IvantiのSSRFゼロデイ、大量悪用が進行: CVE-2024-21893 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > IvantiのSSRFゼロデイ、大量悪用が進行: CVE-2024-21893

Threat Report

Silobreaker-CyberAlert

IvantiのSSRFゼロデイ、大量悪用が進行: CVE-2024-21893

山口 Tacos

山口 Tacos

2024.02.06

Ivanti製品におけるSSRFのゼロデイ脆弱性、大量悪用が進行: CVE-2024-21893

(情報源:BleepingComputer

Ivanti Connect SecureおよびIvanti Policy Secureにおけるゼロデイ脆弱性CVE-2024-21893が現在、複数の攻撃者による大量悪用の試みに晒されているとの報道。この脆弱性は1月31日に開示・パッチリリースされたサーバーサイドリクエストフォージェリ(SSRF)の脆弱性で、その時点ですでに少数の顧客が悪用の影響を受けていることが明かされていた。

関連記事

Threat Report

Threat Report

Silobreaker-CyberAlert

Ivantiが新たなゼロデイについて警告 既に攻撃での悪用あり:CVE-2024-21893

山口 Tacos

山口 Tacos

2024.02.06

SSRFの脆弱性CVE-2024-21893

大量悪用の試みが進行中なのは、SAMLコンポーネントにおけるサーバーサイドリクエストフォージェリの脆弱性CVE-2024-21893で、影響を受けるバージョンは9.xおよび22.x。攻撃者がこれを悪用すると、認証のバイパスや、アクセスの制限されたリソースへのアクセスが可能になる恐れがあるとされる。Ivantiは1月31日に別の特権昇格の脆弱性CVE-2024-21888とともに同脆弱性を開示し、パッチをリリース済み(一部バージョンについては今後リリース予定)。なお、CVE-2024-21888に関しては悪用の報告はない模様。

2月2日以降、悪用の試みが急増

脅威モニタリングサービスのShadowserverは4日夜、その時点までに170を超えるIPアドレスがCVE-2024-21893の悪用を試みていたことをX(旧Twitter)で報告。2月2日にセキュリティ企業Rapid7が同脆弱性の分析記事とPoCを公開したが、その数時間前までは「/dana-na/auth/saml-logout.cgi」を用いた悪用が観測されていたものの、PoC公開後は同記事の中で言及されたエンドポイント「/dana-ws/saml20.ws」を狙う試みが多数見られたという。これを踏まえると、ハッカーらはRapid7のPoCがリリースされる前から、同脆弱性の活用方法を既に編み出していたということになる。

Shadowserverが提供するデータによれば、2月1日まではCVE-2024-21893よりもCVE-2024-21887とCVE-2023-46805を悪用する試みの方が多い。しかし2日以降、徐々にCVE-2024-21893の悪用件数が増えて3日には逆転していることから、攻撃者たちがシフトチェンジを行った様子が見受けられる。なおShadowserverのデータを「Japan(JP)」でフィルタリングすると、3日にはCVE-2024-21893の悪用の試みが「1」で、4日に「7」となっているのが確認できる。また4日には、CVE-2023-35078を悪用する試みも「5」件あったとされている。

関連記事

Threat Report

Threat Report

Silobreaker-CyberAlert

Ivanti Connect Secureに重大なゼロデイ2件:CVE-2023-46805、CVE-2024-21887

山口 Tacos

山口 Tacos

2024.02.06

2月6日: その他のサイバーセキュリティ関連ニュース

QNAP、QTSおよびQsync Centralにおける深刻度の高いバグ数件を修正(CVE-2023-45025、CVE-2023-39297他)

SecurityWeek – February 5, 2024

QNAP Systems(以下、QNAP)は深刻度の高い脆弱性を含む、同社製品の複数の脆弱性に対するパッチをリリースした。

修正された脆弱性で深刻度の高いものは以下の通り。

  • QTS、QuTS hero、QuTScloudに影響するもの
    • CVE-2023-45025(OSコマンドインジェクションの脆弱性)
    • CVE-2023-39297(OSコマンドインジェクションの脆弱性)
    • CVE-2023-47567(OSコマンドインジェクションの脆弱性)
    • CVE-2023-47568(SQLインジェクションの脆弱性)
  • Qsync Centralに影響するもの
    • CVE-2023-47564(重要なリソースに対する不適切なパーミッションの割り当ての脆弱性)

他にもコード実行や、DoS攻撃、コマンド実行、制限のバイパス、機微データの漏洩、コードインジェクションにつながる可能性のある、深刻度が中程度の脆弱性も複数修正された。修正された脆弱性に関するさらなる情報は、同社のセキュリティアドバイザリで確認することができる。

またQNAPは、これらの脆弱性が攻撃に悪用されたかどうかについては言及していない。

ディープフェイクのビデオ会議に騙された従業員が2,500万ドルを送金

Help Net Security – February 5, 2024

サウス・チャイナ・モーニング・ポスト紙(香港)の報道によると、ディープフェイクのビデオ会議とソーシャルエンジニアリング戦術を組み合わせた手口により、英国に拠点を置くある多国籍企業が2,500万米ドル以上を騙し取られたという。

どのような手口かというと、まず複数の従業員に最高財務責任者(CFO)名義で秘密裏の取引を依頼する偽メッセージを送信。その後グループビデオ会議に招待し、その場に同CFOや他のスタッフなどが出席しているように見せかけて本物と信じ込ませるものだ。こうした会議出席者たちは過去の動画や音声をディープフェイク技術で繋ぎ合わせることによって作成されており、動きもすれば話しもするため、被害者は彼らが本人かのような錯覚を抱かされる。

この会議では自己紹介を求められるものの、特別なやり取りがないまま指示を出されて突然終了。その後にインスタントメッセージやEメール、1対1のビデオ動画などで改めて連絡が入り、複数の銀行口座への送金を指示される。

最終的に騙されたのは香港支社の財務部門に勤務する1人だけだったが、当初は怪しいと感じたにもかかわらず、「話す」ディープフェイクを見破ることができなかった。ディープフェイクは日々巧妙化しており、本物と見分けることがより困難になりつつある。

関連記事

Threat Report

Threat Report

Silobreaker-CyberAlert

ディープフェイク技術とは?脅威アクターはこの技術をどのように使っているのか?

山口 Tacos

山口 Tacos

2024.02.06

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ