11月21日:サイバーセキュリティ関連ニュース
Ubuntu Linuxに使用される「needrestart」に10年来の脆弱性 攻撃者にroot権限を与える恐れ(CVE-2024-48990、CVE-2024-48992他)
BleepingComputer – November 20, 2024
Qualysは、Ubuntu Linuxで使用されている「needrestart」ユーティリティに、ローカル特権昇格の脆弱性が5件あることを発見した。これらの脆弱性は2014年4月にリリースされたneedrestartのバージョン0.8によって入り込み、10年以上にわたって残存していたようだ。脆弱なLinuxシステムにローカルアクセスできる攻撃者は、これらの脆弱性を悪用することで、ユーザーの操作なしに特権をrootに昇格させられるようになるという。
以下は、今回Qualysが発見した5件の脆弱性についてまとめたもの。なお、各脆弱性に関する詳細情報は別途テキストファイル形式で入手できる。
- CVE-2024-48990:needrestartは、実行中のプロセスから抽出されたPYTHONPATH環境変数を使用してPythonインタプリタを実行する。ローカルの攻撃者がこの変数を制御した場合、有害な共有ライブラリを仕込むことで、Pythonの初期化中にroot権限で任意のコードを実行できる。
- CVE-2024-48992:needrestartが使用するRubyインタプリタは、攻撃者が制御する RUBYLIB環境変数を処理する際に脆弱であり、ローカルの攻撃者はプロセスに有害なライブラリを注入することで、任意のRubyコードをroot権限で実行できる。
- CVE-2024-48991:needrestartでは競合状態が発生する。ローカルの攻撃者はこれを悪用し、検証中の Pythonインタプリタバイナリを有害な実行可能ファイルに置き換えることができる。慎重にタイミングを計れば、needrestartに攻撃者のコードをroot権限で実行させることが可能とのこと。
- CVE-2024-10224:needrestartが使用するPerlのScanDepsモジュールは、攻撃者が提供するファイル名を適切に処理しない。そのため攻撃者は、シェルコマンドに似たファイル名(例:command|)に細工することで、ファイルが開かれた際にroot権限で任意のコマンドを実行することが可能になる。
- CVE-2024-11003:needrestartはPerlのScanDepsモジュールに依存しているため、ScanDeps自体の脆弱性にもさらされることになる。この脆弱性は、攻撃者が制御する入力値を処理する際にeval()関数を安全でない状態で使用されるというもので、任意コードの実行に繋がる恐れがある。
今月19日にバージョン3.8で修正されたばかりである上記の脆弱性は、needrestartが広く利用されていることや、脆弱性が長く存在していたことから、重要なシステム上で特権昇格を許す恐れがある。ユーザーは修正バージョンを適用することに加えて、脆弱性を悪用されないようにするための緩和策を実施することが推奨される。
フォード、データ侵害の原因はサードパーティサプライヤーにあると断定
SecurityWeek – November 20, 2024
自社のデータを盗み出したと主張するハッカーの犯行声明を受け、その真偽について調査を行っていたフォード。同社はその調査を終え、自社システムおよび顧客データは侵害されていなかったことを確認した。
この問題は今月17日、ハッカーのIntelBrokerとEnergyWeaponUserがサイバー犯罪フォーラム「BreachForums」上で氏名、住所、購入情報などフォードの顧客記録4万4,000件を入手したと主張したことが発端となっている。しかし、ハッカーが公開したデータサンプルは世界中の自動車ディーラーの住所を表したものであり、機微情報ではないどころか、すでに公開されている情報である可能性が高いと指摘するメディアもあった。
フォードは19日、SecurityWeekの取材に対し、調査の結果システムや顧客データが侵害された事実はなかったことを述べ、流出した情報はサードパーティサプライヤーを出どころとするものだと指摘している。
IntelBrokerは著名な組織のデータを流出させることで知られており、ほとんどの被害組織は何らかのデータ侵害があったことを認めているが、同ハッカーの主張が誇張されたものだと指摘する被害者は多い。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価