12月25日:サイバーセキュリティ関連ニュース
DIGIEVER製NVRやTP-Link製ルーターの脆弱性を悪用する新たなボットネットが登場(CVE-2023-1389、CVE-2018-17532)
BleepingComputer – December 24, 2024
Miraiベースの新たなボットネットが、DIGIEVER製のネットワークビデオレコーダーDS-2105 ProのRCEの脆弱性を悪用しているという。Akamaiのレポートで明らかとなった。この脆弱性にはまだ追跡番号が付与されておらず、修正もなされていないとのこと。
同脆弱性はURI「/cgi-bin/cgi_main.cgi」に存在し、ユーザーが入力した値を適切に検証しないことに起因する。認証されていないリモートの攻撃者はこれを利用し、HTTP POSTリクエストのntpフィールドなど特定のパラメーターを介して、「curl」や「chmod」といったコマンドを注入できるようになる。今回のキャンペーンにおいてはこのコマンドインジェクションが行われた後、外部サーバーからマルウェアのバイナリが取得され、デバイスがボットネットに組み込まれるという。侵害されたデバイスはDDoS攻撃に使用されたり、ほかのデバイスへ感染を広げるための踏み台として使われることになる。
Akamaiの研究者は、11月中旬に当該脆弱性が同ボットネットに悪用され始めたことを確認したようだが、それより前(遅くとも9月)からこのキャンペーンが行われていた証拠も見つかっているという。
また同キャンペーンでは、TP-Link製デバイスにおけるCVE-2023-1389(コマンドインジェクションの脆弱性)や、Teltonika RUT9XXルータにおけるCVE-2018-17532(OSコマンドインジェクションの脆弱性)も標的にされているとのこと。
Akamaiによると、多くのMiraiベースのボットネットがオリジナルのソースコードに含まれる文字列難読化ロジックを使っているのに対し、この新しい亜種はXOR、ChaCha20といった暗号化アルゴリズムを使用し、x86やARM、MIPSなど幅広いシステムアーキテクチャを狙っていることが特徴的だという。複雑な復号手法が用いられるのは真新しいことではないが、これはMiraiベースのボットネット運営者の戦術、技術、手順が進化していることを示唆しているとされる。
さらにAkamaiは、このキャンペーンに関連するIoCと、脅威の検出・ブロックのためのYaraルールをレポートに記載した。
3万超える数のPostmanワークスペースからAPIキーや機微なトークンが流出
CloudSEKによると、3万を超える数のPostmanのワークスペースが公開状態になっており、APIキーやトークンなどの機微なデータが露出していたという。
Hackread.comに共有されたCloudSEKのレポートには、小規模企業から大企業までさまざまな業界の組織のデータが流出した旨が記されており、GitHub、Slack、Salesforceといった主要なプラットフォームが影響を受けたとされている。
研究者らはこうした流出を引き起こす一般的な要因として、不注意によるPostmanコレクションの共有、アクセス制御の設定ミス、一般公開されているリポジトリとの同期、平文で機微データを保存する行為などを挙げている。
漏洩したデータには、管理者認証情報、決済処理用のAPIキー、内部システムへのアクセス権などが含まれていた。これらが悪用されればデータ漏洩や不正アクセスが発生し得るほか、フィッシングやソーシャルエンジニアリング攻撃が増加する恐れがある。そうなれば、影響を受けた組織は金銭的な損害を被り、企業の評判が下がってしまう可能性も考えられる。
CloudSEKは各組織に対し、環境変数を使用することや権限を制限することなど、より強固なセキュリティ対策を実施するよう強く推奨している。またPostmanは、今回の調査結果が公表された後に機密保護ポリシーを実施し、パブリックワークスペースで機微なデータが露出しないように対策を行った。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価