12月13日:サイバーセキュリティ関連ニュース
マイクロソフト月例パッチ:なりすましの脆弱性やRCEの脆弱性が修正される(CVE-2023-36019、CVE-2023-35628ほか)
SecurityWeek – December 12, 2023
マイクロソフトは火曜、月例のセキュリティ更新プログラムを公開し、少なくとも33件の脆弱性に対処。このうち、注目に値する脆弱性として以下が挙げられている。
・CVE-2023-36019(CVSS 9.6、深刻度「緊急」、悪用可能性の評価「悪用される可能性は低い」):Microsoft Power Platform コネクタにおける、なりすましの脆弱性。マイクロソフトはアドバイザリにおいて、「特別に細工された URL をユーザーがクリックすることで、攻撃者に侵害されます」と述べている。また悪用によるなりすましの性質については、「攻撃者は、悪意のあるリンク、アプリケーション、またはファイルを操作し、正規のリンクまたはファイルであるかのように偽装して、標的のユーザーをだます可能性があります」と説明した。
・CVE-2023-35628(CVSS 8.1、深刻度「緊急」、悪用可能性の評価「悪用される可能性が高い」):Windows MSHTML プラットフォームにおける、リモートコード実行の脆弱性。マイクロソフトはアドバイザリにおいて、「この脆弱性が悪用されるには、攻撃者は、メールを介して悪意のあるリンクを標的のユーザーに送信するか、通常、メールまたはインスタント メッセージの誘導により、ユーザーにリンクをクリックさせるようにする必要があります。最悪のメール攻撃シナリオの場合、攻撃者は、標的のユーザーがリンクを開いたり、読んだり、クリックする必要がない特別に細工したメールをユーザーに送信する可能性があります。この結果、攻撃者は、標的の標的のユーザーのマシンに対してリモートからコードを実行する可能性があります」と説明。
1,450超のpfSenseサーバーに、複数脆弱性の連鎖によるRCE攻撃リスクの恐れ(CVE-2023-42326ほか)
BleepingComputer – December 12, 2023
インターネットに露出するおよそ1,450のpfSenseインスタンスが、コマンドインジェクションの脆弱性(CVE-2023-42326)とクロスサイトスクリプティングの脆弱性(CVE-2023-42325 、CVE-2023-42327)に対して脆弱であり、攻撃者がこれらを連鎖させて悪用すれば、アプライアンス上でのリモートコード実行を実施できる状態になっているという。
3件のうち最も深刻度が高いのはCVE-2023-42326で、CVSSスコアは最大8.8。最悪の場合、悪意あるアクターによるroot権限でのコマンド注入・実行を可能にする恐れがある。ただしこのエクスプロイトを機能させるためには編集権限のあるアカウントへのアクセスが必要になるため、強力な攻撃を行うためには他の2件と連鎖させる必要があるという。それでも、攻撃者がpfSenseにアクセスでき、高レベルの権限を取得できれば、容易にデータ侵害を引き起こしたり、機密性の高い内部リソースにアクセスしたり、侵害されたネットワーク内でラテラルムーブメントを行ったりできるようになる可能性がある。
これらの脆弱性に対処するセキュリティアップデートは、11月6日(pfSense Plus 23.09)と11月16日(pfSense CE 2.7.1)にリリース済み。しかしそれから1か月が経過した現在も、1,500近いpfSenseインスタンスが攻撃に対して脆弱なままとなっている。同製品は大企業によく利用されていることから、この事態の危険性が殊更高まっているとのこと。
ウクライナの諜報機関、ロシアの連邦税務局をハッキングしたと主張
The Record – December 13th, 2023
ウクライナ国防省情報総局(GUR)が、ロシアの連邦税務局(FNS)のサーバー数千台をマルウェアに感染させて複数のデータベースやバックアップを破壊したと発表。この攻撃によってFNSのインフラは「完全に破壊」された、と述べた。
発表によれば、GURはFNSの「厳重に保護された重要な中央サーバー」のうちの1つと、ロシア全土および占領下のクリミアにある2,300以上の地域サーバーに侵入することに成功。この作戦で「長年にわたりロシアの税制の機能を保証してきた」構成ファイルが破壊されたほか、FNSのデータベースを運営するロシアのテクノロジー企業も影響を受けたという。
GURは、作戦の結果、FNSのモスクワにある中央オフィスと数千の地方支部との間のインターネット接続は現在「麻痺」していると主張。この「麻痺」状態は少なくとも1か月は続くだろうとの見解を示し、「攻撃から完全に回復することはないだろう」とも述べている。
なおGURの主張の真偽はまだ確認されておらず、ロシアの国営メディアは今回のハッキングについて沈黙を守っていて、FNSも公には反応を示していないとのこと。