-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
Ivanti製品におけるSSRFのゼロデイ脆弱性、大量悪用が進行: CVE-2024-21893
(情報源:BleepingComputer)
Ivanti Connect SecureおよびIvanti Policy Secureにおけるゼロデイ脆弱性CVE-2024-21893が現在、複数の攻撃者による大量悪用の試みに晒されているとの報道。この脆弱性は1月31日に開示・パッチリリースされたサーバーサイドリクエストフォージェリ(SSRF)の脆弱性で、その時点ですでに少数の顧客が悪用の影響を受けていることが明かされていた。
SSRFの脆弱性CVE-2024-21893
大量悪用の試みが進行中なのは、SAMLコンポーネントにおけるサーバーサイドリクエストフォージェリの脆弱性CVE-2024-21893で、影響を受けるバージョンは9.xおよび22.x。攻撃者がこれを悪用すると、認証のバイパスや、アクセスの制限されたリソースへのアクセスが可能になる恐れがあるとされる。Ivantiは1月31日に別の特権昇格の脆弱性CVE-2024-21888とともに同脆弱性を開示し、パッチをリリース済み(一部バージョンについては今後リリース予定)。なお、CVE-2024-21888に関しては悪用の報告はない模様。
2月2日以降、悪用の試みが急増
脅威モニタリングサービスのShadowserverは4日夜、その時点までに170を超えるIPアドレスがCVE-2024-21893の悪用を試みていたことをX(旧Twitter)で報告。2月2日にセキュリティ企業Rapid7が同脆弱性の分析記事とPoCを公開したが、その数時間前までは「/dana-na/auth/saml-logout.cgi」を用いた悪用が観測されていたものの、PoC公開後は同記事の中で言及されたエンドポイント「/dana-ws/saml20.ws」を狙う試みが多数見られたという。これを踏まえると、ハッカーらはRapid7のPoCがリリースされる前から、同脆弱性の活用方法を既に編み出していたということになる。
We observed CVE-2024-21893 exploitation using '/dana-na/auth/saml-logout.cgi' on Feb 2nd hours before @Rapid7 posting & unsurprisingly lots to '/dana-ws/saml20.ws' after publication. This includes reverse shell attempts & other checks. To date, over 170 attacking IPs involved https://t.co/yUy4y2xCCz
— Shadowserver (@Shadowserver) February 4, 2024
Shadowserverが提供するデータによれば、2月1日まではCVE-2024-21893よりもCVE-2024-21887とCVE-2023-46805を悪用する試みの方が多い。しかし2日以降、徐々にCVE-2024-21893の悪用件数が増えて3日には逆転していることから、攻撃者たちがシフトチェンジを行った様子が見受けられる。なおShadowserverのデータを「Japan(JP)」でフィルタリングすると、3日にはCVE-2024-21893の悪用の試みが「1」で、4日に「7」となっているのが確認できる。また4日には、CVE-2023-35078を悪用する試みも「5」件あったとされている。
2月6日: その他のサイバーセキュリティ関連ニュース
QNAP、QTSおよびQsync Centralにおける深刻度の高いバグ数件を修正(CVE-2023-45025、CVE-2023-39297他)
SecurityWeek – February 5, 2024
QNAP Systems(以下、QNAP)は深刻度の高い脆弱性を含む、同社製品の複数の脆弱性に対するパッチをリリースした。
修正された脆弱性で深刻度の高いものは以下の通り。
- QTS、QuTS hero、QuTScloudに影響するもの
- CVE-2023-45025(OSコマンドインジェクションの脆弱性)
- CVE-2023-39297(OSコマンドインジェクションの脆弱性)
- CVE-2023-47567(OSコマンドインジェクションの脆弱性)
- CVE-2023-47568(SQLインジェクションの脆弱性)
- Qsync Centralに影響するもの
- CVE-2023-47564(重要なリソースに対する不適切なパーミッションの割り当ての脆弱性)
他にもコード実行や、DoS攻撃、コマンド実行、制限のバイパス、機微データの漏洩、コードインジェクションにつながる可能性のある、深刻度が中程度の脆弱性も複数修正された。修正された脆弱性に関するさらなる情報は、同社のセキュリティアドバイザリで確認することができる。
またQNAPは、これらの脆弱性が攻撃に悪用されたかどうかについては言及していない。
ディープフェイクのビデオ会議に騙された従業員が2,500万ドルを送金
Help Net Security – February 5, 2024
サウス・チャイナ・モーニング・ポスト紙(香港)の報道によると、ディープフェイクのビデオ会議とソーシャルエンジニアリング戦術を組み合わせた手口により、ある多国籍企業が2,500万米ドル以上を騙し取られたという。
どのような手口かというと、まず複数の従業員に最高財務責任者(CFO)名義で秘密裏の取引を依頼する偽メッセージを送信。その後グループビデオ会議に招待し、その場に同CFOや他のスタッフなどが出席しているように見せかけて本物と信じ込ませるものだ。こうした会議出席者たちは過去の動画や音声をディープフェイク技術で繋ぎ合わせることによって作成されており、動きもすれば話しもするため、被害者は彼らが本人かのような錯覚を抱かされる。
この会議では自己紹介を求められるものの、特別なやり取りがないまま指示を出されて突然終了。その後にインスタントメッセージやEメール、1対1のビデオ動画などで改めて連絡が入り、複数の銀行口座への送金を指示される。
最終的に騙されたのは香港支社の財務部門に勤務する1人だけだったが、当初は怪しいと感じたにもかかわらず、「話す」ディープフェイクを見破ることができなかった。ディープフェイクは日々巧妙化しており、本物と見分けることがより困難になりつつある。
