11月22日:サイバーセキュリティ関連ニュース
Citrix、NetScalerのユーザーセッション削除を呼びかけ:CVE-2023-4966
BleepingComputer – November 21, 2023
Citrix NetScaler ADCおよびNetScaler Gatewayの脆弱性「Citrix Bleed」(CVE-2023-4966)について、Citrixが新たにブログ記事を公開。パッチ適用だけでなく、過去の全ユーザーセッションを削除し、アクティブな全てのセッションを終了させるという追加の措置も講じるよう推奨した。同社が上記のアクション実施を顧客に呼びかけるのは今回が2度目。現在Cirtrix Bleedを悪用している攻撃者たちが認証トークンを盗んでおり、これによってパッチが適用された後も侵害済みデバイスへアクセスすることが可能になっていることも踏まえると、デバイス管理者にとって上記措置を講じることは非常に重要だと思われる。
同脆弱性についてはLockBitランサムウェアによる悪用も報じられていたが、米CISAとFBIも21日、LockBit 3.0のアフィリエイトがCitrix Bleedを悪用していることに関するアドバイザリをMS-ISACおよび豪ACSCと共同で公開し、IoCや検出メソッドなどを共有した。また被害企業の1つであるボーイングも、LockBitがCitrix Bleedのエクスプロイトを用いて同社ネットワークを侵害した経緯について情報を公開しているとのこと。
Tor Project、疑惑の暗号通貨スキームに関連する複数のリレーを削除
Security Affairs – November 21, 2023
Tor Projectは、暗号通貨スキームの一部として使用されていて、ユーザーにとって脅威となる複数のリレーを削除した。Torネットワークリレーとは、Torネットワーク内で動作し、トラフィックの元のソースを匿名化することを最終目的として一連のリレーを経由してデータをルーティングするサーバーのこと。この発表ではリレー運営者の名前は挙げられていないものの、複数の情報筋により、これらのサーバーがATORプロジェクトの一部として運用されていたことが報告されている。ATORはプロトコル/暗号通貨プロジェクトで、オンチェーン報酬を用いて分散型インターネットリレーオペレーターに権限を与え、ハードウェアを通じてオープンかつ匿名のプロトコルをより広く提供することを円滑にするもの。Torプロジェクトによる発表後、ATORの株価は一度急落した。また、1,000以上のノードが停止されたという。ATORの管理者はTorプロジェクトの決定を受け、独自の分散型P2Pルーティングネットワークを開発する予定だと述べた。
PlayランサムウェアがRaaSへシフト:「サービスとして」サイバー犯罪者に提供されるように
The Hacker News – November 21, 2023
ランサムウェア開発に携わるオペレーター自身によって攻撃が実施されることで知られていたPlayランサムウェアが、RaaS(ランサムウェア・アズ・ア・サービス)オペレーションへと変貌を遂げ、他の脅威アクターたちへ「サービスとして」提供されるようになったという。サイバーセキュリティ企業Adluminが新たなレポートの中で明らかにした。同社は、さまざまな業界を標的としたPlayランサムウェアによる攻撃を追跡。すると、いずれの攻撃もほぼ同じ戦術を使って、同一の順序で実施されていたという。同社はこれを踏まえ、各攻撃間に小さなバリエーションすらも見られないことは、これらの攻撃が、RaaSを購入したアフィリエイトたちによって実施されていることを示唆していると指摘。RaaSには攻撃手順を段階を追って説明した指示書が付属しており、アフィリエイトはそれに従ってPlayを展開しているとみられるという。Adluminは、このようなスクリプトキディ(自ら開発したツールではなく、他人が開発したツールを用いて攻撃を行う者)の数は現在、おそらく「本物のハッカー」より多くなっているとし、「企業や当局は増大中のインシデントの波に注意を払い、備えるべき」だと述べている。
Windowsのゼロデイ脆弱性CVE-2023-36025用のPoCエクスプロイトを研究者らが公開
Penetration Testing – November 21, 2023
Security Lit Limitedは、すでに悪用が始まっているWindowsの脆弱性CVE-2023-36025(深刻度は8.8、高度なセキュリティ機能をバイパスするMicrosoft SmartScreenのコンポーネント内の欠陥)のPoCエクスプロイトを作成した。この脆弱性は、攻撃者が通常のSmartScreenによるチェックとそれに関連するプロンプトを回避できるようになるもの。ユーザーは特別に細工されたインターネットショートカットファイル(.URL)か、そのようなファイルを指すハイパーリンクをクリックすると、有害なサイトに誘導されたり、知らない間に有害なコードを実行されたりする恐れがある。今回公開されたPoCエクスプロイトでは、実際に同脆弱性を悪用する方法が説明されており、上記のようなファイルやリンクがSmartScreenに正しくフラグ付けされず、将来悪用される可能性があることを強調したものとなっている。同脆弱性に対するパッチはマイクロソフトによってリリース済みであり、ユーザーは直ちにパッチを適用するよう強く推奨されている。