アップル、スパイウェアTriangulationの展開に使われたゼロデイを修正:CVE-2023-32434、CVE-2023-32435
アップルは21日のセキュリティアップデートにおいて、iPhoneを狙ってスパイウェアTriangulationを展開する攻撃で悪用されている新たなゼロデイ脆弱性CVE-2023-32434およびCVE-2023-32435に対処した。「Operation Triangulation」と名付けられたこのスパイ攻撃キャンペーンは6月1日にロシアのセキュリティ企業カスペルスキーによって報告されたもので、同社従業員のiPhone数十台も同スパイウェアの影響を受けていたとされる。
今回修正されたゼロデイ脆弱性は上記2件とCVE-2023-32439の計3件で、いずれも実際の攻撃で悪用されている。
カーネルの脆弱性:CVE-2023-32434
整数オーバーフローの脆弱性で、アプリによるカーネル権限での任意コードの実行を可能にする恐れがあるもの。
WebKitの脆弱性:CVE-2023-32435
WebKitにおけるメモリ破損の問題。これにより、Webコンテンツを処理する際に任意のコードを実行することが可能になる恐れがある。
WebKitの脆弱性:CVE-2023-32439
型の取り違えの脆弱性で、特別に細工されたWebコンテンツを処理する際に、任意のコードを実行することが可能になる恐れがある。
スパイキャンペーン「Operation Triangulation」とは?
CVE-2023-32434およびCVE-2023-32435は、Operation Triangulationにおいて悪用された脆弱性とされるが、Operation Triangulationとは、カスペルスキーによって報告されたゼロクリックスパイウェア・キャンペーン。2019年に始まり、今年6月1日時点ではまだ続いているとされていた。同社従業員のiPhone数十台が、同キャンペーンの影響を受けたことが報告されている。
このキャンペーンでは、ゼロクリックエクスプロイト(つまりユーザーによる操作なしで実行されるエクスプロイト)が仕込まれた添付ファイル付きのメッセージがiMessage経由で標的のiPhoneへ送信されて感染チェーンが開始される。その後攻撃者はカーネルの脆弱性を悪用して標的デバイス上でroot権限を獲得し、スパイウェアインプラント「TriangleDB」をドロップする。こうして感染したデバイスからは、マイクの録音記録、インスタントメッセンジャー内の写真、地理的位置情報といった情報が密かにリモートのサーバーへ送られる。
ロシア連邦保安庁(FSB)もOperation Triangulationの標的に?
カスペルスキーがOperation Triangulationについて報告したのと同じ日(6月1日)、ロシア連邦保安庁(FSB)は、米国の諜報機関がスパイ目的でロシアの外交官らの「数千台のアップル製電話機」をハッキングしたと主張した。FSBは、このスパイ活動ではiOSデバイスを標的とするそれまで知られていなかったマルウェアが使われていると指摘し、アップル社がこの活動に関与しているとも主張していた。
ロシアFSBによって報告されたスパイ活動が、Operation Triangulationと同一のキャンペーンだったのかは不明。ただ、カスペルスキーのシニアリサーチャーが、FSBの主張したスパイ活動とOperation Triangulationは実は関連しているとツイートしたことから、ロシアの外交官らを狙ったスパイ攻撃においても、今回修正されたゼロデイ脆弱性CVE-2023-32434およびCVE-2023-32435が悪用されていた可能性は高いと思われる。
(情報源:BleepingComputer ”Apple fixes zero-days used to deploy Triangulation spyware via iMessage”、SecurityWeek ”Apple Patches iOS Flaws Used in Kaspersky ‘Operation Triangulation’”、Apple ”About the security content of iOS 15.7.7 and iPadOS 15.7.7”)
6月22日:その他の注目ニュース
WrodPressのプラグインにおける複数の重大な脆弱性により、多数のサイトが影響受ける(CVE-2023-2986、CVE-2023-2834)
Security Week – Jun 21 2023 15:52
Webアプリケーションセキュリティ企業のDefiantが、数万回インストールされている2つのWordPressのプラグインに、深刻度の高い認証バイパスの脆弱性があることを警告している。1つ目の脆弱性はCVE-2023-2986(CVSSスコア9.8/10)として追跡されており、購入プロセスを完了しなかった顧客への通知に使用されるプラグインであるAbandoned Cart Lite for WooCommerceに影響を与えるもので、最悪の場合攻撃者によるサイトの完全な乗っ取りを可能にする恐れがある。この問題は、6月13日にリリースされたAbandoned Cart Lite for WooCommerceのバージョン5.15.1で修正されたが、まだ何万ものWebサイトが修正プログラムを適用していないという。Defiantは火曜日(20日)に、予約処理プラグインBookItにおける脆弱性CVE-2023-2834(CVSSスコア9.8/10)についても警鐘を鳴らしている。同プラグインを使用した予約の際、ユーザーが入力した内容のチェックが十分に行われないため、認証されていない攻撃者はユーザーのメールアドレスを知っている場合、既存のユーザーとしてログインすることができる。この欠陥は、6月13日にリリースされたBookItのバージョン2.3.8で修正されたが、数千のWebサイトがまだ脆弱なバージョンのプラグインを使用しているという。
VMware vRealizeの重大なRCE欠陥、実際の攻撃で悪用される:CVE-2023-20887
Security Affairs – Jun 21 2023 06:13
VMwareは、先日パッチがリリースされた脆弱性CVE-2023-20887が攻撃で盛んに悪用されているとして顧客に注意喚起した。CVE-2023-20887はネットワーク監視ツールAria Operations for Networksにおけるコマンドインジェクションの脆弱性で、CVSSスコアは9.8と深刻度が高く、悪用が成功するとリモートコード実行が可能になる恐れがあるもの。GreyNoiseによると、悪用は2つのIPアドレスによって6月13日に開始されたという。研究者らは、同脆弱性のPoCエクスプロイトコードがネット上で入手可能であると指摘している。
中国のハッカーAPT15、南北アメリカの省庁を標的にするため新たなバックドアマルウェアを使用
Heimdal Security Blog – Jun 21 2023 14:34
研究者らは、国家支援型脅威グループのAPT15が、「Graphican」と名付けられた新たなバックドアを使用しているのを観測した。APT15はFlea、BackdoorDiplomacy、ke3chang、Nylon Typhoon、Playful Taurus、Royal APT、またはVixen Pandaの名前でも知られており、政府や外交使節団を標的にすることに特化した高度持続的脅威グループである。このグループは2022年から2023年の間、南北アメリカの外務省を標的にしたキャンペーンでこの新しいマルウェアを使用した。セキュリティ研究者によると、他の標的の中には政府の財務部門、アメリカ大陸で製品を販売する企業、ヨーロッパの詳細不明の被害者が含まれていたとのこと。この新しいバックドアはAPT15の古いマルウェアKetricanの進化版であり、侵害されたデバイスからさまざまなデータを収集するために使用される可能性があるという。また、コマンド&コントロール(C2)に接続してさらなるコマンドを実行できる模様。