Bl00dyランサムウェアグループがPaperCutの重大な脆弱性を利用して教育部門を襲う（CVE-2023-27350）

Yoshida

2023.05.15

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年5月13日と14日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

Bl00dyランサムウェアグループがPaperCutの重大な脆弱性を利用して教育部門を襲う（CVE-2023-27350）

The Hacker News – May 12 2023 07:59

2023年5月初旬からBl00dyランサムウェアグループがPaperCutサーバーの脆弱性CVE-2023-27350の悪用をして米国の教育機関を攻撃しようとしていることについて、米CISAとFBIが注意喚起している。CVE-2023-27350はPaperCut MF/NGのいくつかのバージョンに影響を与える重大な脆弱性で、遠隔のアクターによる認証バイパスやリモートコード実行を可能にする恐れがある。パッチはすでにリリース済み。

CISAとFBIが先週木曜に公開した共同アドバイザリによると、一部のケースでは、Bl00dy の攻撃によってデータが抜き取られたり被害者のシステムが暗号化されたりする事態が生じていたという。被害者システムには、暗号化されたファイルの復号と引き換えに身代金の支払いを要求する内容のランサムノートが残されていたとされる。

また同ランサムウェアグループは、外部通信のために被害者のネットワーク内からTORやその他のプロキシを使用し、悪意ある通信を隠そうとしたり検出されるのを回避しようとしていたという。

過去にはCVE-2023-27350がCl0pランサムウェアや、イランのアクターであるMango SandstormやMint Sandstormによって悪用されていることも報じられていた。

関連記事：Cl0pランサムウェアがPaperCutにおける脆弱性を4月13日から悪用（CVE-2023-27350、CVE-2023–27351）、PaperCutの脆弱性CVE-2023-27350、イランのAPTグループにも悪用される

Discordでデータ侵害、サードパーティサポートエージェントがハッキングされたのち

Security Affairs – May 13 2023 14:58

Discordは、サードパーティのサポートエージェントのアカウントが侵害されたことが原因で発生したセキュリティ侵害について公表した。

影響を受けたユーザーに対して同社が送付した通知によれば、サードパーティカスタマーサービスエージェントのサポートチケットキューへの不正アクセスが発生したため、その後すぐに侵害されたアカウントを無効化したのだという。

またこの不正アクセスの結果、ユーザーのメールアドレスのほか、ユーザーとDiscordとの間でやり取りされたカスタマーサービス関連のメッセージや添付ファイルが第三者に閲覧された恐れがあることが伝えられている。

Discordは今回のインシデントによるリスクは限定的であるとの考えを示しつつ、ユーザーに対し不審なメッセージやアクティビティ（詐欺行為やフィッシングの試みなど）への警戒を怠らないよう呼びかけた。

WordPressの人気プラグインの脆弱性が悪用され始める　100万以上のサイトが影響受ける恐れ（CVE-2023-32243）

SecurityWeek – May 12 2023 08:45

100万以上のWordPressサイトで使用されているプラグイン「Essential Addons for Elementor」における重大な脆弱性CVE-2023-32243のパッチリリース後、間も無くして同脆弱性を悪用しようとする試みが開始されたことについて、WordPressセキュリティ企業のDefiantが注意喚起している。

CVE-2023-32243はユーザーアカウントの乗っ取りに悪用される恐れのある認証不要の特権昇格の脆弱性で、CVSSスコアは9.8と深刻度が高い。この脆弱性により悪意ある攻撃者は、ユーザー名さえ判明していれば、管理者を含むあらゆるユーザーのパスワードをリセットできるようになるという。影響を受けるのはEssential Addons for Elementorのバージョン5.4.0〜5.7.1で、先週のバージョン5.7.2のリリースにより対処されている。

同脆弱性が特定・報告されたのは5月8日で、バージョン5.7.2がリリースされたのは5月11日だったが、悪用の試みも11日のうちに開始されていた。Defiantが12日に公開したアドバイザリには、「過去24時間に、この脆弱性を狙った151件の攻撃がWordfenceによりブロックされた」との記載があった。なお同社が観測している攻撃の数はその後急速に増えているとされる。

Essential Addons for Elementorのユーザーには、可及的速やかにプラグインをアップデートすることが推奨されている。

2023年5月13日

ハイライト

2023年5月14日

ハイライト

ロシアに関連しているとされるCheckMateランサムウェアが、人気のファイル共有用プロトコルを静かに狙う

Security Affairs – May 13 2023 07:32

RATのRemcos – Malware Analysis Lab

Reverse Engineering – May 13 2023 13:56

ネクストジェン・ヘルスケアがランサムウェアグループBlackCatを含むグループから2023年に2回攻撃を受け、患者100万人に影響を及ぼした可能性。また6件の連邦訴訟を誘発

Medium Cybersecurity – May 14 2023 02:03

Uintah Basin Healthcareにおけるデータ侵害により10万人以上に影響

BankInfoSecurity – May 13 2023 15:39

米FBIとCISA、PaperCutの管理者向けにランサムウェアBl00dyに関する警告を発出（CVE-2023-27350）

MajorGeeks – May 13 2023 15:40

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。