4月6~8日:サイバーセキュリティ関連ニュース
9万2千台超のD-Link製NASデバイスにバックドアの脆弱性:CVE-2024-3273
BleepingComputer – April 6, 2024
D-Link製NASデバイスのEOLモデル数種に新たなコマンドインジェクションの脆弱性CVE-2024-3273が存在することを、研究者Netsecfish氏が明らかに。同氏がネットワークスキャンを実施したところ、この脆弱性を用いた攻撃に晒される可能性のあるデバイスは92,000台以上観測されたという。
同脆弱性は、ハードコードされたアカウントにより実現されるバックドアの問題と、「system」パラメーターを介したコマンドインジェクションの問題によるもの。双方を連鎖させて悪用した攻撃者は、リモートでコマンドを実行できるようになり、ひいては機微な情報への不正アクセスやシステム構成の修正、あるいはDoS状態に繋がる恐れがあるとされる。
CVE-2024-3273の影響を受けるデバイスモデルは以下の通り。いずれもEOL(エンド・オブ・ライフ)を迎えてサポートが終了しているため、パッチがリリースされる予定はない。利用者に対してはデバイスの利用を終了するか、新たなものに交換することが推奨されている。
- DNS-320L バージョン 1.11、バージョン 1.03.0904.2013、バージョン 1.01.0702.2013
- DNS-325 バージョン 1.01
- DNS-327L バージョン 1.09、バージョン 1.00.0409.2013
- DNS-340L バージョン 1.08
1万6千超のIvanti製VPNゲートウェイがRCEに脆弱:CVE-2024-21894
Security Affairs – April 06, 2024
RCEを可能にし得る脆弱性CVE-2024-21894に対し、約16,500台のIvanti Connect SecureおよびPolicy Secureゲートウェイが脆弱であるとShadowserverが警告。CVE-2024-21894は4月2日にその他3件の脆弱性とともに開示・パッチリリースされたIPSecコンポーネントにおけるヒープオーバーフローの脆弱性で、認証されていない攻撃者によるDoS攻撃を可能にするほか、特定条件下ではリモートコードの実行に繋がる恐れがある。
脅威モニタリングサービスのShadowserverは金曜夜(5日)、スキャンの結果CVE-2024-21894に対して脆弱なインスタンスが全世界でおよそ「165,000」観測されたことを報告。国別に見ると最も多いのは米国で、日本と英国がこれに続いていた。
- 米国:4日時点で「4,686」、提供されている最新データ(6日時点)では「3,572」
- 日本:4日時点で「2,009」、6日時点で「1,639」
- 英国:4日時点で「1,032」、6日時点で「847」
We are now scanning/reporting Ivanti Connect Secure instances vulnerable to CVE-2024-21894 (heap overflow potentially leading to RCE) & others described in https://t.co/wu0PSvISg4
~16 500 likely vulnerable (~4.6K in US): https://t.co/456gKzGMsn
Data in: https://t.co/qxv0Gv5ELc pic.twitter.com/cK0dbr4Nkb
— Shadowserver (@Shadowserver) April 5, 2024