F5、BIG-IPの重大なRCE脆弱性について警告:CVE-2023-46747 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > F5、BIG-IPの重大なRCE脆弱性について警告:CVE-2023-46747

Threat Report

Silobreaker-CyberAlert

F5、BIG-IPの重大なRCE脆弱性について警告:CVE-2023-46747

佐々山 Tacos

佐々山 Tacos

2023.10.30

10月27~30日:サイバーセキュリティ関連ニュース

F5、BIG-IPにおける重大なRCE脆弱性について警告:CVE-2023-46747

SecurityWeek – October 27, 2023

F5は27日、同社のBIG-IP製品に重大なリクエストスマグリングの脆弱性CVE-2023-46747が存在することについて顧客に警告。BIG-IP製品のトラフィックマネジメントユーザーインタフェース(TMUI)に影響を与えるこの脆弱性は、認証されていない攻撃者によるリモートコード実行を可能にする恐れがあり、CVSSスコアは9.8/10。脆弱性の発見者であるPraetorian Securityによれば、同脆弱性はApache HTTP Serverにおける別のリクエストスマグリングの欠陥CVE-2022-26377と密接に関係しており、認証バイパスやrootでのコマンド実行といった目的で悪用される可能性があるという。TMUIがインターネット接続されている状態の全BIG-IPシステムがこの脆弱性の影響を受けるが、Praetorianは、悪用のリスクに晒されているそのようなインスタンスが「6,000」以上存在すると述べている。またこれには、政府組織やフォーチュン500選出企業も含まれるとされる。F5は14.1.0以降のバージョン向けに修正のためのシェルスクリプトをリリースしているが、脆弱性の技術的な詳細については大半のユーザーがパッチを適用するまで開示されない見込み。なお、同社はCVE-2023-46747が悪意ある攻撃に悪用されているかどうかについて明かしていない。

LockBitランサムウェアグループが、ボーイング社からデータを盗んだと主張

Security Affairs – October 27, 2023

LockBitランサムウェアグループは27日、ボーイング社をハッキングしたと主張し、期限日である11月2日までに同社からの連絡がなければ、同社から盗んだ大量の機微データをリークすると脅した。なお、サンプルはまだ公開していないようだ。LockBitの主張の真偽は不明だが、過去には、企業数社が同グループの被害者リストに追加されたものの、実際に侵害されたのはその企業のベンダーだったことがあるという。ボーイング社は世界最大級の航空宇宙関連企業であり、 2022年には666億1,000万ドルの売上を記録している。ボーイング社に対する身代金額はまだ明らかにされていないが、非常に高額になる可能性があるという見方がある。

100万台超が感染した高度なマルウェア「StripedFly」に、NSA関連ツールとの類似点

SecurityWeek – October 27, 2023

暗号通貨マイナーを装った高度なマルウェアStripedFlyが、100万台以上のデバイスを感染させていると、カスペルスキーが警告している。同マルウェアには、米国家安全保障局(NSA)との関連が指摘される脅威アクターEquation Groupが使用するマルウェアの中で過去に観測されたシーケンスコードが含まれているなど、両マルウェアにはいくつかの類似点がみられるものの、両者を関連づけられる直接的な証拠はないという。StripedFlyはモジュール式のフレームワークとして設計されており、C&Cサーバーとの通信に使用する内蔵Torネットワークトンネルを備え、WindowsとLinuxの両方を標的にする。StripedFlyのモジュールは、サービスまたは拡張機能を提供するもので、マルウェアの設定の保存、アップグレードとアンインストールの実行、リバースプロキシの作成、認証情報とファイルの収集、スクリーンショットの撮影、プロセスの実行、マイク入力の録音、偵察の実行、マルウェアの拡散、モネロのマイニングを行う。またBitbucket、GitLab、GitHubなどの信頼されているサービスに依存するアップデート・配信メカニズムも備えているという。同マルウェアは2017年に最初に検出されたが、暗号通貨マイナーとして誤って分類されていた。StripedFlyの目的は不明のままだが、はっきりしているのは同マルウェアはAPTとしての性能とランサムウェアの機能を併せ持っていること、金銭的な利益とスパイ活動の両方に利用できることだという。

Pwn2Own Toronto閉幕、計58件のゼロデイに賞金総額103万8,500ドル

BleepingComputer – October 27, 2023

10月24日から3日間にかけて開催されたハッキング大会「Pwn2Own Toronto 2023」が幕を閉じ、合計58件のゼロデイエクスプロイトに対して総額103万8,500ドルの賞金が支払われた。なお3月開催の前回大会では、ゼロデイ27件に対して総額103万5,000ドルとテスラ車が授与されていた。トレンドマイクロのZero Day Initiative(ZDI)が主催するこのイベントでは、セキュリティ研究者らがスマートフォンや、プリンター、ワイヤレスルーター、NASといったIoT製品のハッキングを試みる。今大会でゼロデイエクスプロイトが実演されたデバイスのベンダーには、Xiaomi、Western Digital、Synology、Canon、Lexmark、Sonos、TP-Link、QNAP、Wyze、Lexmark、HPが含まれる。ハッキングの対象となったデバイスのうち、Samsung Galaxy S23に関しては、大会期間中に4回もハッキングされ、この際、不適切な入力値検証の問題や入力許可リストの悪用などの手法が実演されたという。大会全体の優勝者は、賞金18万ドルとMaster of Pwnポイント30点を獲得した​Team Viettel。賞金11万6,250ドル、ポイント17.25点のTeam Orca(Sea Security)がこれに続いた。Pwn2Ownの開催中に悪用されたゼロデイ脆弱性については、ZDIがその詳細を開示するまでに120日間の猶予がベンダーへ与えられ、ベンダーはこの期間内にパッチをリリースすることになっている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ