7月2日:サイバーセキュリティ関連ニュース
シスコが警告 NX-OSゼロデイ悪用でカスタムマルウェアが展開される(CVE-2024-20399)
BleepingComputer – July 1, 2024
シスコがCisco NX-OSにおけるゼロデイを修正。この脆弱性は、4月の攻撃群で悪用されていたものだという。
この欠陥CVE-2024-20399はCLIコマンドインジェクションの脆弱性で、管理者権限を持つローカルの攻撃者が悪用に成功すると、脆弱なデバイスのOS上でroot権限を用いて任意のコマンドを実行する恐れがある。
この欠陥の影響を受けるのは、NX-OSソフトウェアを使用している以下のさまざまなスイッチ。
- Cisco MDS 9000シリーズマルチレイヤスイッチ
- Cisco Nexus 3000シリーズスイッチ
- Cisco Nexus 5500プラットフォーム スイッチ
- Cisco Nexus 5600プラットフォーム スイッチ
- Cisco Nexus 6000シリーズスイッチ
- Cisco Nexus 7000シリーズスイッチ
- スタンドアロンのNX-OSモードを用いるCisco Nexus 9000 シリーズ スイッチ
サイバーセキュリティ企業Sygniaによると、CVE-2024-20399は、中国の国家支援型アクターVelvet Antが今年4月に悪用していたものだという。同グループはCisco Nexusのスイッチにアクセスするために管理者権限の資格情報を収集したのち、これまで知られていなかったカスタムマルウェアを展開。このマルウェアにより侵害されたデバイスとのリモート接続を実現させると、追加のファイルをアップロードして有害なコードを実行したとされている。
シスコは管理ユーザー「network-admin」および「vdc-admin」の資格情報を定期的にチェックし、変更するよう顧客に推奨している。また管理者は、Cisco Software Checkerページを利用して、ネットワーク上のデバイスが同脆弱性を標的とした攻撃のリスクにさらされているかどうかを判定することができる。
TeamViewerが発表:ハッカーは従業員のディレクトリをコピーし、パスワードを暗号化した
ロシアの有名ハッキンググループによって侵害されていたことを認めたTeamViewer。同社は30日に更新された声明の中で、ハッカーが具体的に行ったことについて説明した。なお声明では、このインシデントを引き起こしたのはAPT29とされている。
同社によると、このグループは侵害された従業員アカウントを利用して、名前や企業の連絡先情報など従業員のディレクトリデータをコピーしたほか、社内IT環境に入るための従業員用パスワードを暗号化した模様。
同社はこれを受けて従業員の認証手順を最大レベルまで強化し、さらに堅牢な保護対策を導入した。また、社内IT環境が完全に信頼できる状態になるよう再構築を行っているとも述べている。ディレクトリ内の暗号化されたパスワードに関連して生じうるリスクについては、同社のインシデント対応パートナーであるマイクロソフトの専門家との協力によって緩和されたようだ。
なお、攻撃者が製品環境や顧客データにアクセスしていないことも改めて確認されている。