BatBadBut:複数言語に影響与えるコマンドインジェクションの脆弱性(CVE-2024-1874他) | Codebook|Security News
Codebook|Security News > Articles > Threat Report > BatBadBut:複数言語に影響与えるコマンドインジェクションの脆弱性(CVE-2024-1874他)

Threat Report

Silobreaker-CyberAlert

BatBadBut:複数言語に影響与えるコマンドインジェクションの脆弱性(CVE-2024-1874他)

Yoshida

Yoshida

2024.04.15

4月12~14日:サイバーセキュリティ関連ニュース

「BatBadBut」コマンドインジェクションの脆弱性、複数のプログラミング言語に影響(CVE-2024-1874、CVE-2024-22423他)

SecurityWeek – April 12, 2024

複数のプログラミング言語に、重大な脆弱性「BatBadBut」が存在しているという。Flatt Securityのバグハンターが警告した。

この脆弱性は、Windows OSがバッチファイルを実行する際に「CreateProcess」関数で「cmd exe」プロセスを起動すると、コマンド引数の解析ルールが複雑なためにプログラミング言語がコマンド引数を適切にエスケープできなくなるというもの。これを悪用することで、攻撃者はWindowsアプリケーションにコマンドを注入できるようになる恐れがある。

カーネギーメロン大学のCERT/CCは勧告の中で、アプリケーションのランタイム環境でこの脆弱性に対するパッチが提供されておらず、ユーザーが入力した引数を持つバッチファイルを実行したい場合は、悪意のあるコマンドの実行を防ぐためにデータのエスケープと無効化を実行しなければならないと述べた。

同CERTはまた、この脆弱性に割り当てられた4つのCVE識別番号(CVE-2024-1874、CVE-2024-22423、CVE-2024-24576、CVE-2024-3566)についても共有している。

4/12までにHaskellやRust、Node.js、PHP、およびyt-dlpが影響を受けることが確認されており、Haskell、Rust、PHP、yt-dlpに関してはパッチがリリース済みである。

LastPass従業員がディープフェイク詐欺のターゲットに

Security Affairs – April 12, 2024

パスワード管理会社LastPassの従業員を狙い、ディープフェイク技術を使って同社CEOになりすます詐欺スキームが確認されている。

LastPassの報告によると、この攻撃は先週発生し、ある従業員のもとへ営業時間外にWhatsApp経由でCEOになりすました脅威アクターから複数の着信があり、テキストメッセージが届いたほか、ディープフェイク音声を用いたボイスメールが少なくとも1本届いたという。しかし、通常の業務連絡で使う経路とは異なっていたことや、早急な対応を強要するなどソーシャルエンジニアリングの手口と共通点が多いことに疑念を抱いたため、この従業員はこれを無視して社内セキュリティチームに報告した。

同社はこのインシデントの影響や被害がなかったことを発表するとともに、こうした詐欺スキームへの意識を高めるために情報を共有した。ディープフェイクは生成AIを使って作成されるもので、攻撃者はこの技術を用いて音声や動画を合成し、ターゲットの興味あるコンテンツを捏造。最近ではその品質が向上し、簡単に作成・利用できるツールも数多く存在するため、政府部門と民間部門の両方に懸念をもたらしている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ