中国のSalt Typhoon、トップレベルの米高官らの通話を録音していた：ホワイトハウスが報告

12月10日：サイバーセキュリティ関連ニュース

中国のSalt Typhoon、トップレベルの米高官らの通話を録音していた：ホワイトハウスが報告

The Register – Mon 9 Dec 2024

中国のAPTグループSalt Typhoonによる米通信事業者などを狙った広範なサイバースパイキャンペーンについて今週末、新たな事実が明らかに。ホワイトハウスによれば、同グループは「非常に職位の高い」米政府関係者の通話を録音することに成功していたという。

米国でサイバー・新興技術担当の国家安全保障担当大統領次席補佐官を務めるアン・ニューバーガー氏は、週末にかけてセキュリティカンファレンス「Manama Dialogue」に登場。このカンファレンスの場で記者らに対し、Salt Typhoonのキャンペーンは政治に携わる高官らを「集中的に」狙ったオペレーションだったと伝えたという。ただ、具体的に誰がターゲットになったのかは明かしていない。

なおニューバーガー氏は先週、米国の通信事業者8社がSalt Typhoonによるハッキングを受けていたこと、また数十か国の組織も侵害されていたことについて認めていた。

QNAP、Pwn2Ownで悪用が実演された脆弱性数件にパッチ（CVE-2024-50393、CVE-2024-48868）

SecurityWeek – December 9, 2024

QNAP Systemsは今週末、QTSおよびQuTS Heroにおける脆弱性数件に対するパッチのリリースをアナウンス。これらの脆弱性は、ハッキングコンテストPwn2Own Ireland 2024で悪用が実演されたものだという。

今回修正された中で、特に深刻度が高かったのが以下。

• CVE-2024-50393（CVSSスコア 8.7）：コマンドインジェクションの脆弱性。リモートの攻撃者がこれを悪用すると、脆弱なデバイス上で任意のコマンドを実行できるようになる恐れがある。
• CVE-2024-48868（CVSSスコア 8.7）：CRLF（キャリッジリターンとラインフィード）インジェクションの脆弱性。アプリケーションデータを改ざんする目的で悪用される恐れがある。
• CVE-2024-48865（CVSSスコア 7.3）：不適切な認証検証の脆弱性。ローカルネットワーク上の攻撃者に悪用されると、システムのセキュリティを侵害される恐れがある。

これらの脆弱性に対するパッチは、QTS 5.1.9.2954 build 20241120、QTS 5.2.2.2950 build 20241114、QuTS Hero h5.1.9.2954 build 20241120、QuTS Hero h5.2.2.2952 build 20241116に含まれている。

QNAPはまた、License Centerにおける脆弱性CVE-2024-48863（CVSSスコア 7.7）に対するパッチも週末にリリース。これはリモートの攻撃者による任意コマンドの実行を可能にし得るもので、QNAP License Center 1.9.43で修正されている。

これらの脆弱性が実際の攻撃で利用されているかについてQNAPは何も言及していないが、同社製品といえばこれまでにもハッカーの標的にされることが多々あったことを踏まえると、ユーザーには可及的速やかなインスタンスのアップデートが推奨される。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート