Ivanti Connect Secureに重大なゼロデイ2件：CVE-2023-46805、CVE-2024-21887

ウィークリー・サイバーダイジェスト

Ivanti Connect Secureに重大なゼロデイ2件：CVE-2023-46805、CVE-2024-21887

2023年12月中旬、Volexityの研究者は、Ivanti Connect SecureのVPNデバイスに影響を及ぼす重大かつ深刻度の高いゼロデイ脆弱性2件が盛んに悪用されていることを発見した。両脆弱性（CVE-2023-46805およびCVE-2024-21887）は、連鎖させて悪用された場合、認証なしでのリモートコード実行を可能にする。観測された攻撃では、永続的なアクセスを実現する目的で、GLASSTOKENと名付けられたカスタムWebシェルが内部および外部に接するWebサーバーに配置されていた。Ivanti社は2024年1月22日の顧客向けリリースに向けてパッチを用意しており、パッチが利用可能になるまでの間、追加の緩和策を提供している。

ウクライナハッカーBlackJackがロシアのISPを侵害したと主張、キーウスターへの攻撃に報復

ウクライナのハッカーグループBlackJackは、2023年12月にロシアがキーウスターに対して行ったサイバー攻撃への報復として、ロシアのインターネットプロバイダーM9comを侵害したと主張している。M9comへのサイバー攻撃は、ウクライナ保安庁と協力して行われたと伝えられている。

ウクライナ・キーウスターへのハッキング、実行者はSandwormだったとの報道

ウクライナの大手通信会社キーウスターに対する最近のハッキングは、ロシアの国家支援型グループSandwormによるものだったと考えられている。報道によると、Sandwormは遅くとも2023年5月から同社のシステムにアクセスしており、2023年12月12日から数日間、すべてのサービスが停止したとのこと。同ハッカーは、数千台の仮想サーバーやPCを含む「ほとんどすべて」をワイプしたと報告されており、個人情報を盗んだり、電話の位置情報を把握したり、SMSメッセージを傍受したり、おそらくTelegramのアカウントを盗んだりすることができた可能性が高い。これ以前にSolntsepyokがこの攻撃の犯行声明を出しているが、SBUは同グループがSandwormの関連組織であると見ている。

2024年1月11日

脆弱なプロダクト

このテーブルでは、脆弱性に関連して過去1週間の間に普段より多く言及されたプロダクトを示しています。

データ漏洩・不正アクセス

*（）内の数字は影響が及んだ人数です。不明の場合は記述を省略しています。

Diablo Valley Oncology（米国）

同医療機関への攻撃について、Montiランサムウェアが犯行声明を出した。

Estes Express Lines（米国）

2023年9月26日に複数の攻撃者が同社ネットワークに侵入。一部のシステムにアクセスしてデータを抜き取った後、ランサムウェアを展開した。侵害された情報には、氏名、その他の個人識別情報、社会保障番号が含まれる。（21,000）

Electrostim Medical Services（米国）

同医療機器会社のシステムが2023年4月27日〜5月13日にかけて権限のない者にアクセスされ、消費者の機微情報が流出した。侵害されたデータには、氏名、住所、メールアドレスなどが含まれる。

First Choice Dental（米国）

同歯科医院は2023年12月21日、権限のない者が患者の機微情報にアクセスしたことを受けてデータ侵害が発生したことを発表した。

MyEstatePoint Property Search（インド）

オープンなMongoDBデータベースから、氏名、メールアドレス、平文のパスワードなどが流出した。（497,000）

シャーブルック大学（カナダ）

LockBitランサムウェアグループは、ケベック州の同大学から2023年12月に盗まれたとされるデータを公開し始めた。

Midwives of Windsor（カナダ）

同医療機関は、患者の個人情報および妊娠に関する情報などのデータ侵害に見舞われた。露出した情報には、氏名、住所、メールアドレスなどが含まれる。

CompleteCare Health Network（米国）

あるランサムウェア攻撃で、権限のない者が消費者の機微情報にアクセスした。侵害されたデータには、氏名、社会保障番号、電話番号などが含まれる。

Ultra Intelligence & Communications（米国）

同社から盗まれた30GBのデータをAlphVがリークした。これにはスイス空軍の機微文書と機密文書も含まれると言われている。

ケニア航空

Ransomexxランサムウェアグループは最近、2.2GBのデータを盗んだと主張している。侵害されたデータには、パスポート申請書、事故報告書、死亡記録などが含まれる。

Bit24[.]cash（イラン）

MinIOインスタンスの設定ミスにより、同プラットフォームのKnow Your Customerデータを含むS3バケットがアクセス可能になった。露出したデータには、パスポートやID、クレジットカードに関する情報が含まれていた。（~230,000）

Capital Health（米国）

2023年11月27日に発生したCapital Healthへのサイバー攻撃について、LockBitランサムウェアのオペレーターが犯行声明を出した。同グループは、1,000万件を超えるファイルと7TB以上の医療機密ファイルを盗んだと主張している。

産業鉱物資源省（サウジアラビア）

流出した環境ファイルから、データベースの認証情報、メールの認証情報、データの暗号化キー、MySQLおよびRedisデータベースの認証情報が流出した。これらのデータベースにアクセスされると、政府の機微情報と機密文書、または個人を特定できる情報が漏洩する可能性がある。このファイルは2022年3月に初めて露出したが、その後に保護されている。

System for Pension Administration Raksha／SPARSH（インド）

インド国防関係者の年金手続き自動化に利用される同ポータルがデータリークに見舞われ、ユーザー名、パスワード、URL、年金番号などの機微データが侵害されたと報告されている。このデータのほとんどはケララ州職員に関するもの。同ポータルの認証情報はTelegramでばら撒かれ、ロシアのマーケットプレイスで宣伝されている。

CINQCARE（米国）

権限のない者が消費者の機微情報にアクセスした。漏洩したデータには、同社がGreater Buffalo United Accountable Healthcare Network（GBUAHN）を買収した際に取得した患者情報が含まれる。また、GBUAHNとUrban Family Practice PCとの取引に関するデータも漏洩した。

UKG Inc（米国）

あるファイルが誤って他の顧客と共有された結果、権限のない者が消費者の機微情報にアクセスした。漏洩したデータには、氏名、社会保障番号、住所、金融口座情報などが含まれる。

全米自動車ディーラー協会（米国）

脅威アクターIntelBrokerは、同協会から盗まれたとされるデータをBreachforums上で宣伝している。漏洩したとされる顧客データには、電話番号、支払明細書、メールアドレス、カードが含まれる。

不明（ブラジル）

あるクラウドサーバー上で公開状態となっていたElasticSearchインスタンスに2億2,300万件以上のレコードがあり、これによって氏名、生年月日、性別、Cadastro de　Pessoas Físicas（個人の納税者番号）が流出した。情報漏洩の規模の大きさから、すべてのブラジル国民が影響を受けたと思われる。

ハスウェイ・ケーブル・アンド・データコム（インド）

ハッカーのDawnOfDevilは、インドの同インターネットサービスプロバイダーから盗まれたとされる2つのデータベースをBreachForums上に掲載した。侵害されたとされるデータには、氏名、メールアドレス、電話番号などが含まれる。（~4,000,000）

African Bank（南アフリカ）

フォーラムユーザーの「cnHunter」は、同銀行から盗まれたとされる機微データをハッカーフォーラムで販売していることを宣伝した。cnHunterは、保証人リストに関する情報の閲覧、追加、編集、削除など、銀行のデータベースのさまざまな項目にアクセスしたと主張している。

テームサイド議会（英国）

2023年12月に行われた情報公開請求（FOI）により、職員の個人情報が流出した。漏洩したデータには、氏名、住所、国民保険番号などが含まれる。（6,345）

HMG Health（米国）

2023年8月、権限のない者がサーバーにアクセスし、機微データを盗んだ。漏洩したデータには、職員や居住者の氏名、生年月日、連絡先などが含まれる可能性がある。

Van Buren Public Schools（米国）

Akiraランサムウェアグループが、生徒や保護者の情報、人事関連の詳細、口座や財務データなどを入手したと主張している。

Inspiring Vacations Ltd（英国）

保護されていないデータベースから、氏名、メールアドレス、旅行代金などのデータが流出した。（~13,684）

Infiniti Mall（インド）

正体不明の脅威アクターが、インドの同ショッピングモールチェーンから抜き取った28万行のデータをリークしたと主張している。

Cherrinet ISP（インド）

公開状態となっているKibanaダッシュボードには、35億件のエントリと1.8TBのデータが含まれていた。漏洩したデータには、顧客名、メールアドレス、電話番号、自宅住所などが含まれる。このダッシュボードは2021年6月8日の時点で公開されたままになっていたが、その後閉鎖されている。（~35,000）

Indigo Sky Casino（米国）

正体不明のサードパーティが同カジノのシステムから書類をいくつか入手した。このカジノは2023年12月1日にネットワーク上で不審な動きを初めて確認していた。侵害されたデータは従業員と顧客に影響し、氏名、運転免許証番号、社会保障番号、医療情報が含まれる。

重要インフラに関連して言及された脅威アクター

このチャートは、ネット上の情報源からなるキュレートリストにおいて過去1週間にトレンドとなった、重要インフラ関連の脅威アクターを示しています。

航空

レバノンのベイルートにある空港がサイバー攻撃の標的にされ、フライト情報表示システムが侵害されたとの報道があった。この攻撃は手荷物検査システムも停止させ、空港職員はやむなく警察犬を利用して手荷物検査を実施した。ハッカーは空港のスクリーンに、ヒズボラとイランがこの国を戦争に巻き込んでいる旨、武器密輸が空港の爆破につながるであろう旨を主張するメッセージを残した。現在までのところ、この攻撃の犯行声明を出しているグループはない。

暗号資産

CLINKSINKと名付けられた新しいドレイナー・アズ・ア・サービスを、Mandiantの研究者が特定した。このマルウェアは、2023年12月以降、暗号資産Solanaを盗むために複数の脅威アクターによって実施されているいくつかのキャンペーンで使用されている。脅威アクターらはソーシャルメディアやチャットアプリケーションを使用してフィッシングページを配布するが、こうしたページでユーザーは、トークンのエアドロップを請求するために暗号ウォレットを紐付けるよう促される。

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。

翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス（情報）収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Digest(05 – 11 January 2024)

Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界