11月15日:サイバーセキュリティ関連ニュース
マイクロソフト、2023年11月の月例パッチでゼロデイ5件など脆弱性58件を修正(CVE-2023-36036ほか)
BleepingComputer – November 14, 2023
マイクロソフトは、2023年11月の月例セキュリティ更新プログラムにおいて58件の脆弱性を修正。これにはゼロデイ5件が含まれ、そのうちCVE-2023-36036、CVE-2023-36033、CVE-2023-36025の3件については実際の攻撃で悪用されているという。
今回修正されたゼロデイは以下の通り。
・CVE-2023-36036(CVSS 7.8、深刻度「重要」):Windows Cloud Files Mini Filter Driverにおける特権昇格の脆弱性。悪用に成功した攻撃者はSYSTEM権限を得られる可能性がある。悪用の詳細やどの脅威アクターに悪用されているのかは不明。
・CVE-2023-36033(CVSS 7.8、重要):Windows DWM Core Library Elevationにおける特権昇格の脆弱性。悪用に成功した攻撃者はSYSTEM権限を得られる可能性がある。悪用の詳細は未開示。
・CVE-2023-36025(CVSS 8.8、重要):Windows SmartScreenにおけるセキュリティ機能バイパスの脆弱性。悪用に成功した攻撃者は、Windows Defender SmartScreenのチェックや関連するプロンプトをバイパスできるようになる。
・CVE-2023-36413(CVSS 6.5、重要):Microsoft Officeにおけるセキュリティ機能バイパスの脆弱性。悪用に成功した攻撃者は、Officeの保護ビューをバイパスし、保護されたモードではなく編集モードで開けるようになる。
・CVE-2023-36038(CVSS 8.2、重要):ASP.NET Coreにおけるサービス拒否の脆弱性。攻撃者による悪用が成功した場合、その攻撃により可用性が完全に失われる恐れがある。
このほか今回の月例パッチでは、CVE-2023-36052(Azure CLI REST Commandにおける情報開示の脆弱性)、CVE-2023-36400(Windows HMAC Key Derivationにおける特権昇格の脆弱性)、CVE-2023-36397(Windows Pragmatic General Multicastにおけるリモートコード実行の脆弱性)の深刻度が「緊急」に分類される脆弱性3件なども修正されている。
MySQLサーバーやDockerホストがDDoSマルウェアの標的に
SecurityWeek – November 14, 2023
MySQLサーバーやDockerホストが、DDoS攻撃実施性能を持つマルウェアに狙われているという。AhnLab Security Emergency Response CenterとCado Securityがそれぞれ報告した。
・一般にアクセス可能なMySQLサーバーを狙う「Ddostf」:AhnLabによれば、Windows上のMySQLを狙う攻撃において、脆弱なMySQLサーバーがDdostfに感染させられるケースが増えているという。同マルウェアは遅くとも2016年ごろから存在する中国起源のDDoS性能を備えたボットネットマルウェアで、LinuxとWindows環境を標的にする。侵害したシステムで永続性を得ると、システム情報を集めてC2サーバーへ送り、その後DDoS攻撃実行のコマンドを待つ。DdostfはDDoS実行のみに特化した設計になっているものとみられ、研究者らは、雇われDDoSサービスを運営する脅威アクターが背後にいると考えているとのこと。
・Dockerホストを狙う「OracleIV」:Cado Securityは新たなレポートにおいて、DockerホストがDDoS性能を持つマルウェアOracleIVの標的になっていると警告。攻撃者らは、設定ミスにより公開状態となったDocker Engine APIのインスタンスをスキャンにより見つけ出し、このPythonマルウェアを含む悪意あるコンテナを展開するのだという。このマルウェアはDDoSボットエージェントとして機能し、さまざまな種類のDoS攻撃を実施する性能を備えているとされる。なおCado Securityによれば、誤って公開されたDocker Engine APIインスタンスは近年攻撃者に人気のターゲットとなっており、特に暗号資産マイナーの展開に利用されることが多くなっているとのこと。
LockBitランサムウェアが攻撃で脆弱性Citrix Bleedを悪用か:CVE-2023-4966
BleepingComputer – November 14, 2023
LockBitランサムウェアの攻撃において、Citrix NetScaler ADCおよびNetScaler Gatewayの脆弱性Citrix Bleed(CVE-2023-4966)に対する公開済みのエクスプロイトが利用されているとの報道。最近明らかになった中国工商銀行(ICBC)、DPワールド、ボーイングなどの組織を狙った攻撃を追跡している研究者Kevin Beaumont氏によると、これらの被害組織は共有してCitrix Bleedに脆弱な露出したCitrixサーバーを有していたという。同氏はこれがLockBitのアクターらに悪用されたものと考えている。また、ウォール・ストリート・ジャーナル紙は、米国財務省から一部の金融サービス・プロバイダーに送られたEメールを入手。このメールには、ICBCへのサイバー攻撃はLockBitによるものであり、またこの攻撃は脆弱性Citrix Bleedを悪用して行われたものであるとの記述があったという。これが事実なら、ボーイングやDPワールドへの攻撃もLockBitによって同様の手口で行われた可能性が高くなる。なお、同脆弱性へのパッチは1か月以上前にリリース済みであるものの、インターネット接続された何千ものエンドポイントが依然として脆弱なアプライアンスを実行しており、その多くは米国内に存在するとのこと。