MetaEncryptorグループのリブランドか：「LostTrust」ランサムウェアとは

9月30~10月2日：サイバーセキュリティ関連ニュース

MetaEncryptorグループのリブランドか：「LostTrust」ランサムウェアとは

BeepingComputer – October 1, 2023

2023年3月に組織への攻撃を開始し、9月から盛んにリークサイトを利用し始めたことで名が知られるようになったランサムウェアオペレーション「LostTrust」は、別のランサムウェアオペレーション「MetaEncryptor」がリブランドされたものだと考えられているという。MetaEncryptorは2022年8月に始動したと考えられるランサムウェアオペレーションで、2023年7月に12組の被害組織をリークサイトに掲載して以降、新たな被害者の掲載は行っていない。そんな中、今年9月にLostTrustのリークサイトが立ち上げられると、サイバーセキュリティ研究者Stefano Favarato氏はすぐさま同サイトがMetaEncryptorのデータリークサイトと同じテンプレートやバイオグラフィーを利用していることに気づいたという。両者とも、バイオグラフィーに「我々は、少なくとも15年の経験を持つネットワークセキュリティ分野の専門家を自認する若者たちのグループである」などと記載している点が一致。また、両者の暗号化ツールは見た目が同一で、ランサムノート（身代金要求メモ）や公開鍵などに若干の変更が加えられているのみだという。さらに、使われているコードに多くの重複があることからも、LostTrustがMetaEncryptorのリブランド版である可能性が強調されている。その他多くのランサムウェアグループと同様、LostTrustもTorのリークサイトを使って標的企業を恐喝し、盗まれたデータを公開されたくなければ身代金を支払えと脅す。なお、この際要求される身代金の額は10万ドル〜数百万ドルとされる。現時点で同グループのリークサイトには53組の被害組織が掲載されており、うち数社はすでにデータをリークされているとのこと。

CloudflareユーザーはCloudflare内から仕掛けられる攻撃の標的となる恐れ：研究者

SecurityWeek – September 29, 2023

Cloudflareのセキュリティコントロールの問題により、同プラットフォームユーザーが他のユーザーを攻撃することが可能な状態になっていると、テクノロジーコンサルティング企業のCertitudeが注意喚起。Cloudflareでは、外部から顧客のWebサーバーへ向かうすべてのトラフィックがリバースプロキシサーバー経由で検証され、顧客はDDoS攻撃などの悪意ある活動から保護されている。しかし、Cloudflare自身のインフラから発せられるトラフィックについてはデフォルトで「信頼できる」ものとみなされるため、Cloudflareに登録済みの攻撃者であれば保護機能をバイパスして他のユーザーへの攻撃を仕掛けることができると、Certitudeは指摘。

こうした攻撃を可能にするセキュリティギャップの1つとして同社が発見したのは、トランスポート層の保護メカニズム「Authenticated Origin Pulls」に関連するもの。ユーザーは、自身のWebサーバー（オリジンサーバー）に対してこの認証メカニズムを設定する際、Cloudflareが提示する共通の証明書を使用するか、ユーザー独自の証明書を使用するかを選択できるが、後者はAPIを通じてしか使用できないなどの理由から、より利便性の高い前者のオプションが選ばれることの方が多い。しかし、共通の証明書を利用するということは、Cloudflareの別テナントからのすべての通信が許可されてしまうということになる。またこれと同様のギャップが、ネットワーク層の保護メカニズムであるIPアドレスの許可リスト機能にも存在するという。これらの問題はCloudflareのバグバウンティプログラムを通じて3月に報告されたものの、Certitudeの報告書には「有益」との評価が付いただけで問題の修正はなされなかったとされる。

Certitudeはこうした問題のPoCデモを公開し、対応策として、接続の認証にはカスタムの証明書を使用することと、Cloudflare Aegisを利用することをユーザーに推奨している。

NIST、OTセキュリティガイド（SP 800-82 第3版）の最終版を公開

SecurityWeek – September 29, 2023

NISTは9月28日、運用技術（OT）セキュリティに関する特別刊行物（SP）800-82 第3版の最終版を公開したと発表した。この改訂版は、2021年4月に公開された最初のドラフトと、その1年後に公開された第2ドラフトを経て完成されている。

この文書は316ページで構成されており、OTシステム特有の安全性、信頼性、性能の要件に対応しつつ、OTシステムのセキュリティを向上させるためのガイダンスを提供している。具体的には、OTと典型的なシステムトポロジーの概要の提供、OTによってサポートされる組織のミッションとビジネス機能に対する典型的な脅威の特定、OTにおける典型的な脆弱性の説明、関連するリスクを管理するために推奨されるセキュリティ保護措置と対策の提供がなされているという。また、同ガイダンスはOTサイバーセキュリティプログラムの開発、リスク管理、サイバーセキュリティアーキテクチャ、NISTサイバーセキュリティフレームワーク（CSF）のOTへの適用に焦点を当てており、今回発表された最終版では、産業制御システム（ICS）からOT全般へと範囲が拡大され、OTをめぐる脅威、脆弱性、リスク管理、推奨されるプラクティス、現在のセキュリティ活動、ツールと能力に関する内容が更新されているとのこと。そして他のセキュリティガイドや基準との整合性も確保されているという。

この文書は、NISTのWebサイトからPDF形式で無料でダウンロードできる。

Eximにおけるパッチ不在のRCEのゼロデイにより、350万超のサーバーに影響（CVE-2023-42115）

Security Affairs – September 29, 2023

メール転送エージェント（MTA）ソフトウェアであるEximの全バージョンに、重大なゼロデイ脆弱性CVE-2023-42115が存在すると、専門家が警告している。

同脆弱性は、SMTPサービスに存在する境界外書き込みの問題に起因するもので、ユーザーが提供するデータが適切に検証されないことで生じる。認証されていないリモートの攻撃者が同脆弱性を悪用すると、インターネットに公開されたサーバー上でリモートコード実行（RCE）を行うことができるようになる恐れがある。Bleeping Computerによると、インターネット接続されたEximサーバーは350万超存在するという。

この脆弱性は匿名の研究者により2022年6月にZDIを通じて開示され、ZDIはベンダーに同脆弱性について報告した。2023年9月25日、ZDIはベンダーに対応状況について問い合わせ、27日にこのゼロデイを公開する意向を伝えた。しかし、ベンダーの開発チームによる対処は未だ行われていないようだ。

現時点で、同脆弱性が悪用されるリスクを軽減させる唯一の方法は、アプリケーションとのインタラクションを制限することだという。