Barracuda ESGに新ゼロデイ、中国アクターが悪用か:CVE-2023-7102 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Barracuda ESGに新ゼロデイ、中国アクターが悪用か:CVE-2023-7102

Threat Report

Silobreaker-CyberAlert

Barracuda ESGに新ゼロデイ、中国アクターが悪用か:CVE-2023-7102

佐々山 Tacos

佐々山 Tacos

2023.12.26

Barracudaが新たなゼロデイについて注意喚起、ESGへの攻撃に中国関連アクターUNC4841が関与との見解:CVE-2023-7102、CVE-2023-7101

(情報源:Barracuda – DECEMBER 24th, 2023

Barracuda(バラクーダ)が、Email Security Gateway(ESG)アプライアンスに影響を与えるACE(任意コードの実行)の脆弱性CVE-2023-7102およびCVE-2023-7101について明らかに。CVE-2023-7102は、少数のESGデバイスに対して悪意あるメール添付ファイル(Excel)を展開するために悪用されているという。BarracudaはMandiantとの共同調査の結果を踏まえ、この悪用が中国関連のアクターUNC4841によって行われたものと評価している。

なお、今回新たに開示された脆弱性はいずれも、ESGアプライアンス内のウイルススキャナーAmavisが利用するオープンソースのライブラリSpreadsheet::ParseExcelに影響を与えるもの。CVE-2023-7102については12月21日にすべてのアクティブなESGに対してセキュリティアップデートが自動で適用されており、利用者側の対応は不要だとされる。一方でCVE-2023-7101のパッチやアップデートは未リリース。

RCEの脆弱性CVE-2023-7102の悪用

悪用が新たに発覚したCVE-2023-7102。これに関与したと思われるのが中国関連グループのUNC4841だが、同グループといえば、Barracuda製ESGアプライアンスにおける別の脆弱性CVE-2023-2868の悪用にも関与していると考えられている。

遅くとも2022年10月から実施されていたCVE-2023-2868を悪用する攻撃では、SUBMARINE、SALTWATER、SEASPYといったマルウェアが展開されていたことが判明しているが、Barracudaによれば、今回の新たな脆弱性CVE-2023-7102を用いた攻撃においても、少数のESGデバイスでSEASPYおよびSALTWATERの新亜種が展開されていたのが観されたという。

BarracudaはCVE-2023-7101についても警戒呼びかけ

BarracudaはCVE-2023-7102に関連してSpreadsheet::ParseExcelにおける別のACEの脆弱性CVE-2023-7101についても開示。現時点でこの脆弱性に対するパッチやアップデートは存在しないという。Spreadsheet::ParseExcelを自身の製品やサービスに利用している組織には、脆弱性のレビューと必要な緩和策の実施が推奨されている。

12月26日:その他のサイバーセキュリティ関連ニュース

ベトナムのグループが寝室用カメラの映像をハッキング&販売

Hackread – DECEMBER 25, 2023

ベトナムの犯罪グループが運営するTelegramチャンネルで、防犯カメラをハッキングして得られたプライベートな映像が販売されているのが見つかったという。

セキュリティ研究者Minh Hung氏は、このグループが3種のパッケージを用意して映像を販売していることを報告。パッケージの価格は安い順にそれぞれ15万ベトナム・ドン(およそ6.16ドル)、50万ベトナム・ドン(およそ20.53ドル)、80万ベトナム・ドン(およそ32.84ドル)で、最高級パッケージ「Super VIP」の場合、数百件のカメラの映像の閲覧権およびライブアクセス権が4年間分提供されるのだという。Hung氏は検証のため各パッケージを購入し、実際にカメラ映像にアクセスできることを確認している。

またHackread.comも、ハッキングおよび窃取された防犯カメラ映像を販売するベトナム語Telegramチャンネルを複数特定。記事内には、一般家庭の寝室を映したと思われる映像のスクリーンショットが掲載されている。Hackreadは、寝室に防犯カメラを設置するのはプライバシーの問題につながるため良い考えではないと指摘しつつ、自宅の防犯カメラをハッカーから守るための対策をいくつか紹介した。

GTA5のソースコードがネット上にリークされたとの報道 RockStarへのハッキングから1年

BleepingComputer – December 25, 2023

人気ゲーム「グランド・セフト・オートV(GTA5)」のソースコードが24日に流出したと報じられた。このソースコードをダウンロードするためのリンクが、Discordやダークウェブのサイトなどで共有されたという。GTA5といえば、販売元であるRockStar社が約1年前にLapsus$にハッキングされて企業データを盗まれるという事件があったが、今回のソースコードの共有は、過去にハッカーたちが盗まれたRockStarのデータをリークするのに使用したTelegramチャンネルでも行われている。

Discordにリークを行ったアクターとコンタクトを取ったvx-undergroundによると、同アクターは今年の8月にソースコードを受け取ったと主張しているという。このアクターの動機は、GTA5の改造シーンにおける詐欺行為に対抗することであり、GTA5のソースコードを所有していると主張する人々によって多くの人々が詐欺の被害に遭ったとされる。

BleepingComputerは、この正規のソースコードと思われるものを確認したが、独自にそれが本物かどうかを検証することはできなかった。また、同社は今回のリークについてRockstarに問い合わせたが、ホリデーにあたる期間のためか返答は得られなかったという。

Cloud Atlasのスピアフィッシング攻撃、ロシアの農業・研究関連企業を標的に

The Hacker News – December 25, 2023

ロシアのセキュリティ企業F.A.C.C.T.は、脅威アクターCloud Atlasが、ロシアの農業関連企業や国営の研究会社に対する一連のスピアフィッシング攻撃に関与していると指摘した。Cloud Atlas(別名Clean Ursa/Inception/Oxygen/Red October)は、遅くとも2014年から活動している出所不明のサイバースパイグループで、ロシア、ベラルーシ、アゼルバイジャン、トルコ、スロベニアを狙った執拗なキャンペーンを行うことで知られている。また同グループは、リモートからの攻撃を可能にする6年前に判明したメモリ破損の脆弱性CVE-2017-11882を悪用し、有害なペイロードを実行するために囮となる文書を含んだフィッシングメッセージを送るという手口を2018年10月から採用していることも確認されている。今回報告された最新のスピアフィッシングキャンペーンでも、同脆弱性の悪用を伴うこれと似た手口が用いられているとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ