-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
WS_FTPの脆弱性、悪用の試み始まった可能性 PoCも公開済み
MOVEitの提供元としても知られるプログレス・ソフトウェアは9月27日、ファイル転送ツール「WS_FTP Server」の脆弱性8件のパッチをリリースしたが、研究者は早くも9月30日に「大量悪用の可能性がある活動」を観測したという。研究者は8件のうちどの脆弱性が悪用の対象となった恐れがあるのかを明言していないが、CVE-20233-40044に関しては開示から2日後にPoCコードが出回り始めていたとされる。
WS_FTPの脆弱性、2件は「Critical」:CVE-2023-40044、CVE-2023-42657
9月27日にセキュリティアドバイザリの公開とともにパッチがリリースされた脆弱性8件のうち、CVE-2023-40044とCVE-2023-42657はCVSSスコアがそれぞれ10、9.9と高く、深刻度は「Critical」の評価となっている。特にCVE-2023-40044は、認証されていない攻撃者によるRCEを可能にする恐れのある重大な脆弱性。またこれ以外にも、深刻度が「High」の評価の脆弱性が3件(CVE-2023-40045、CVE-2023-40046、CVE-2023-40047)、「Medium」の評価のものが3件(CVE-2023-40048、CVE-2022-27665、CVE-2023-40049)修正されている。
9月30日に複数インスタンスで悪用の形跡が見つかる
Rapid7の研究者はブログ記事の中で、9月30日に上記8件の脆弱性のうち1件または数件の悪用と思われる活動を、複数顧客の環境内で観測したと述べている。研究者は、いずれのインスタンスにおいてもプロセス実行チェーンが同じように見えることから、これが脆弱なWS_FTPサーバーの大量悪用の可能性がある活動だと考えているという。またすべてのインシデントにおいて同じBurpsuiteドメインが使われていることから、これらの活動は単一の脅威アクターによって行われたものである可能性が示唆されている。
プログレスは早すぎるPoCリリースに「失望」
BleepingComputerが共有したプログレス社の声明によれば、同社は9月27日の脆弱性開示後にサードパーティからあまりにも早くPoCがリリースされたことに「失望」しているという。同社は、まだ顧客の多くがパッチ適用を完了していない状態でPoCが出回ると、脆弱性の悪用方法に関する「ロードマップ」が脅威アクターたちに提供されてしまうと指摘している。
可及的速やかなパッチ適用が必須
今回修正された中でも一部の脆弱性については深刻度がかなり高く、PoCもすでに出回っており、また悪用の試みとみられる活動がすでに観測されている。さらに、過去には同じくファイル転送ツールであるGoAnywhere MFTやMOVEItの脆弱性が大量悪用された事例があることから、WS_FTPもそうした大規模な攻撃に利用されかねない。したがって、WS_FTPユーザーにとっては、可及的速やかなパッチ適用が必須だと言える。
(情報源:The Register “Security researchers believe mass exploitation attempts against WS_FTP have begun”、BleepingComputer “Exploit available for critical WS_FTP bug exploited in attacks”)
10月3日:その他の注目ニュース
欧州電気通信標準化機構がデータ侵害を開示
SecurityWeek – October 2, 2023
欧州電気通信標準化機構(ETSI)は、同機構の会員向けポータルサイトがサイバー攻撃に遭ったことを受け、データ侵害を開示した。同機構は、ハッカーが「メンバーの業務専用のITシステム」に侵入したと述べており、オンラインメンバーのリストを含むデータベースが抜き取られたと考えている。同インシデントは規則に従ってフランス共和国データ保護機関(CNIL)に報告され、ETSIとフランスの国家情報システムセキュリティ庁(ANSSI)による調査や法執行機関による捜査が行われている。
ETSIは1988年に設立された独立非営利団体で、世界65か国から、学術機関、政府、研究機関、民間団体、公的機関など900を超える団体が加盟している。同機構はGSM、3G、4G、5Gなどの技術を含む情報通信分野の技術標準の開発とテストを支援している。
ETSIによると、データ侵害の原因となった脆弱性は修正され、ANSSIの専門家の指導の下さらなるセキュリティ対策を実施し、セキュリティを大幅に強化したとのこと。
予防措置として、ETSIはすべてのオンラインユーザーに対してパスワードの再設定を促しているが、盗まれたデータベースにユーザーの認証情報が保存されていたかどうかは不明だという。
Exim、先週公開されたゼロデイバグ6件のうち3件のパッチをリリース(CVE-2023-42115ほか)
BleepingComputer – October 2, 2023
Eximの開発者は、先週ZDIを通じて公開されたゼロデイのうち3件に対するパッチをリリースした。これらの脆弱性のうちの1つであるCVE-2023-42115は、SMTPサービスに存在する境界外書き込みの欠陥によって生じるもので、認証されていないリモートの攻撃者が悪用してサービスアカウントのコンテキストでコードを実行する可能性がある。
Eximの開発チームは2日にリリースされたバージョン4.96.1で、この脆弱性のほか、RCEの脆弱性CVE-2023-42114と情報開示の脆弱性CVE-2023-42116も修正したという。これらのパッチは「保護されたリポジトリで利用可能」であるとのこと。
まだ修正されていないゼロデイ脆弱性は以下の通り。
・CVE-2023-42117:Eximにおける特殊要素の不適切な中和によるリモートコード実行の脆弱性 (CVSS 8.1)
・CVE-2023-42118:Exim libspf2における整数アンダーフローによるリモートコード実行の脆弱性 (CVSS 7.5)
・CVE-2023-42119:Eximのdnsdbにおける境界外読み取りによる情報開示の脆弱性 (CVSS 3.1)
なおwatchTower Labsの分析によると、これらの6件の脆弱性を悪用するには非常に特殊な環境を必要とするという。同社はパッチが入手可能になり次第、これらを適用するようアドバイスしている。
