4月18日:サイバーセキュリティ関連ニュース
シスコ、rootへの権限昇格に繋がり得る脆弱性について開示 エクスプロイトコードも既に出回る:CVE-2024-20295
BleepingComputer – April 17, 2024
シスコは17日、Cisco Integrated Management Controller(IMC)における深刻度の高い脆弱性CVE-2024-20295に対するパッチをリリース。アドバイザリの中で、エクスプロイトコードがすでに出回っていることも伝えた。
CVE-2024-20295はCisco IMCのCLIにおけるコマンドインジェクションの脆弱性。認証されたローカルの攻撃者がこの悪用に成功すると、基盤のOSに対するコマンドインジェクション攻撃や、rootへの権限昇格が可能になる恐れがあるという。悪用するには標的デバイスでの読み取り権限またはそれ以上の権限が必須であるものの、CVSSにおける「攻撃条件の複雑さ(AC)」は「低」と評価されており、基本スコアは8.8 /10.0。
この脆弱性により、デフォルトのコンフィグレーションで脆弱なバージョンのCisco IMCを用いる以下のデバイスが影響を受ける。また、脆弱なCisco IMCのCLIへのアクセスを提供する設定のその他製品に関しても影響を受けるものが多々あり、シスコのアドバイザリで一覧を確認可能。
- Cisco 5000 シリーズ エンタープライズ ネットワーク コンピューティング システム
- Catalyst 8300 Series Edge uCPE
- スタンドアロンモードのCisco UCS C シリーズ サーバ
- Cisco UCS E シリーズサーバ
シスコはこの脆弱性が実際の攻撃で悪用された事例は認識していないと述べているが、PoCエクスプロイトコードはすでに公開されている。また同社製品の脆弱性(CVE-2023-20198 、CVE-2023-20273など)はこれまでに度々攻撃者に狙われてきたことも踏まえると、対象製品の利用者には確実にアップデートを適用することが推奨される。
「荒削りな」ランサムウェアツールがダークウェブ上で安価に出回る 研究者が発見
下層のサイバー犯罪フォーラムなどでは最近、安価で品質的にも荒削りなランサムウェアが次々と出回るようになっているという。この新たな現象がサイバー犯罪エコシステムやセキュリティ業界、はたまた小規模企業や個人ユーザーなどに及ぼし得る影響などについて、Sophosの研究者らが解説している。
研究者らは2023年6月から2024年2月にかけて、4つのフォーラムで19種類のランサムウェアが販売、または宣伝されていることを確認した。これらのランサムウェアはRaaSモデルにありがちな「サブスク型」ではなく「1回払い切り型」の使用料で安価に出回っており、経験未熟な独自に活動している者が、RaaSの運営陣などとのやり取りを行うことなくサイバー犯罪の世界に参入することを可能にするという。
これらのツールの実際の攻撃における有効性はわかっていない。なお、ツールの平均価格の中央値は375ドルであったとのこと。
研究者らはこういったツールを、低品質ながらも犯罪者にとって参入障壁が低く、追跡される可能性も低いという利点を持つものとして、1960年代から1970年代にかけて米国に大量に存在した安価な輸入拳銃「ジャンクガン」になぞらえた。研究者らはまた、購入者は詐欺に遭うなどのリスクがあるが、今後のキャリアアップの機会、つまり、将来的に有名なランサムウェアグループに雇われてさらに金銭を得られる機会があるかもしれないことを理由にツールを購入する可能性が高いとも述べている。
こういったツールを用いた攻撃の標的は、小規模な企業や個人となる可能性が高いという。このため攻撃の大半は検出されないか、公に報告されないまま終わることが見込まれる。これにより、セキュリティ業界の目が行き届かない「インテリジェンスのギャップ」が生まれるという点も、防御における課題として指摘されている。