年末年始の注目サイバーセキュリティニュース
<脆弱性>
Palo Alto PAN-OSのDoS脆弱性、ファイアウォール無効化のために悪用される:CVE-2024-3393
BleepingComputer – December 27, 2024
- Palo Alto Networksは12月27日、PAN-OSにおけるサービス拒否(DoS)の脆弱性CVE-2024-3393に関するセキュリティアドバイザリをリリース。この脆弱性が実際に悪用されていることも報告した。
- CVE-2024-3393はPAN-OSソフトウェアのDNS Security機能に存在する脆弱性で、認証されていない攻撃者がこれを悪用すると、ファイアウォールのデータプレーンを通じて有害なパケットを送り込み、ファイアウォールを強制的にリブートさせることが可能になる。
- 脆弱性は、PAN-OS 10.1.14-h8、PAN-OS 10.2.10-h12、PAN-OS 11.1.5、PAN-OS 11.2.3以降のバージョンで修正されている。
LDAP Nightmare:Windows LDAPの脆弱性にPoC登場(CVE-2024-49113)
Security Affairs – January 03, 2025
- Windows LDAP(Lightweight Directory Access Protocol)におけるDoSの脆弱性CVE-2024-49113(通称「LDAP Nightmare」)のPoCエクスプロイトを、SafeBreach Labsの研究者らが作成。
- CVE-2024-49113は境界外読み取りの問題に起因する脆弱性で、2024年12月の月例セキュリティ更新プログラムで修正されている(関連記事:マイクロソフト月例パッチ:悪用されているゼロデイ含む脆弱性71件に対処(CVE-2024-49138ほか))。
- SafeBreach LabsのPoCエクスプロイトは、インターネットに接続されたパッチ未適用のあらゆるWindows Server(ドメインコントローラーに限らず)をクラッシュさせることができるもの。
- PoCはGitHub上に公開されており、脆弱性の技術的分析および悪用成功までの経緯などについてもSafeBreach Labsのブログ記事にまとめられている。
- SafeBreach Labsは、このエクスプロイトによってCVE-2024-49112(Windows LDAPにおける別のリモートコード実行の脆弱性)が近い将来悪用され始める可能性も高まるだろうとの考えを示し、両脆弱性への対処を推奨した。
<データ侵害/サイバー犯罪>
35件超のChrome拡張機能をハッカーがハイジャック
SecurityOnline[.]info – January 2, 2025、BleepingComputer – December 31, 2024
- セキュリティにフォーカスしたブラウザ拡張機能を開発しているサイバーセキュリティ企業Cyberhaven社が、自社製拡張機能の改ざんバージョンがChrome ウェブストアにアップロードされているのを発見したと報告。この改ざんは、Cyberhavenの従業員にフィッシング攻撃を仕掛けることによって行われていた。
- Nudge Security社のJaime Blasco氏が、Cyberhavenのもの以外にも複数のChrome拡張機能が侵害されていると報告。
- HuntersのTeam Axonおよびその他のセキュリティ研究者らによるその後の調査によって、Cyberhavenの拡張機能が改ざんされたのはより広範なキャンペーンの一部に過ぎないことが確認される。
- Chrome拡張機能の開発者をターゲットにしたこの脅威キャンペーンは、少なくとも7か月前から実施されていたことが示唆されており、さらに長期間に及んでいる可能性もある。
- 現在見つかっている証拠からは、Cyberhavenのもの以外に少なくとも35件の拡張機能が改ざんされており、影響を受ける可能性があるユーザーの数は250万人を超える。
<サイバー戦/APT/国家型アクター/地政学関連>
中国ハッカーによる通信事業者ハッキングに新たな被害企業が発覚:ホワイトハウスが9社目を被害者リストに追加
SecurityWeek – December 29, 2024、BleepingComputer – December 27, 2024
- 中国のAPTアクターSalt Typhoonが実行者とされる、米国などの通信事業者を標的とした大規模スパイキャンペーンに新たな被害企業が発覚したとホワイトハウスが報告。
- 12月前半の時点では、米国の通信事業者8社とその他の国々の通信キャリア複数社がこのキャンペーンの被害を受けたことが公式に伝えられていた。
- 新たに明かされた9社目の被害者も米国の通信事業者。
- この被害は、自社ネットワーク内で中国ハッカーの活動を発見するためのガイダンスをバイデン政権がリリースした後に発見された。(関連記事:中国の通信会社ハッキングに関する米政府ガイダンス、シスコ製デバイスへの脅威示す内容に)
中国APT、BeyondTrustのAPIキー悪用し米財務省のシステムや文書に不正アクセス
The Hacker News – Dec 31, 2024
- 米財務省の委託先であるソフトウェアサービスプロバイダーのBeyondTrustは2024年12月8日、ある脅威アクターが同社のAPIキーに不正アクセスしたと通知。このキーは、同社が財務省関連のリモートテクニカルサポート提供のために利用するクラウドサービスを保護するために使われていたものだった。
- 脅威アクターは盗んだキーを使って非機密文書などにアクセスした。
- BeyondTrustの当該サービスはその後オフラインにされた。
- これまでに入手された証拠からは今回の侵害が中国のAPTアクターによるものであることが示されている、と米政府は述べている。
- ただし具体的にどのアクターかは名指しされていない。
<逮捕/テイクダウン/制裁/違反/その他法執行関連>
AT&Tやベライゾンのハッキングめぐり、米陸軍兵が逮捕される
SecurityWeek – January 2, 2025
- トランプ次期大統領やハリス副大統領の盗難通話記録をリークした疑いなどで、米陸軍兵のCameron John Wagenius容疑者(20)が逮捕された。
- Wagenius容疑者は「Kiberphant0m」というエイリアスを使って、AT&Tやベライゾンから盗まれた通話記録を不正に販売/リークしていた疑いがある。
- Kiberphant0mは、Snowflakeアカウントのハッキングをめぐり昨年10月に逮捕されたConnor Riley Moucka容疑者から委託されて、Snowflake顧客から盗まれたデータの販売を担っていたとされるハッカー。
- 今回の逮捕のおよそ1か月前には、調査ジャーナリストのBrian Krebs氏によって、Snowflakeを狙ったハッキングキャンペーンには米兵が関与していた可能性がある旨が明らかにされていた。(詳しくはこちらの記事で:Snowflakeハッキングに関与のハッカーKiberphant0m、正体は米兵である可能性が浮上)
- これにより、Snowflakeのキャンペーンに関連して逮捕された容疑者は3名となった。(関連記事:Snowflake関連のデータ侵害・恐喝攻撃めぐりカナダ人の容疑者が逮捕される)
【無料配布中!】脅威アクターレポート
脅威アクターレポート:『Actor Profile : CyberVolk. group』
2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。
<レポートの主なトピック>
- 要点
- グループ概要
✔️攻撃声明
⚪︎DDoS攻撃声明
⚪︎サイバー恐喝
⚪︎その他日本の組織への攻撃声明
✔️他グループへの協力呼びかけ
⚪︎他の不法コミュニティでの悪評
✔️ランサムウェア等の宣伝 - 評価