10月12日:サイバーセキュリティ関連ニュース
悪性の管理者アカウントを作成しサイト乗っ取りを試みる新たなWordPressバックドア
BleepingComputer – October 11, 2023
正規のキャッシュプラグインを装ってWordPressサイトを狙う新たなマルウェアについて、Defiantが報告。このマルウェアはさまざまな機能を備えるバックドアで、これを使った脅威アクターは管理者アカウントを作成したりサイトのアクティビティをコントロールしたりできるようになるという。Defiantは、同バックドアには以下のような機能があると伝えている。
・ユーザー作成:ハードコーディングされたパスワードと管理者レベルの権限を持つ「superadmin」というユーザーを作成する機能。
・ボット検出:サイト訪問者がボット(検索エンジンのクローラーなど)と認識された場合にスパムなどの異なるコンテンツを提供し、悪意あるコンテンツによってサイトをインデックスさせる機能。これにより、管理者など一部のユーザーがアクセスした場合にはサイトが正常に見えるようにし、検索エンジン経由で訪問したユーザーにはスパムなどを表示させることが可能になる。
・コンテンツの入れ替え:投稿やページのコンテンツを改変し、スパムリンクやスパムボタンを入れ込む機能。またサイトの管理者に対しては改変されていないバージョンのコンテンツを表示させ、侵害に気づくのを遅らせる。
・プラグイン制御:侵害されたサイト上の任意のWordPressプラグインをリモートで有効化したり無効化したりする機能。
Defiantはこの新たなマルウェアによって侵害されたWebサイトの件数を明かしておらず、初期アクセスの経路もまだ判明していない。ただ、サイトの侵害には盗難クレデンシャルの利用、ブルートフォース攻撃、プラグインやテーマの脆弱性の悪用といった手段が使われるのが一般的なため、このいずれかが利用された可能性も考えられる。Defiantによる詳しいレポートはこちら。
中国政府に関連するハッカーがアトラシアンの新たな脆弱性を悪用している、とマイクロソフト(CVE-2023-22515)
The Record – October 12th, 2023
マイクロソフトは11日のXでの投稿において、ハッカー「Storm-0062」が、最近発見されたアトラシアン製品(Confluence Data CenterおよびConfluence Server)に影響する脆弱性CVE-2023-22515を悪用していると伝えた。この脆弱性を悪用した攻撃者は、脆弱なアプリケーションにネットワーク接続できるデバイスを用いて、Confluenceの管理者アカウントを不正に作成できる恐れがある。アトラシアンは4日、同脆弱性に対処するためのアドバイザリとパッチをリリースしていたが、11日に「既知の国家型アクターがこの脆弱性を盛んに悪用していることを示唆する証拠がある」ことを認めた。
関連記事:アップルとアトラシアンが新たなゼロデイに緊急パッチ:CVE-2023-42824、CVE-2023-22515
マイクロソフトが「Storm-0062」と呼ぶこのハッカーは、他社から「DarkShadow」または「Oro0lxy」としても追跡されている。同社は通知の中で中国について特に言及していないが、Oro0lxyは2020年の米司法省の起訴状で、中国国家安全部(MSS)と協働する37歳のハッカーであるLi Xiaoyu被告の別名として確認されている。同アクターが今回の脆弱性の悪用に際し、単独で犯行に及んでいたのか、それとも複数の脅威アクターとともに活動していたのかは明かされていない。
Xiaoyu被告は2020年、別のハッカーとともに米国、オーストラリア、ベルギー、ドイツ、日本、リトアニア、オランダ、スペイン、韓国、スウェーデン、英国などの国々のテクノロジー企業を標的としたキャンペーンを10年間行ったとして告発されていた。両ハッカーは、盗んだソースコードをインターネット上で公開すると脅して、被害に遭った企業から暗号通貨を脅し取ろうとし、新型コロナワクチンや検査技術などを開発している企業のコンピューターネットワークの脆弱性を探していたという。
マイクロソフトはアトラシアンの顧客に対し、直ちに最新の修正バージョンにアップグレードすること、アップグレードが可能になるまで脆弱なConfluenceアプリケーションを公開のインターネットから隔離することを呼びかけた。
米CISAがAdobe Acrobatの脆弱性を悪用する攻撃を警告(CVE-2023-21608ほか)
SecurityWeek – October 11th, 2023
米CISAは10日、「悪用が確認済みの脆弱性カタログ」にWordPad、Skype、HTTP/2におけるゼロデイを含む5つの脆弱性を追加したと発表し、今年初めに発覚したAdobe AcrobatおよびAdobe Acrobat Readerにおける脆弱性CVE-2023-21608を悪用する攻撃について警告した。
CVE-2023-21608は解放済みメモリ使用の脆弱性であり、これを悪用することで現在のユーザーの権限でリモートコード実行を達成できる恐れがある。アドビは2023年1月にこの脆弱性に対するパッチをリリースしたが、それ以降多くのPoCエクスプロイトや技術的な説明が公表されており、脅威アクターらはこの脆弱性を標的にした攻撃を始める機会を得ているという。
このほかにカタログに追加された脆弱性は、Cisco IOSおよびIOS XEのGroup Encrypted Transport VPN(GET VPN)機能における境界外書き込みの脆弱性CVE-2023-20109、Skype for Businessにおける権限昇格の脆弱性CVE-2023-41763、WordPadにおける情報開示の脆弱性CVE-2023-36563、HTTP/2プロトコルにおけるDDoS攻撃を引き起こす可能性のあるゼロデイCVE-2023-44487。CVE-2023-44487はこれまで最大規模のDDoS攻撃で悪用されており、連邦政府関連企業にとって重大なリスクになるという。
関連記事:
CISAにおける拘束力のある運用指令(BOD)22-01によると、連邦政府機関は21日以内にネットワーク内の脆弱な製品を特定し、利用可能なパッチと緩和策を適用しなければならない。しかしCISAはすべての組織に対し、カタログを見直してその中に挙げられている脆弱性の修復を優先するか、緩和策が利用できない場合は脆弱な製品の使用を中止するよう奨励している。
米海軍兵、1万5千ドルと引き換えに中国へ軍事秘密を渡したこと認める
The Register – Wed 11 Oct 2023
8月にスパイ関連の容疑で逮捕されていた米海軍の兵士は10日、米国の軍事秘密を伝える代わりに中国の諜報機関から数千ドルの賄賂を受け取ったことに関して有罪を認めた。カリフォルニア州の海軍基地勤務だった同兵士は「secret」レベルまでの資料にアクセスするためのセキュリティクリアランスを有しており、米海軍の作戦安全保障、軍事訓練・演習、重要インフラに関する非公開情報を違法に収集していたという。10日の法廷において同被告は、2021年8月から2023年5月の間、これらの情報を少なくとも14回に分けて中国側に引き渡し、報酬として少なくとも14,866ドルを受け取ったことを認めた。同被告には最高で20年の拘禁刑が科される可能性があり、1月8日に判決が下される予定とのこと。なお米国では、先週末にも元陸軍軍曹が逮捕され、中国との秘密情報売買に関する2つの連邦重罪で起訴されていた。