースを発表。これには、データ分析ソリューション「FortiPresence」の重大な脆弱性CVE-2022-41331のパッチなどが含まれる。

CVE-2022-41331（CVSSスコアは9.3）はFortiPresenceインフラのサーバーにおける認証不備の脆弱性で、深刻度は「Critical（緊急）」に分類されている。この脆弱性は、認証されていない遠隔の攻撃者によって、RedisおよびMongoDBインスタンスへのアクセスのために悪用される恐れがあるという。影響を受けるのはFortiPresenceのバージョン1.0、1.1、1.2で、2.0.0のリリースによって対処された。

Fortinetの4月の脆弱性アドバイザリではこのほかにも、FortiOS、FortiProxy、FortiADC、FortiDDoS、FortiDDoS-F、 FortiSandbox 、FortiDeceptor、FortiWebなどをはじめとする複数製品の脆弱性へのパッチが発表されている。このうち深刻度の高いものには以下が含まれる：

・CVE-2022-41330（CVSSスコア「8.3」、深刻度「High」）：FortiOS、FortiProxyの管理インターフェースにおけるクロスサイトスクリプティング（XSS）の脆弱性。認証されていない攻撃者による、細工したHTTPまたはHTTPS GETリクエストを使ったXSS攻撃を可能にする恐れがある。

・CVE-2022-40679（CVSSスコア「7.1」、深刻度「High」）：FortiADC、FortiDDoS、FortiDDoS-Fにおけるコマンドインジェクションの脆弱性。認証されていない攻撃者による、特別に細工された既存コマンドへの引数を使った許可されていないコマンドの実行を可能にする恐れがある。

・CVE-2022-27487（CVSSスコア「8.3」、深刻度「High」）： FortiSandbox 、FortiDeceptorにおける不適切な特権管理の脆弱性。認証されていない遠隔の攻撃者による、細工されたHTTPまたはHTTPSリクエストを使った許可されていないAPIコールの実行を可能にする恐れがある。

Fortinetのアドバイザリはこちら：PSIRT Advisories

Lazarus Groupの部隊「DeathNote」が防衛セクターを標的にするように

Dark Reading – Apr 12 2023 21:41

北朝鮮の悪名高いグループLazarus内の部隊である「DeathNote」は当初、暗号資産マイニング攻撃ばかりを行っていたが、今では世界各地の防衛セクター組織を標的にするようになっているという。

カスペルスキーによると、DeathNoteは発見された当初（2018〜2019年頃）は暗号資産取引所のみを攻撃対象としていたものの、2020年からはそのアプローチを変更し、防衛産業に関連する東ヨーロッパの組織を狙い始めたという。以後、ヨーロッパ、ラテンアメリカ、アフリカ、韓国の防衛関連企業に対する攻撃キャンペーンが観測されている。

2022年にカスペルスキーが観測したDeathNoteのキャンペーンは2つ。うち1つはラテンアメリカの防衛企業を狙ったもの。もう1つは昨年7月に発見されたもので現在も続いており、アフリカの防衛関連組織が標的となっている。後者のキャンペーンでは、DLLサイドローディングとして知られる技術によってシステム情報を盗むためのマルウェアがインストールされ、その後、攻撃者が制御するC2から第2段階のリモートアクセス型トロイの木馬「Copperhedge」がダウンロードされていた。Copperhedgeは、Lazarus傘下の諸グループによって他の攻撃でも用いられていた。

カスペルスキーの研究者によると、DeathNoteの攻撃が暗号資産マイニング攻撃から防衛セクターを狙ったスパイ攻撃へと進化したことは、過去数年間にLazarus Groupが攻撃対象を拡大しようとしてきた事実と合致しているという。

カスペルスキーのレポートはこちら：Following the Lazarus group by tracking DeathNote campaign

ヒョンデ、仏伊の顧客に影響を及ぼすデータ侵害に見舞われる

Security Affairs – Apr 12 2023 22:02

ヒョンデが、イタリアおよびフランスの顧客に影響を与えたデータ侵害の発生を公表。権限のない第三者が、試乗予約を行った自動車所有者や顧客のメールアドレス、住所、電話番号、および車台番号にアクセスしていたという。影響を受けた人の人数は不明。

同社が送った顧客への通知には、金銭関連のデータは漏洩していなかった旨が記されているほか、Eメールや郵便物、テキストメッセージを使って連絡を取ろうとしてくる人物に注意するよう呼びかける内容が含まれている。

ヒョンデはインシデントへの対応のために影響を受けたシステムをオフラインにしており、外部のサイバーセキュリティ専門家とともにインシデント範囲の特定を試みているとのこと。

2023年4月13日

ハイライト

偵察企業QuaDreamのスパイウェアが、ゼロクリックエクスプロイトを用いてiPhoneを標的に

Security Affairs – Apr 12 2023 18:20

WindowsにおけるゼロデイがランサムウェアNokoyamaの攻撃で悪用される（CVE-2023-28252）

SecurityWeek – Apr 12 2023 12:21

関連記事：Nokoyawaランサムウェアの展開に、Windowsのゼロデイが利用される（CVE-2023-28252）

SAPがDiagnostics AgentとBusinessObjectsの重大な脆弱性にパッチ（CVE-2023-27497、CVE-2023-27267ほか）

Security Week – Apr 12 2023 11:52

NSO Groupに似た「QuaDream」のアクターが政府へモバイルスパイウェアを販売：マイクロソフトが報告

Dark Reading – Apr 12 2023 18:33

DDoSアラートトラフィックが1日で436ペタバイトという記録的水準に到達

Help Net Security – News – Apr 13 2023 03:00

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。