シーメンス・エナジー、ClopによるMOVEit悪用した攻撃受けたこと認める
27日にClopランサムウェアグループのリークサイトに追加されていたシーメンス・エナジーが、MOVEit Transferのゼロデイ脆弱性CVE-2023-34362を悪用したClopの攻撃によってデータが盗まれていたことを認めた。また同社と同じタイミングでClopのリークサイトに掲載されていたシュナイダーエレクトリックはClopの主張について認識しているとしたものの、攻撃についてはまだ認めていない。
Clopの恐喝戦術
Clopは従来、被害者のデータを窃取および暗号化し、身代金を支払わなければ盗んだデータを公開すると脅すという二重恐喝戦術を採用していたことで知られる。しかし最近では、暗号化を行わずにデータ抜き取りのみを行うという手法へのシフトチェンジがみられる。
今回も、MOVEit Transferの侵害によって攻撃を受けた組織に対し、Clopはまずリークサイトに組織名を掲載して要求した金額を支払うよう圧力をかけ、その後最終的にデータをリークするという恐喝戦術を取っている。シーメンス・エナジーも今回の攻撃でデータが盗まれたことを認めているものの、重要なデータは盗まれておらず、事業運営への支障は生じなかったと述べている。
UCLAやAbbVieなど含め、トータルで122の組織が被害に
UCLA(カリフォルニア大学ロサンゼルス校)やグローバルな医薬品企業AbbVie(アッヴィ)なども、上記2社とともにClopのリークサイトに掲載された。UCLAについては攻撃を受けたことを認めており、外部のサイバーセキュリティ専門家とともにどのデータが影響を受けたのかなどについて調査中であるとThe Record紙に伝えている。なお6月28日のある報道記事では、これで被害組織の数は122に上ったと報じられている。
ただ、著名なセキュリティ研究者の@BushidoToken氏は、シーメンスとシュナイダーエレクトリックがいずれも非常に大規模なICSベンダーであること、また両社の製品が世界中のCNI(国家の重要インフラ)に使用されていることを踏まえ、この2社は特に注目に値する被害者であると指摘した。
For the uninitiated, Schneider Electric and Siemens Energy are two more notable victims as they are very large Industrial Control System (#ICS) vendors. Products are used in critical national infrastructure (#CNI) worldwide. 🏭⚠️ https://t.co/2mnhWMoo6s
— Will (@BushidoToken) June 27, 2023
(情報源:BleepingComputer ”Siemens Energy confirms data breach after MOVEit data-theft attack”、The Record “UCLA, Siemens Energy latest MOVEit victims to confirm breaches”)
6月28日:その他の注目ニュース
Chrome 114の新たなアップデートで深刻度の高い脆弱性数件が修正される(CVE-2023-3420、CVE-2023-3421ほか)
Security Week – Jun 27 2023 11:52
Googleが、合計4件の脆弱性に対処したChrome 114の新たなアップデートについてアナウンスした。このうちCVE-2023-3420、CVE-2023-3421、CVE-2023-3422の3件は外部の研究者によって発見されたもので、いずれも深刻度が「High」と評価されている。
・CVE-2023-3420:V8における型の取り違えの脆弱性。Googleは発見者であるGitHub Security Labの研究者Man Yue Mo氏に対し、20,000ドルのバグ報奨金を授与している。
・CVE-2023-3421:Mediaにおける解放済みメモリ使用の脆弱性。発見者であるCisco Talosの研究者Piotr Bania氏は、10,000ドルの報奨金を授与された。
・CVE-2023-3422:Guest Viewにおける解放済みメモリ使用の脆弱性。発見者であるセキュリティ研究者の「asnine」氏は、5,000ドルの報奨金を獲得している。
現在のChromeの最新版は、macOS・Linux向けが114.0.5735.198で、Windows向けが114.0.5735.198/199。なおGoogleは、上記の脆弱性が攻撃で悪用されたかどうかには言及していない。
WordPressのLMSプラグインLearnDashに脆弱性、任意ユーザーのパスワード変更が可能に(CVE-2023-3105)
WordPressのLMSプラグインLearnDashの4.6.0以前のバージョンに、既存アカウントを有するすべてのユーザーによる任意ユーザー(管理者レベルのアクセス権を持つユーザー含む)のパスワードリセットを可能にする恐れのある脆弱性CVE-2023-3105が存在している。同脆弱性は6月5日にWordfenceによって発見・報告され、翌日の6日に開発者によってパッチがリリースされた。CVSSスコアは8.8と高く、重大な影響を及ぼす恐れのある脆弱性であることから、Wordfenceは最新版である4.6.0.1への速やかなアップデートを呼びかけている。