-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
3月22〜24日:サイバーセキュリティ関連ニュース
Apache Druidに脆弱性、リアルタイム分析プラットフォームにSSRFやXSSのリスク:CVE-2025-27888
Securityonline[.]info – March 23, 2025
Apache Druidにおける脆弱性CVE-2025-27888について、Apacheが明らかに。31.0.2より前および32.0.1より前のバージョンに影響を与える同脆弱性は、サーバーサイドリクエストフォージェリ、クロスサイトスクリプティング、およびオープンリダイレクトの組み合わさった脆弱性だという。
この脆弱性により、Druidの管理プロキシ使用時に、特別に細工されたURLを含むリクエストが当該リクエストを任意のサーバーへリダイレクトさせる目的で使われる恐れがあるとApacheは説明。この脆弱性を悪用するためには認証が必須となるものの、管理プロキシはDruidのout-of-the-boxコンフィグレーションで有効化されているという事実が、リスクを高める要因になっているとされる。悪用が成功した場合に考えられる影響としては、悪意あるWebサイトへのリダイレクトやトークンの窃取、クロスサイトリクエストフォージェリなどが挙げられるという。
管理プロキシが有効化されたままのデプロイメントが脆弱性の影響を受けるが、プロキシの無効化によりリスクを軽減できる一方で、いくつかのWebコンソール機能を妨げる可能性もあるとされる。また、マルチユーザー環境あるいは外部からのDruid UIへのアクセスがある組織においては、認証済みの攻撃者が他ユーザーをフィッシングページへリダイレクトさせたり、有害スクリプトを注入したりする恐れがあることから、より一層の警戒が求められるという。
Apacheはすべてのユーザーに対し、Druid 31.0.2または32.0.1へのアップグレードを推奨している。
北朝鮮がAIハッキングに特化した新部隊を始動させたとの報道
北朝鮮政府が、諜報当局であるレコネッサンス・ジェネラル・ビューロー/RGB(別称:偵察総局)内に新たなハッキンググループを設立したとの報道。北朝鮮に特化したニュースメディアDaily NKが政権内部の情報筋の話として先週報じたところによると、この新たなハッキング部隊「Research Center 227」は、「オフェンシブなハッキングテクノロジーとプログラム」を開発するための調査を主に務めることになる見込みだという。
特に調査対象になるとされているのが、西側諸国のサイバーセキュリティシステムやコンピューターネットワーク。これらに関する情報は、北朝鮮政府のデジタル資産窃取能力を強化したり、AIベースの情報窃取能力を高めたり、北朝鮮国外のハッキング部隊から寄せられる情報へ対応したりする上で使用されることになるとみられているとのこと。
オラクルがデータ侵害の発生を否定、ハッカーがデータレコード600万件を盗んだと主張したのち
BleepingComputer – March 21, 2025
ハッカーがOracle Cloudから盗んだデータとされるものを売りに出したことを受け、オラクル社はデータ漏洩の発生を否定。Oracle Cloudは侵害されておらず、公開された認証情報はOracle Cloudのものではないと述べている。
この声明は、3月20日に脅威アクター「rose87168」がOracle CloudのSSOログインサーバーを侵害し、データを盗み出したと主張したのちに出されたもの。同アクターはハッキングフォーラム上で、サンプルデータベースとLDAP情報、影響を受けるユーザー企業のリストを共有した。現在、盗まれたデータとされるものはBreachForumsフォーラムにおいて非公開の価格で売りに出されているが、ゼロデイエクスプロイトと交換することも可能だという。加えてOracle Cloudサーバーへのアクセスを有している証拠として、rose87168はBleepinComputerに対しInternet ArchiveのURLを共有。このURLに飛ぶと、同アクターが「login.us2.oraclecloud.com」サーバーへ自身のProtonMailのメールアドレスを含む.txtファイルをアップロードしたらしい様子が示されるようになっている。
オラクルはアクターの主張を否定しており、Oracle Cloudの顧客データは漏洩も喪失もしていないと主張。一方で、アクターがどのようにlogin.us2.oraclecloud.comへテキストファイルをアップロードしたかに関するBleepingComputerの問い合わせに対してはまだ回答していない模様。ハッカーrose87168自身はサーバーの侵害手口について問われ、すべてのOracle Cloudサーバーがある公開CVE(脆弱性)に対して脆弱なバージョンを使用していると述べたが、この主張の真偽は不明とのこと。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
マキナレコードが運営するメディア「Codebook」にて、サイバーセキュリティの2024年を振り返るEブックを作成しました。本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
関連投稿
脆弱性PoC公開から悪用開始までの間隔は短縮、22分で悪用始まったケースも
16.07.2024
独ミサイル製造業者の侵害、実行者は北朝鮮ハッカーとの報道
01.10.2024
日本も標的に:中国関連APTが世界的なサイバースパイキャンペーンでIvanti Connect Secure VPNを狙う(CVE-2025-0282、CVE-2025-22457)
15.04.2025
北朝鮮ハッカーがChromeのゼロデイ悪用し、ルートキットFudModuleを展開(CVE-2024-7971)
02.09.2024
北朝鮮のハッカー集団がMicrosoft IEのゼロデイを悪用(CVE-2024-38178)
17.10.2024
