5月15日:サイバーセキュリティ関連ニュース
D-Link EXO AX4800ルータのRCEゼロデイに対するPoCエクスプロイトが公開される
BleepingComputer – May 14, 2024
SSD Secure Disclosure(SSD)が、D-Link EXO AX4800(DIR-X4860)ルータに存在する脆弱性を発見し、PoCエクスプロイトを公開した。
この欠陥は認証不要のリモートコード実行の脆弱性で、HNAPポートにアクセスできる攻撃者がこの脆弱性の悪用に成功すると、特権昇格してroot権限でコマンドを実行し、デバイスを完全に乗っ取る可能性がある。
影響を受けるのは、最新のファームウェア「DIRX4860A1_FWV1.04B03」を使用しているデバイス。
SSDによると、同社はこの1か月で3回D-Linkに連絡し、今回の調査結果を共有しようと試みているが、実現には至っておらず、現在もこの欠陥は修正されていないままだという。
D-Linkによるアップデートが行われるまで、DIR-X4860ルータのユーザーは悪用被害を防止するために、デバイスのリモートアクセス管理インターフェースを無効にする必要があるとのこと。
法執行機関がテロ捜査でProton Mailのユーザーデータにアクセス プライバシーめぐり疑念も
Vilawebによると、スペイン警察と治安警備隊は組織犯罪およびテロ行為への関与が疑われる容疑者を特定するため、暗号化サービスプロバイダーのProton MailとWireに加え、Appleにもユーザーの個人情報を提供するよう法的に要請した。この件をめぐり、プライバシーを保証するはずのエンドツーエンド暗号化サービスの限界に対し、ユーザーの間で疑念が生じている。
スペイン警察が探していたのは、国王のカタルーニャ州訪問に合わせた2020年のデモ計画を支援したとされる人物。当局はスイスに拠点を置くProton MailとWireに法的圧力をかけて個人情報を入手し、同州独立運動団体の偽名メンバーのアカウントに関連づけられた回復用メールアドレスを突き止めたとみられる。一方、Appleからはフルネーム、2つの自宅住所、Apple IDにリンクされたGmailアカウントが提供されたという。
Proton Mailはプライバシー保護を重視する姿勢を明確に打ち出しているが、2021年にもフランスとスイスの法執行機関にユーザーのIPアドレスとデバイスの詳細を提供したことがある。しかし、同社はスイスのテロ対策法には「従う義務がある」と述べ、法律に基づく命令を受けた場合は最小限のユーザーデータを供与せざるを得ず、これは法的枠組みを遵守する上でも妥協が必要なことだと主張した。いずれにせよ、今回のスペイン警察のケースにより、ユーザーのプライバシー保護と、国家安全保障上の懸念事項への対処との間で適切なバランスを探る必要性が浮き彫りになっている。