2月21日: サイバーセキュリティ関連ニュース
WordPressテーマ「Bricks」の悪用が進行中:深刻な脆弱性で2万5千超のサイトに影響(CVE-2024-25600)
The Hacker News – Tue 20 Feb 2024
WordPressのテーマ「Bricks」に存在するセキュリティ上の重大な脆弱性が、脅威アクターによって盛んに悪用されている。
この欠陥はCVE-2024-25600(CVSSスコア:9.8)として追跡されており、認証されていない攻撃者がリモートでコードを実行できるようになるもの。Bricks 1.9.6まですべてのバージョンに影響を与える。WordPressセキュリティプロバイダーのSniccoが2月10日に報告し、そのわずか3日後にリリースされたバージョン1.9.6.1でテーマ開発者によって修正された。
PoCエクスプロイトは公開されていない(※)が、SnicoがPatchstackとともに技術的詳細をリリース済みであり、脆弱なコードがprepare_query_vars_from?setings()関数に存在することが明かされている。悪用の試みはパッチ公開翌日の14日に始まったと言われており、WordPressセキュリティ会社のWordfenceは19日の時点で、この欠陥を悪用した攻撃事例を30件以上検出したと発表した。
【※Update】その後、GitHub上にPoCがリリースされている:Chocapikk/CVE-2024-25600
ConnectWise、リモートアクセスツール「ScreenConnect」の重大な欠陥を修正:CVE-2024-1709、CVE-2024-1708
Security Affairs – February 20, 2024
ConnectWise社が、リモートアクセスツール「ScreenConnect」の重大な脆弱性2件に対処。アドバイザリを公開し、早急にパッチを適用するよう顧客に呼びかけている。
これらの欠陥は認証バイパスの脆弱性CVE-2024-1709 (CVSS 10)とパストラバーサルの脆弱性CVE-2024-1708(CVSS 8.4)で、ScreenConnect 23.9.7以前のバージョンに影響を及ぼす。
実際の攻撃でこれらが悪用された事例は確認されていないが、悪用のリスクが高いことから、オンプレミスで利用しているユーザーは数日以内にアップデートを適用するよう推奨されている(※)。なお、クラウドにおいては「screenconnect.com」または「hostedrmm.com」でホストされているScreenConnectサーバーが新バージョンに更新されたので、特に対応は不要とのこと。
【※Update】ConnectWiseはその後アドバイザリを更新し、侵害されたアカウントが存在していることと、攻撃での悪用が確認されたことを報告。攻撃者が用いたとされる以下3件のIPアドレスを共有した:
- 155.133.5.15
- 155.133.5.14
- 118.69.65.60
関連記事:ScreenConnectの脆弱性をBlack BastaとBl00dyランサムウェアが悪用(CVE-2024-1709、CVE-2024-1708)
VMWare、非推奨かつ脆弱なプラグインを削除するよう管理者に呼びかけ(CVE-2024-22245、CVE-2024-22250)
BleepingComputer – February 20, 2024
VMWareは20日、サポート停止予定のVMware拡張認証プラグイン(EAP)を削除するよう管理者に呼びかけた。というのも、2つの脆弱性(CVE-2024-22245とCVE-2024-22250)により、Windowsドメイン環境でKerberos認証のリレー攻撃や、セッションハイジャック攻撃が行われる可能性があるからだという。これらの脆弱性は20日に修正された。
同社はこのプラグインに代わるものとして、Active Directory over LDAPS、Microsoft Active Directory Federation Services(ADFS)、Okta、Microsoft Entra ID(旧Azure AD)など、VMware vSphere 8の他の認証方法を使うよう管理者に推奨している。
なお、現時点でこれらの脆弱性が実際の攻撃で標的にされたり、悪用されたりしたという証拠はないとのこと。
Redditが6千万ドルの契約を締結との報道 AIモデルのトレーニングにユーザーの会話データを提供か
The Register – Tue 20 Feb 2024
RedditがあるAI企業と6,000万ドルの契約を結び、AIモデルのトレーニング用にユーザーの会話データを提供することで合意したと報じられている。
この契約は、Redditが新規株式公開(IPO)を計画しているタイミングで合意に至ったとされる。報道によると、同社は今年初めに今回の契約について投資家へ説明しており、将来的にこういったモデルトレーニング用のコンテンツ共有契約を継続して締結する可能性を示唆していた。ただし、Bloombergは「事情に詳しい関係者」の話として、IPOとこの契約の詳細については変更される可能性があり、株式上場も早くて3月になるとの見通しを示している。
過去にもRedditの投稿や投稿内のリンクがOpenAIのGPT−2といったニューラルネットワークのトレーニングに使われたことはよく知られている。同社サイトのユーザーはさまざまな反応を示しており、「要求額があまりにも低すぎる」という意見のほか、RedditがAPIへのアクセスを有料化した方針に絡めて、同社はユーザーデータをAIから守りたかったわけではなく「無償で」AIに使われることを防ぎたかっただけなのだと皮肉るものもあった。