-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
11月21日:サイバーセキュリティ関連ニュース
Ubuntu Linuxに使用される「needrestart」に10年来の脆弱性 攻撃者にroot権限を与える恐れ(CVE-2024-48990、CVE-2024-48992他)
BleepingComputer – November 20, 2024
Qualysは、Ubuntu Linuxで使用されている「needrestart」ユーティリティに、ローカル特権昇格の脆弱性が5件あることを発見した。これらの脆弱性は2014年4月にリリースされたneedrestartのバージョン0.8によって入り込み、10年以上にわたって残存していたようだ。脆弱なLinuxシステムにローカルアクセスできる攻撃者は、これらの脆弱性を悪用することで、ユーザーの操作なしに特権をrootに昇格させられるようになるという。
以下は、今回Qualysが発見した5件の脆弱性についてまとめたもの。なお、各脆弱性に関する詳細情報は別途テキストファイル形式で入手できる。
- CVE-2024-48990:needrestartは、実行中のプロセスから抽出されたPYTHONPATH環境変数を使用してPythonインタプリタを実行する。ローカルの攻撃者がこの変数を制御した場合、有害な共有ライブラリを仕込むことで、Pythonの初期化中にroot権限で任意のコードを実行できる。
- CVE-2024-48992:needrestartが使用するRubyインタプリタは、攻撃者が制御する RUBYLIB環境変数を処理する際に脆弱であり、ローカルの攻撃者はプロセスに有害なライブラリを注入することで、任意のRubyコードをroot権限で実行できる。
- CVE-2024-48991:needrestartでは競合状態が発生する。ローカルの攻撃者はこれを悪用し、検証中の Pythonインタプリタバイナリを有害な実行可能ファイルに置き換えることができる。慎重にタイミングを計れば、needrestartに攻撃者のコードをroot権限で実行させることが可能とのこと。
- CVE-2024-10224:needrestartが使用するPerlのScanDepsモジュールは、攻撃者が提供するファイル名を適切に処理しない。そのため攻撃者は、シェルコマンドに似たファイル名(例:command|)に細工することで、ファイルが開かれた際にroot権限で任意のコマンドを実行することが可能になる。
- CVE-2024-11003:needrestartはPerlのScanDepsモジュールに依存しているため、ScanDeps自体の脆弱性にもさらされることになる。この脆弱性は、攻撃者が制御する入力値を処理する際にeval()関数を安全でない状態で使用されるというもので、任意コードの実行に繋がる恐れがある。
今月19日にバージョン3.8で修正されたばかりである上記の脆弱性は、needrestartが広く利用されていることや、脆弱性が長く存在していたことから、重要なシステム上で特権昇格を許す恐れがある。ユーザーは修正バージョンを適用することに加えて、脆弱性を悪用されないようにするための緩和策を実施することが推奨される。
フォード、データ侵害の原因はサードパーティサプライヤーにあると断定
SecurityWeek – November 20, 2024
自社のデータを盗み出したと主張するハッカーの犯行声明を受け、その真偽について調査を行っていたフォード。同社はその調査を終え、自社システムおよび顧客データは侵害されていなかったことを確認した。
この問題は今月17日、ハッカーのIntelBrokerとEnergyWeaponUserがサイバー犯罪フォーラム「BreachForums」上で氏名、住所、購入情報などフォードの顧客記録4万4,000件を入手したと主張したことが発端となっている。しかし、ハッカーが公開したデータサンプルは世界中の自動車ディーラーの住所を表したものであり、機微情報ではないどころか、すでに公開されている情報である可能性が高いと指摘するメディアもあった。
フォードは19日、SecurityWeekの取材に対し、調査の結果システムや顧客データが侵害された事実はなかったことを述べ、流出した情報はサードパーティサプライヤーを出どころとするものだと指摘している。
IntelBrokerは著名な組織のデータを流出させることで知られており、ほとんどの被害組織は何らかのデータ侵害があったことを認めているが、同ハッカーの主張が誇張されたものだと指摘する被害者は多い。
とは?.jpg)
