8月27日:サイバーセキュリティ関連ニュース
Versa Directorのゼロデイ悪用は中国のAPT Volt Typhoonによるもの、研究者が指摘:CVE-2024-39717
SecurityWeek – August 26, 2024
Versa Directorにおけるゼロデイ脆弱性CVE-2024-39717の悪用に、中国のAPTグループVolt Typhoonが関与していると研究者が指摘。この脆弱性は、週末にCISAのKEVカタログ(悪用が確認済みの脆弱性カタログ)へ追加されたばかりで、Versa Networks社自身も悪用が行われていることを認めていた。
Versa Directorはネットワーク管理製品で、SD-WANソフトウェアを使用するクライアント向けのネットワーク構成管理に使用されている。そのユーザーには多くのISPやMSPが名を連ねることから、脅威アクターたちにとっては重要かつ魅力的なターゲットとなっている。CVE-2024-39717は「危険なファイルタイプアップロードの脆弱性」と説明されており、特定の管理者権限を持つユーザーに悪用されると有害なファイルのアップロードが可能になるというもの。Versa Networks社はアドバイザリの中で、「この脆弱性は少なくとも1件の既知のインスタンスにおいてAPTアクターに悪用されている」と述べている。
これに関してSecurityWeekの情報筋が伝えたところによると、Lumen Technologies社の調査チームBlack Lotus Labsが、22.1.4より前のバージョンのVersa Directorに対する悪用行為を観測したという。同チームは、同脆弱性に関連する独自にカスタマイズされたWebシェルが認証情報の傍受・収集目的で使われているのを発見。これらの認証情報は、Versa Directorを利用するISPやMSP等の下流顧客のネットワークへ認証済みユーザーとしてアクセスするためのものだという。
Black Lotus Labsは観測された戦術や技術を踏まえ、この悪用がVolt Typhoonによるものだと判断。CVE-2024-39717の悪用を試みているのは現時点で同アクターのみであり、今も未パッチのシステムを狙った攻撃が続いている可能性は高いとの考えを示した。同チームは今週にも、技術的な詳細やIoC、テレメトリデータなどを記したレポートを公開する見込みとのこと(※)。
(※Update)27日に公開されたレポートはこちら:Taking the Crossroads: The Versa Director Zero-Day Exploitation
Google、Chromeにおける今年10件目の悪用されたゼロデイについて報告:CVE-2024-7965
BleepingComputer – August 26, 2024
Googleは26日、ゼロデイ脆弱性CVE-2024-7971に関する先週公開されたブログ記事を更新し、別のゼロデイCVE-2024-7965の悪用についても公表。実際の攻撃の中で悪用されたり、ハッキングコンテスト中に研究者に悪用されたりしたChromeのゼロデイ脆弱性としては今年10件目となる。
CVE-2024-7965はGoogle ChromeのJavaScriptエンジンV8における不適切な実装の脆弱性と説明される深刻度の高い脆弱性。これにより、リモートの攻撃者は細工されたHTMLページを使ってヒープ破損を悪用できるようになるとされる。Googleによると、先週のブログ記事公開後に同脆弱性の悪用が報告されたため、記事を更新するに至ったという。ただ、CVE-2024-7971とCVE-2024-7965のいずれについても攻撃の詳細については明かされていない。
両脆弱性は、バージョン128.0.6613.84/.85(Windows/macOS)およびバージョン128.0.6613.84(Linux)で修正されている。