Ivanti Endpoint Managerの重大な脆弱性が悪用される、PoCも公開済み：CVE-2024-29824

佐々山 Tacos

2024.10.03

10月3日：サイバーセキュリティ関連ニュース

Ivanti Endpoint Managerの重大な脆弱性が悪用される、PoCも公開済み：CVE-2024-29824

Securityonline[.]info – October 2, 2024

Ivanti Endpoint Manager（EPM）の重大な脆弱性CVE-2024-29824が攻撃で悪用されていると、米CISAが警告。KEVカタログ（悪用が確認済みの脆弱性カタログ）にこの脆弱性を追加し、連邦政府機関に10月23日までの対応を命じている。

CVE-2024-29824（CVSSスコア 9.6）は、今年5月に修正された脆弱性で、Ivanti EPM 2022 SU5のコアサーバーにおけるSQLインジェクション。同一ネットワーク上の認証されていない攻撃者に悪用されると任意コードの実行が可能になるもので、場合によってはシステムが完全に乗っ取られる恐れがあるとされる。修正の翌月には、Horizon3が同脆弱性の技術的詳細に関するブログ記事とPoCエクスプロイトをリリースしていた。

CISAは10月2日に同脆弱性をKEVカタログに追加。Ivantiもその前日、5月に公開したアドバイザリを更新し、同脆弱性が実際の攻撃で悪用されている旨を確認した旨を追記していた。

今回両組織によって悪用が確認されたことに加え、PoCや技術的詳細が公開済みであることも踏まえると、利用者には迅速な対応が求められる。

ハッカーグループFIN7、ディープフェイクヌードを生成できると謳うサイト用いてスティーラー配布を試みる

BleepingComputer – October 2, 2024

悪名高いAPTハッキンググループFIN7が、情報窃取型マルウェアを拡散するために偽のAIディープヌードジェネレーターサイトを複数作成していたという。Silent Push社が、2日に公開したブログ記事の中で詳しく報告した。

ロシアのグループと考えられているFIN7は、2013年から金融詐欺やサイバー犯罪を行ってきたほか、DarkSideやBlackMatter、BlackCatなどランサムウェアグループとも繋がりを持つとされる。実在する組織を装う巧妙なフィッシングやソーシャルエンジニアリング攻撃を度々実施してきたことで知られるが、最近では、画像をアップすればその人物のフェイクヌードをAIで作成できると謳う偽の「ディープヌードジェネレーター」を使ってユーザーを騙そうとしていたという。

Silent Pushによれば、FIN7は「aiNude[.]ai」、「easynude[.]website」、「nude-ai[.]pro」などと命名された複数のサイトを直接運営。ブラックハットSEO技術を使ってこれらのサイトを検索結果の上位に表示させていたという。サイトの外観はいずれも似たようなデザインで、どのような画像からでもAIヌード画像を生成できる旨が宣伝され、「無料トライアル」「無料ダウンロード」などのオファーが提示されていた。

これらの偽サイトの仕組みは、以下の通り。まずディープフェイクヌードを作成したい画像をユーザーがサイトにアップロードすると、作成された「ディープヌード」画像とされるものをダウンロードするためのリンクが表示される。これをクリックすると、ユーザーは別のサイトへ遷移。ここでまた、パスワードで保護されたアーカイブファイルへアクセスするためのパスワードとリンクが表示されるが、このファイルには情報接種型マルウェアのLumma Stealerが含まれているのだという。そしてLummaが実行されると、認証情報やWebブラウザ内に保存されたクッキー、暗号資産ウォレット情報、およびその他のデータがコンピューターから盗まれることになる。

Silent PushはLummaを広めるサイト以外にも、別のマルウェアである「Redline Stealer」や「D3F@ck Loader」の感染に繋がる偽ディープヌード生成サイトをいくつか観測している。同社が検出した7つの偽サイトはその後テイクダウンされているものの、こうしたサイトからファイルをダウンロードした覚えのあるユーザーは、すでにスティーラーに感染していると考えてほぼ間違いないとのこと。