脆弱なMicrosoft Exchangeサーバーが世界に20,000超存在(CVE-2021-26855ほか) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 脆弱なMicrosoft Exchangeサーバーが世界に20,000超存在(CVE-2021-26855ほか)

Threat Report

Silobreaker-CyberAlert

脆弱なMicrosoft Exchangeサーバーが世界に20,000超存在(CVE-2021-26855ほか)

佐々山 Tacos

佐々山 Tacos

2023.12.04

12月1~4日:サイバーセキュリティ関連ニュース

脆弱なMicrosoft Exchangeサーバーが世界に20,000超存在、攻撃受ける恐れも(CVE-2021-26855ほか)

BleepingComputer – December 2, 2023

世界各地に存在する20,000以上のMicrosoft Exchangeメールサーバーが、リモートコード実行の欠陥に対して脆弱であるとの報道。ShadowServerがスキャンを実施した結果、一般にアクセス可能なインターネットに接続されたおよそ20,000のMicrosoft ExchangeサーバーがEoL段階にあることが判明したという。

しかしマクニカのセキュリティ研究者瀬治山氏によるShodanでの調査では、これよりさらに多い30,000以上のサーバーがサポート終了段階にあることがわかっている。その内訳は、Exchange Server 2007のインスタンスが275、Exchange Server 2010が4,062、Exchange Server 2013が26,298だったとされる。

こうした古いバージョンのExchangeメールサーバーを使用しているマシンの一部は、重大な脆弱性ProxyLogon(CVE-2021-26855)に脆弱なものもある。ProxyLogonは、別の脆弱性CVE-2021-27065と連鎖させることでRCEを実現可能。そのほか、ShadowServerによれば、スキャンに引っかかったマシンは以下の脆弱性の影響を受けるという。

・CVE-2020-0688

・CVE-2021-26855 (ProxyLogon)

・CVE-2021-27065(ProxyLogonエクスプロイトチェーンの一部)

・CVE-2022-41082(ProxyNotShellエクスプロイトチェーンの一部)

・CVE-2023-21529

・CVE-2023-36745

・CVE-2023-36439

また瀬治山氏はスキャン結果を踏まえ、ProxyLogon、ProxyShell、ProxyTokenのいずれかに脆弱なExchangeシステムが1,800近く存在すると報告しているとのこと。

新たなプロキシマルウェアが海賊版ソフトを利用しMacユーザーを標的に

BleepingComputer – December 3, 2023

Warezサイト上で提供される海賊版macOSソフトにバンドルされた新たなプロキシ型トロイの木馬によって、Macユーザーが狙われているという。プロキシ型トロイの木馬とは、感染したコンピューターを悪意ある活動を匿名化するためのトラフィック転送用ターミナルに変えるマルウェア。Kasperskyによって発見された新たなキャンペーンでは、4K Video Donwloader Pro、Aissessoft Mac Data Recovery、Aiseesoft Mac Video Converter UltimateといったさまざまなmacOS用ソフトウェアの海賊版にプロキシ型トロイの木馬が仕込まれていたという。

このトロイの木馬は、macOSにおける正規のシステムプロセスであるWindowServerのファイルであることから、トロイの木馬が実行されてもシステムプロセスの一部であるかのように見える。同マルウェアは起動時にDNS over HTTPSを使ってC2サーバーに接続し、C2からコマンドを受け取る。これと同じC2が、今回のmacOSキャンペーンだけでなくAndroidやWindows向けのプロキシ型トロイの木馬ペイロードもホストしていることから、同一のオペレーターによって多様なシステムが狙われている可能性が示されているとのこと。

米政府、北朝鮮関連APTのKimsukyに制裁措置

Security Affairs – December 01, 2023

米財務省外国資産管理局(OFAC)は、北朝鮮との関連が指摘されるAPTグループKimsukyに対し、北朝鮮政府の戦略目標のために諜報活動を行ったとして制裁を科したと発表した。このほかにも北朝鮮の大量破壊兵器(WMD)プログラムを支援するための利益の創出や、ミサイル関連技術の調達など、同国の制裁逃れを助長しているとして、外国を拠点とする北朝鮮工作員8人が制裁を受けた。Kimsukyは2013年に初めてカスペルスキーの研究者が発見したグループで、朝鮮人民軍総参謀部偵察局による管理の下、主に韓国のシンクタンクや組織のほか、米国、欧州、ロシアを標的としていた。2020年10月末には、米コンピュータ緊急事態対策チームがKimsukyの最近の活動について、TTPやインフラに関する情報を提供するレポートを公開していた。

新たなmacOS向けランサムウェア「Turtle」が分析される

SecurityWeek – December 01, 2023

Apple製品を専門とする有名なサイバーセキュリティ研究者Patrick Wardle氏が、新しいmacOS向けランサムウェア「Turtle」に関する分析を行った。Turtleは感染したシステム上のファイルを暗号化するように設計されているが、復号が難しくないことなどから、現段階ではmacOSユーザーにとって大きな脅威とはならないようだ。しかし同氏によると、Turtleの存在により、サイバー犯罪者がApple製デバイスを狙うことに関心を持ち続けていることが示されているという。このマルウェアはGoで開発されており、バイナリに見つかった文字列を踏まえると、「Turtle」という名前は作者自身が付けたものだと思われる。Wardle氏はTurtleを特定の脅威アクターと関連づけていないが、「ファイルを暗号化する」ことを意味するものなど、中国語で書かれたさまざまな文字列を見つけたことに言及している。なお、WindowsやLinuxのシステム向けのバージョンも同様に作成されているとみられるとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ