12月8~11日:サイバーセキュリティ関連ニュース
Log4Jアプリの30%超が脆弱なライブラリを使用(CVE-2021-44228ほか)
BleepingComputer – December 10, 2023
Apache Log4jライブラリを使用しているアプリケーションのおよそ38%が、Log4Shell(CVE-2021-44228)をはじめとするセキュリティ上の問題に対して脆弱なバージョンを引き続き使用しているという。アプリケーションセキュリティ企業Veracodeが報告した。Log4Shellは2021年12月10日に発見された重大なリモートコード実行の脆弱性で、広範なインパクトおよび悪用の容易さから、当時大きな話題となった。関係するプロジェクトやシステムの管理者に対しては何度もアラートが発せられてきたが、パッチリリース以後も多くの組織が脆弱なバージョンを使い続けているとされる。
Veracodeは今年8月15日から11月15日の期間に、Log4jのバージョン1.1〜3.0.0-alpha1を利用する38,278種のアプリケーションに関するデータを集計。すると、うち約38%において安全でないバージョンが使用されていることがわかったという。その内訳は以下。
・2.8%:Log4Shellの影響を直接受ける、Log4J 2.0-beta9〜2.15.0を使用。
・3.8%:Log4Shellに対しては脆弱でないものの、別のリモートコード実行の脆弱性CVE-2021-44832の影響を受けるバージョンLog4j 2.17.0を使用。
・32%:2015年8月にサポート終了となったバージョンである1.2.〜を使用。これらのバージョンは、CVE-2022-23307、CVE-2022-23305、CVE-2022-23302を含む複数の脆弱性の影響を受ける。
Veracodeの報告からは、脆弱なLog4jが引き続き、組織ネットワーク侵害の手段として悪用される可能性があることが示されている。企業に対しては、自社環境のスキャン、使用中のオープンソースライブラリのバージョンの確認、およびすべての脆弱なバージョンの緊急アップグレードプランの設計が推奨される。
ALPHVランサムウェアのサイトが利用不能に 法執行機関が関与との噂
BleepingComputer – December 8, 2023
ALPHV/BlackCatランサムウェアグループのリークサイトは、12月7日の投稿を最後に現在まで利用不能な状態となっているが、この障害は法執行機関の取り組みによって引き起こされたとの言説が飛び交っているという。
[Update] その後、リークサイトが再びオンラインに戻ったことがセキュリティ研究者らによって伝えられている。以下は参考ツイート。
ALPHV BlackCat has their leak site basically back online. pic.twitter.com/5Q3hDDZO8B
— Dominic Alvieri (@AlvieriD) December 11, 2023
#Alphv's site is back online, minus the victims. This shouldn't, however, be assumed to mean that all is well is RansomewareLand. pic.twitter.com/7SXcvohju0
— Brett Callow (@BrettCallow) December 11, 2023
まず8日にはX(旧Twitter)上で、「ALPHV/BlackCatがFBIの訪問を受けた」との噂を聞いたとする人物による投稿がみられたほか、9日には、サイバーセキュリティ企業RedSense Intelも、同グループのサーバーが法執行機関の措置によりテイクダウンされたとBleepingComputer紙に伝えたという。
ただ、BleepingComputer自体はまだFBIがこれらのサーバーを侵害したか否かを独自に確認することはできておらず、FBIもコメントを拒否している。また、マルウェア研究者集団のVX-Undergroundは9日の投稿で、ALPHVの管理者に障害について話を聞いたところ、ホスティングプロバイダーに関する問題が生じているとの返答があったことを明かしていた。
真相は不明だが、過去にFBIがREvilやHiveの手入れを行った時にも今回と似た混乱・障害が生じていた点は注目に値する。またALPHV/BlackCatは病院や水道事業者などの重要インフラまでをも標的に含めるようになっていることから、法執行機関の監視対象となっていてもおかしくないと思われる。
WordPress 6.4.2でリモートコード実行の脆弱性が修正される
SecurityWeek – December 8, 2023
WordPressはリモートコード実行の脆弱性に対処するため、人気のコンテンツマネジメントシステムのセキュリティアップデートをリリースした。この脆弱性は、ブロックエディタにおけるHTML解析を改善するためにWordPress 6.4で導入されたクラスにあるPOPチェーンの問題。このクラスには、PHPがリクエストを処理した後に自動的に実行される関数が含まれており、攻撃者が完全に制御できる可能性のあるプロパティが使用される。同脆弱性はコアで直接悪用できるものではないが、攻撃者はこの脆弱性と何らかのオブジェクトインジェクションの脆弱性を組み合わせることで、脆弱なWebサイトでPHPコードを実行できるようになる恐れがあるという。
現在のところ、WordPress コア内でオブジェクトインジェクションの脆弱性は確認されていないが、この種の脆弱性は他のプラグインやテーマに広く存在していることから、プラグインが利用されている場合は高いリスクがもたらされ得る。この脆弱性が実際に悪用されたケースは確認されていないが、WordPressや関連プラグインにおける脆弱性は、長い間脅威アクターにとって魅力的な標的となっている。サイトの所有者および管理者はユーザーに対し、修正されたバージョンにできるだけ早くアップデートするよう推奨している。
Killnetリーダーが「リタイア」宣言、新たなトップを指名
親ロシア派ハクティビストグループKillnetのリーダー「Killmilk」が、先週「リタイア」を発表し、新たなリーダーを指名したという。Killmilkは理由としてロシア・ウクライナ戦争を挙げ、この戦争によって「神経と体力がやられた。できることはすべてやりきった」と述べている。新たなKillnetの「オーナー」には、「Deanon Club」という脅威アクターが指名されているが、このアクターは今年2月にKillnetと協力してハッキングサービスのフォーラム/マーケットプレイスである「Infinity」を設立したことなどで知られる。Deanon Clubは、今後Killnetが「新たな冒険」に乗り出すことになると予言しているものの、具体的にどんな行動を考えているのかは明言しなかったという。なお、今回の引退劇は、ロシアのジャーナリストによってKillmilkの正体が暴かれたとされる件から数週間後に起こっている。報道によれば、Killmilkは30歳のロシア人で、本名はNikolai Serafimov。ポルシェとBMWの車を所有する既婚男性で、麻薬流通で有罪判決を受けたこともあるとされる。
Android13、14でロック画面をバイパスする新たな脆弱性を研究者が発見
Security Affairs – December 10, 2023
セキュリティ研究者のJose Rodriguez氏は、Android 13および14のロック画面をバイパスする新たな脆弱性を5月に発見していた。この脆弱性は、ロック画面からGoogleマップのリンクを開くことができるというもの。Rodriguez氏はGoogle社にこの問題を報告したが、11月末時点でまだセキュリティアップデートの予定がないことを指摘している。この脆弱性を悪用することで、攻撃者はユーザーのお気に入りの場所や連絡先などにアクセスできるようになる。またGoogleマップの「運転モード」が有効の場合は、脆弱性の深刻度が大幅に上昇し、攻撃者が別のエクスプロイトと連鎖させて写真にアクセスしたり、別のデバイスから侵害されたデバイスのGoogleアカウントへアクセスできるようになったりする恐れがあるという。Rodriguez氏はAndroidユーザーに対し、この脆弱性についてテストして、デバイスのバージョンとモデルの情報も含めてコメントするよう要請している。