-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
シスコ、攻撃で悪用されているIOS XEの新たなゼロデイについて警告:CVE-2023-20198
シスコは16日、IOS XEソフトウェアにおける深刻度「Critical(緊急)」のゼロデイ脆弱性CVE-2023-20198(CVSS:10.0)が悪用されていると警告。これは認証バイパスの脆弱性で、認証されていない攻撃者によるフル管理者権限の奪取やルーター/スイッチのリモート制御を可能にする恐れがあるもの。Web User Interface(Web UI)機能が有効化されていて、HTTPまたはHTTPSサーバー機能が有効なデバイスが影響を受ける。
悪用の概要:9月にテスト、10月に本格的な攻撃実施か
シスコがこのゼロデイを悪用する攻撃を発見したのは9月28日。顧客のデバイスで異常な動作があったとの報告が上がったことから悪用の試みが発覚したという。そしてさらなる調査の結果、9月18日にも同脆弱性に関連する動きが行われていたことが判明。この際、権限を持たない何者かが不審なIPアドレス(5.149.249[.]74)から「cisco_tac_admin」というユーザー名のローカルユーザーアカウントを作成していたという。同社はまた、10月12日にもこの脆弱性の悪用に関連する活動が行われていたことを発見。10月の活動においては、別の不審なIPアドレス(154.53.56[.]231)から「cisco_support」というローカルユーザーアカウントが作成されていたほか、任意のコマンドをSYSTEMまたはIOSレベルで実行するために悪意あるインプラントも展開されていたという。シスコは9月の活動と10月の活動は同一のアクターによって行われた可能性が高いと見ており、前者は攻撃者が自らのコードをテストするための準備段階で、後者の活動でインプラント展開によって持続性を確立するなど本格的にオペレーションが拡大されたのだろうと考えている。
シスコはパッチを準備中
CVE-2023-20198のパッチはまだリリースされておらず、現時点でシスコからは緩和策のみが提供されている。これは、インターネットに接続されている全システム上のHTTPサーバー機能を無効化するというもの。また、組織には最近無断で作成されたユーザーアカウントがないかを確認することも強く推奨されている。というのもこうしたアカウントは、脆弱性の悪用に関連している可能性があるため。シスコは現在、修正プログラムの提供に向けてノンストップで取り組んでいるとのこと。
(情報源:BleepingComputer “Cisco warns of new IOS XE zero-day actively exploited in attacks”、Cisco “Cisco IOS XE Software Web UI Privilege Escalation Vulnerability”)
10月17日:その他のサイバーセキュリティ関連ニュース
Signal、アプリにRCEのゼロデイが存在するとの噂を否定
The Register – Mon 16 Oct 2023
プライバシー重視のメッセージングアプリで知られるSignalは、同社のGenerate Links Previews機能にデバイスの乗っ取りを可能にし得るゼロデイ脆弱性が存在するとの噂を否定した。この噂は、日曜日に複数の著名なセキュリティ研究者らが「Signalのデスクトップおよびモバイルアプリにおけるリモートコード実行のバグ」とされるものに関する警告を発し始めたことに端を発するもの。Signalはその後、噂の広まりを受けて調査を実施したところ、この脆弱性が本物であることを示す証拠は見つからなかったと報告。また同社の公式レポーティングチャンネルからも、脆弱性とされるものに関するこれ以上の情報は共有されていないという。Signalが噂を否定した後、数人のセキュリティ関係者らが、当該の問題はlibwebpの脆弱性CVE-2023-4863に関連しているようだと指摘したが、Signalの広報担当者によれば、同社はすでに数週間前にCVE-2023-4863に対するパッチを適用しており、Signalアプリの最新版はすべてパッチが適用済みとのこと。
イスラエルのロケット弾アラートアプリを装うスパイウェアが確認される
SecurityWeek – October 16, 2023
イスラエル・ガザ紛争を受けて脅威アクターらは、ロケット弾の着弾に関するアラートを受信するためのAndroid用アプリを装ったスパイウェアを用いて、イスラエル人を標的にしているという。10月7日にハマスによるイスラエルへの攻撃が開始されて以降、同国には何千発ものロケット弾が発射されていることから、イスラエルの人々はロケット弾の着弾に関するアラートを受信して安全を確保できるよう、複数のモバイルアプリに頼っている。アクターらはこうした状況を利用し始めており、例えば親パレスチナ派のハクティビストグループAnonGhostは、アプリ「Red Alert: Israel」における脆弱性を悪用した後リクエストを傍受し、APIとサーバーを公開することができた。また、ユーザーに核爆弾に関するメッセージを含む偽のアラートを送信していたのが確認された。
10月12日には、ある脅威アクターがタイポスクワッティングを利用して、オープンソースのモバイルアプリ「RedAlert – Rocket Alerts」の有害なバージョンをホストするWebサイトを作成し、iOS版とAndroid版の双方のリンクを掲載した。iOS版に関しては正規のApp Storeのページを参照しているものの、Android版に関しては改ざんされたバージョンが直接ダウンロードされるようになっていた。この有害アプリはオリジナルのコードで構築されていて、本物のソフトウェアのように動作するよう設計されている。しかし一方で連絡先、通話ログ、メッセージ、アカウント情報、SIMの詳細、インストールされているアプリケーションのリストといった、機微なユーザー情報を収集する機能も搭載されており、バックグラウンドで起動してデバイスからデータを収集する。収集された情報は、HTTP経由でリモートサーバーに送信される。データは暗号化されているが、アプリに付属している公開鍵にRSA暗号方式を使用しているため、パッケージを傍受できる人であれば誰でも情報を解読することができる。このWebサイトはすでにオフラインになっているが、このアプリをインストールした可能性のあるすべてのユーザーは、直ちにデバイスをクリーンアップすべきだとされている。また有害なアプリをインストールしたかを判断するために、ソフトウェアが要求した通話ログ、連絡先、電話、SMSへのアクセス許可の有無を確認する必要がある。
