Googleが攻撃で悪用されるゼロデイを修正 今年4件目:CVE-2023-4863 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > Threat Report > Googleが攻撃で悪用されるゼロデイを修正 今年4件目:CVE-2023-4863

Googleが攻撃で悪用されるゼロデイを修正 今年4件目:CVE-2023-4863

Google、攻撃で悪用される今年4件目のゼロデイを修正:CVE-2023-4863

Googleは11日、今年冒頭から攻撃で悪用されているChromeのゼロデイ脆弱性CVE-2023-4863の修正のための緊急セキュリティアップデートをリリース。これはChromeのゼロデイとしては今年4件目で、深刻度は「Critical」と評価されている。脆弱性の詳細や、どのような攻撃で悪用されているかに関する情報などはまだ開示されていない。

関連記事:Google、Chromeに影響与える最新のゼロデイに対処:CVE-2023-3079

任意コードの実行に繋がり得るヒープバッファオーバーフローの脆弱性

Googleのアドバイザリによると、CVE-2023-4863はWebPにおけるヒープバッファオーバーフローの脆弱性で、深刻度は「Critical(緊急)」。現段階では脆弱性の詳細ページへのアクセスは制限されており、ユーザーの大半がアップデートを適用し終わるまでこの状態は続く可能性があるとされる。BleepingComputerによれば、この脆弱性が悪用された場合の影響はクラッシュから任意コードの実行までが考えられるとのこと。

修正済みバージョンは?

CVE-2023-4863はバージョン116.0.5845.187(Mac、Linux)および116.0.5845.187/.188(Windows)で修正されており、利用者にはこれらのバージョンへの迅速なアップグレードが推奨されている(デフォルトでは自動更新されるようになっておりユーザー側の操作は不要)。

脆弱性の報告者は、スパイウェア調査などで知られるCitizen Lab

この脆弱性CVE-2023-4863は、アップルのSecurity Engineering and Architecture(SEAR)とCitizen Labによって9月6日に報告されたという。Citizen Labといえば、国家支援型アクターによる政治家やジャーナリスト、反政府活動家などを狙ったスパイウェア攻撃の調査で知られ、スパイウェア展開のために悪用されるゼロデイを度々発見・開示してきた。つい最近も同研究チームは、スパイウェアPegasusを展開するためのゼロクリックエクスプロイトチェーンの一部として悪用されていたアップル製品のゼロデイ脆弱性(CVE-2023-41064、CVE-2023-41061)について報告したばかり。

米CISAはCVE-2023-41064、CVE-2023-41061を脆弱性カタログに追加

Citizen Labにより発見されたCVE-2023-41064、CVE-2023-41061はiPhone、iPad、Mac、Apple Watchに影響を与えるゼロデイ脆弱性で、標的のデバイスにスパイウェアPegasusを感染させるためのエクスプロイトチェーン「BLASTPASS」で悪用されていたという。米CISAは11日、両脆弱性を「悪用が確認済みの脆弱性カタログ」に追加し、連邦政府機関に対して10月2日までのパッチ適用を指示した。

Chromeのゼロデイがスパイウェア展開に使われたかどうかは不明

報告者がCitizen Labであることや、Pegasusの展開に使われたアップル製品の脆弱性とほぼ同時期に開示されたことから、ChromeのゼロデイCVE-2023-4863もスパイウェア攻撃で悪用されていた可能性はあると推察できるかもしれない。ただ、GoogleからもCitizen Labからもまだ詳しい情報は公表されていないため、実際のところは現段階では不明。攻撃や脆弱性自体の詳細は、アップデートが大半のユーザーに適用され次第明かされるだろうと思われる。

 

(情報源:BleepingComputer “Google fixes another Chrome zero-day bug exploited in attacks”、”CISA warns govt agencies to secure iPhones against spyware attacks”)

9月12日:その他の注目ニュース

MGMリゾーツが「サイバーセキュリティ上の問題」を確認し、システムを停止

SecurityWeek – September 11, 2023

ホスピタリティとエンターテインメントの大手MGMリゾーツは11日、「サイバーセキュリティ上の問題」により、同社のシステムとデータを保護するためラスベガスとニューヨークの最も大きな施設のWebサイトを含む、特定のコンピューターシステムのシャットダウンを余儀なくされたと発表した。同インシデントは10日に始まり、全米のホテル予約システムやカジノフロアを運営する他のITシステムに影響を与えたという。同社は問題の発見後、外部の有力なサイバーセキュリティ専門家や法執行機関の協力を得て、問題の性質や範囲を特定する調査を開始していることから、ランサムウェアによる恐喝攻撃の可能性が示唆されている。

MGMリゾーツの施設には、マンダレイベイ(セキュリティカンファレンスBlack Hatの会場)、ベラージオ、MGMグランド、アリア、ルクソール、ザ コスモポリタンが含まれる。

調査は継続中であり、11日の午後1時(PST)時点でも同社のホームページは依然として利用できない状態だったという。

Charming Kittenの新たなバックドア「Sponsor」がブラジル、イスラエル、UAEを狙う

The Hacker News – September 11, 2023

イランの脅威アクターCharming Kittenが、これまで文書化されていなかったSponsorというバックドアを使用してブラジル、イスラエル、アラブ首長国連邦のさまざまな組織を狙う攻撃キャンペーン「Sponsoring Access」に関与している可能性があると指摘されている。同グループは主に教育、政府、医療機関、人権活動家やジャーナリストを標的にしている可能性があるという。

SponsorはC++で書かれたバックドア。同バックドアはディスク上に保存された設定ファイルを使用していて、検出を回避するため無害に見えるようになっている。またホスト情報を収集し、リモートサーバーから受け取った命令(コマンドやファイルの実行、ファイルのダウンロード、攻撃者が管理するサーバーのリストの更新など)を処理し、その結果をサーバーに送り返すように設計されている。これまでSponsorによる被害者は少なくとも34組確認されており、最も古い事例は2021年9月に遡るとのこと。

Sponsoring Accessキャンペーンは、インターネットに公開されたMicrosoft Exchangeサーバーにおける既知の脆弱性(CVE-2021-26855)を場当たり的に悪用して初期アクセスを取得し、侵害後のアクションを実行するというもの。あるインシデントでは、2021年8月に名称不明のイスラエル企業が攻撃者による侵入を受け、その後、PowerLess、Plink、およびMerlinと呼ばれるGoベースのオープンソースのポストエクスプロイトツールキットなどの次の段階のペイロードを数か月にわたって配布され、12月にSponsorが投下されたと言われている。

Charming Kittenは多様なオープンソースのツールセットとともにSponsorなどの複数のカスタムアプリケーションを補完的に使用し続けており、パッチが適用されていないMicrosoft Exchangeサーバーを狙い続けているという。