DDoS攻撃が、あなたがそれを忘れてしまわないことを確認したい
DDoS攻撃が、あなたがそれを忘れてしまわないことを確認したい
Jonathan Munshawによる 2023年7月6日 14:07 Threat Sourceニュースレター
今週のThreat Sourceニュースレターへようこそ。
- 分散型サービス拒否攻撃(DDoS)は、私がコンピュータの使い方を覚える前から存在していました。
- しかし最近、敵がDDoS攻撃を開始する方法を強化し、高プロファイルのサービスや組織を狙っているため、大きなカムバックを果たしています。
- 現在、最も人気のあるビデオゲームの一つである「Diablo IV」は、6月25日の週末にDDoS攻撃を受け、プレイヤーがゲームのサーバーにアクセスできなくなり、Blizzardが開発した他のゲーム(「World of Warcraft」など)に影響を及ぼしました。
- Microsoftも最近、6月にAzure、Outlook、OneDriveが影響を受けた障害がLayer 7 DDoS攻撃によるものであることを確認しました。これらの攻撃の責任を主張するAnonymous Sudanは、ロシアと関連があるかもしれないと同時に、スーダンの国益のために活動していると主張しています。
なぜDDoS攻撃が増えているのか
- DDoS攻撃はインターネットの開発時代に遡るシンプルな攻撃であるという事実は、DDoS攻撃が大規模なゲームハンティング型ランサムウェア攻撃のような洗練された攻撃と比べて比較的簡単に実行できるという点にあります。
- Dark Utilitiesという「サービスとして」のプラットフォームは、この良い例です。C2-as-a-serviceと暗号通貨のマイニングのオファリングがプラットフォームの主力商品である一方で、Layer 4およびLayer 7のDDoSツールがビジネスモデルに資金を供給する意欲のある人々に利用可能です。
- また、これらの攻撃に対する資金提供が増えているように見え、資金はどの脅威アクターも強力にする可能性があります。
商用スパイウェアは依然として問題
- 商用スパイウェアは、世界中の政府がその使用を制限する努力にもかかわらず、依然として懸念事項です。
- NSOグループがスパイウェアクリエーターとして最も悪名高い例として始まりましたが、Intellexa、DSIRF、Variston IT、新たに明らかになったQuadreamなどの「傭兵グループ」が増えています。
- そして、現在も隠れて運営している企業が更に多く存在する可能性があります。
それで、これから何をすべきか?
Milesight UR32LルーターとMilesightVPNの脆弱性について
Milesight UR32LルーターとMilesightVPNの脆弱性について
脆弱性の発見
- Cisco Talosが、Milesight UR32Lルーターで17件の脆弱性(63のCVE)、MilesightVPNリモートアクセスソリューションソフトウェアで5件の脆弱性(6のCVE)を発見した。
- これらの脆弱性を悪用すると、攻撃者はUR32LとMilesightVPNを完全に侵害することが可能。
攻撃シナリオ
- MilesightVPNを介してのみUR32Lにアクセス可能なシナリオを提示。ブログは、攻撃者がMilesightVPNを悪用してその後、UR32Lを完全に侵害する方法を説明する。
デバイス詳細
- Milesight UR32Lは、携帯機能を提供する産業用ルーター。
- MilesightVPNは、直接インターネットに公開されていないMilesightデバイスのリモートアクセスソリューション。
攻撃シナリオ概要
- MilesightVPNサーバーがインターネットに公開されていると仮定して、攻撃者がインターネットに公開されていないUR32Lを標的にするシナリオを考える。
攻撃の詳細
- 攻撃者がMilesightVPNサーバーのIPアドレスを特定した後、攻撃者はTALOS-2023-1701(CVE-2023-22319)を悪用してログインをバイパスし、MilesightVPNの管理Webページにアクセスすることが可能。
- ログインページをバイパスすると、攻撃者は複数のデバイスが登録され、1つのデバイスがアクティブな接続を持つインターフェースを示される。
脆弱性詳細
- Milesight UR32Lには、コマンドインジェクションの問題が存在する。これらの脆弱性はルーターの異なる機能性に存在する。
- 攻撃者は、特製のネットワークパケットを対象のデバイスに送信することで、これらの脆弱性を悪用することが可能。
- さらに、UR32Lにはバッファオーバーフローを引き起こす可能性のある脆弱性が存在する。これらの脆弱性は攻撃者が特製のHTTPリクエストまたはネットワークリクエストを対象のデバイスに送信することで引き起こす可能性がある。
- MilesightVPNには以下の脆弱性が発見された:
- TALOS-2023-1700(CVE-2023-22844): 認証バイパス脆弱性
- TALOS-2023-1701(CVE-2023-22319): SQLインジェクション脆弱性
- TALOS-2023-1702(CVE-2023-23907): ディレクトリトラバーサル脆弱性
- TALOS-2023-1703(CVE-2023-22371): コマンドインジェクション脆弱性
- TALOS-2023-1704(CVE-2023-24496 - CVE-2023Milesight UR32L ルーターとVPNの脆弱性: 22の脆弱性と完全な攻撃チェーンBy Francesco Benvenuto
2023年7月6日攻撃シナリオの概要攻撃の詳細脆弱性の詳細
- 攻撃者は、MilesightVPNサーバーのIPアドレスを特定した後でも、有効な認証情報がないためHTTP管理ページにログインすることはできません。
- ここから、攻撃者はTALOS-2023-1701 (CVE-2023-22319)を利用してログインをバイパスし、MilesightVPNの管理Webページにアクセスすることができます。
- ログインページをバイパスした後、攻撃者は以下のようなインターフェースが表示されます。以下の例では、複数のデバイスが登録され、1つのデバイスがアクティブな接続を持っているインターフェースが含まれています。
- ここから、攻撃者はサーバーに接続されているデバイスとそのIPについての情報を把握することができます。さらに、VPNトンネルに参加し、以前は到達不可能だったデバイスと通信するためのOpenVPN設定ファイルを取得することが可能です。
- 以下の脆弱性は、Milesight UR32Lのコマンドインジェクション問題です。これらの脆弱性は、ルーターの異なる機能に存在します。攻撃者は、特別に作成されたネットワークパケットを目標とするデバイスに送信することで、これらの脆弱性を悪用することができます。
- UR32Lには、バッファオ
Milesight UR32L ルーターとMilesightVPNにおける22の脆弱性:完全な攻撃チェーンの構築
By Francesco Benvenuto Thursday, July 6, 2023 11:07脆弱性の深層分析 Vulnerability Spotlight
- Cisco Talosは、Milesight UR32L ルーターに17の脆弱性(63のCVE)と、MilesightのMilesightVPNリモートアクセスソリューションソフトウェアに5つの脆弱性(6のCVE)を発見しました。
- 攻撃者は発見された脆弱性を利用して、UR32LおよびMilesightVPNを完全に侵害することが可能です。
- この記事では、UR32LがMilesightVPNリモートアクセスソリューションを通じてのみアクセス可能な攻撃シナリオを紹介します。このブログでは、攻撃者がMilesightVPNを悪用し、その後UR32Lを完全に侵害する方法を説明します。
- Cisco Talosは最近、MilesightのUR32L(ARMv7 Linuxベースの産業用セルラールーター)とMilesightのMilesightVPN(Milesightデバイスのリモートアクセスソリューション)に複数の脆弱性を発見しました。
- 合計で、Cisco Talosは今日、22のセキュリティアドバイザリーを公開しており、そのうちの9つはCVSSスコアが8以上で、69のCVEに関連しています。Milesightから公式の修正がないにも関わらず、Talosはこれらの脆弱性を公開しています。これはCiscoの脆弱性開示ポリシーに基づいています。Milesightは、ポリシーに記載された90日間の期間中に適切に対応しませんでした。
- 攻撃シナリオの概要
- このブログ記事では、Talosは敵がMilesight UR32Lをターゲットにする攻撃シナリオを提示します。このシナリオでは、ルーターはインターネットに露出せず、VPNトンネルを使用して内部ネットワークとルーター自体へのアクセスを提供します。デバイスがMilesightVPNを通じて管理されるシナリオを考慮しました。このソフトウェアは、UR32Lルーターと管理者に到達できるマシンにインストールする必要があります。この記事の目的のため、私たちはMilesightVPNサーバーがインターネットに露出していると仮定します。
- MilesightVPNはOpenVPNを基盤とするVPNシステムを使用します。確立されたVPNシステムを使用することは優れた選択です。OpenVPNは広く知られており、テストされたVPN技術であるため、重大なセキュリティ問題を抱える可能性は少ないです。しかし、MilesightVPNはOpenVPNトンネルの周りにHTTPサーバーなどのサービスを作成します。これにより、接続を監視し、デバイスのVPNに参加するためのOpenVPN設定を生成します。デフォルトでは、MilesightVPNはHTTPサーバーポートとOpenVPNのポートをすべてのインターフェースにバインド
Milesight UR32LルーターとMilesightVPNに22の脆弱性発見: 攻撃者が完全な攻撃チェーンを構築可能
フランチェスコ・ベネヴェヌート著 2023年7月6日脆弱性の詳細報告
- Cisco Talosは、Milesight UR32L ルーターに17の脆弱性(63のCVE)と、MilesightのMilesightVPNリモートアクセスソリューションソフトウェアに5つの脆弱性(6のCVE)を発見しました。
- 攻撃者はこれらの脆弱性を利用してUR32LおよびMilesightVPNを完全に侵害することができます。
- この記事では、MilesightVPNリモートアクセスソリューションを通じてのみアクセス可能なUR32Lを対象とした攻撃シナリオを紹介します。攻撃者がMilesightVPNを悪用してその後にUR32Lを完全に侵害する方法について説明します。
- Cisco Talosは最近、MilesightのUR32L(ARMv7 Linuxベースの産業用セルラールーター)とMilesightのMilesightVPN(Milesightデバイスのリモートアクセスソリューション)に複数の脆弱性を発見しました。
- 合計で、Cisco Talosは今日、22のセキュリティアドバイザリーを公開し、そのうちの9つはCVSSスコアが8以上で、69のCVEが関連しています。これらの脆弱性に対するMilesightからの公式な修正はありません。これは、MilesightがCiscoの脆弱性開示ポリシーに記載された90日間の期間内に適切に対応しなかったためです。
- 攻撃シナリオの概要
- この記事では、インターネットに露出していないMilesight UR32Lを対象とする攻撃シナリオを考えます。代わりにVPNトンネルを通じて内部ネットワークとルーター自体へのアクセスが提供されます。このシナリオでは、デバイスはMilesightVPNを通じて管理されています。MilesightVPNは、UR32Lルーターと管理者がアクセス可能なマシンにインストールする必要があります。本記事の目的のため、MilesightVPNサーバーはインターネットに露出していると仮定します。
- MilesightVPNはOpenVPNを基にしたVPNシステムを使用します。これは大変優れた選択であり、OpenVPNは広く知られ、テスト済みのVPN技術であるため、重大なセキュリティ問題を抱える可能性は低いです。しかし、MilesightVPNはOpenVPNトンネルの周りにHTTPサーバーなどのサービスを作成し、接続の監視やデバイスのVPN参加のためのOpenVPN設定生成を行います。デフォルトでは、MilesightVPNはHTTPサーバーポートとOpenVPNポートをすべてのインターフェースにバインドします。
新しいビデオが、Talosのランサムウェアハンターの裏側を公開
新しいビデオが、Talosのランサムウェアハンターの裏側を公開 By Jonathan Munshaw
Threat Source ニュースレターの今週の版へようこそ。
- AIによって生成されたアートがインターネット上でドラマを引き起こしています。その例としては、Marvel TVショーのオープニングクレジットシーンから、AIツールを使って子供向けの本を作ることで何百万ドルも稼げると主張する悪徳YouTuberたちまで様々です。
- AIによって生成されたアートには、ここでカバーするスペースがないほどの様々な倫理的、法的な問題がありますが、これらのツールがすでにサイバー攻撃やオンライン詐欺に使用されていることに注目すべきです。
ビデオ紹介:Talosとの舞台裏インタビュー
- このCisco Secureからのビデオは、ランサムウェアの進化と未来にスポットライトを当てています。 The one big thing
- Appleは先週、全てのオペレーティングシステム向けに緊急パッチをリリースしました。これは2つのゼロクリックの脆弱性を修正し、攻撃者が標的としたデバイスを完全に乗っ取ることを防ぐものです。 Why do I care?
- Triangulationスパイウェアによって狙われる可能性は、セキュリティコミュニティがこれまでに知っている限りでは非常に低いですが、それでもiOSにゼロデイの脆弱性が存在することは常に大ニュースです。 So now what?
- 全てのAppleユーザーは可能な限り早くこれらの影響を受ける製品をアップデートするべきです。
今週のトップセキュリティヘッドライン
- 自己を「Anonymous Sudan」と名乗るハクティビストグループは、最初に思われたよりも活動的です。
- MOVEitブレーチによって影響を受けた企業のリストは、依然として増え続けています。
- FBIは、悪名高いハッキングサイトBreachForumsが所有するドメインを押収しました。
Top security headlines of the week
- 「Anonymous Sudan」と自称するハクティビストグループは、当初思われていたよりも活動的であることが明らかになりました。
- MOVEitブレーチによって影響を受けた企業のリストは、依然として増え続けています。
- FBIは、悪名高いハッキングサイトBreachForumsが所有するドメインを押収しました。
Can’t get enough Talos?
- サービスの概要:Talosインシデントレスポンスパープルチーム
- 脆弱性スポットライト:Google Chrome WebGLの使用後のフリーコンディション
- ビデオ:Talosのオープンソースツールがセキュリティのレジリエンスを向上させるためにどのように役立つか
- Talos Takes Ep. #144: MOVEitゼロデイの周辺情報まとめ
Upcoming events where you can find Talos
- BlackHat (8月5日 - 10日)
- Grace Hopper Celebration (9月26日 - 29日)
- Caitlin Huey、Susan Paskey、Alexis Merrittによる"Level Up Lab"というタイトルのセッション"知識チェックに失敗しない:脅威インテリジェンスを使ったインシデントレスポンスの加速"
Most prevalent malware files from Talos telemetry over the past week
- SHA 256: 5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
- SHA 256: 59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
- SHA 256: a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
- SHA 256: e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
- SHA 256: 00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
Cisco Talosインシデント対応チームのPurpleチームがどのように最悪のシナリオに備えるのか
Cisco Talosインシデント対応チームのPurpleチームがどのように最悪のシナリオに備えるのか
Rami AltalhiとPaweł Bosekによる
2023年6月29日、木曜日、08:06
Cisco Talos Incident Responseの機能
- Purpleチームのエクササイズは、Cisco Talos Incident Response Retainerサービスに含まれており、当社の専門家が組織のセキュリティホールを悪意のある人々が見つける前に見つけるのを助けます。
- 紅と青のチームの両方を組み合わせた紫のチームが一つのジョイントアタックシナリオを模倣し、そのシナリオを実行し、現在のインシデント対応能力がどのように機能するかを記録します。 現在のセキュリティインシデント対応プログラムはエミュレートされた敵対的攻撃に耐えることができますか? 現在のTTPs検出をテストする必要がありますか? どこから始めればいいか、何をテストすればいいか、プログラムにどのようなギャップが存在するか分からないですか?
- Talos IRがPurpleチームの専門知識とエクササイズを提供し、組織の防止、検出、対応能力を向上させるために積極的にテストするためにパートナーとなります。
Purpleチームエクササイズで共同チームに価値を提供
- Ciscoは、組織のためにカスタマイズされたPurpleチームの専門知識とエクササイズを提供するために、あなたとパートナーシップを結ぶことができます。
- Purpleチームのエクササイズは、攻撃チーム(赤)と防御チーム(青)の間の共同アプローチです。
- 経験豊富なTalos IR対応者からなる青チームは、組織の防御者と共に、これらの攻撃を検出し対応します。
テストアプローチと手順
- Purpleチームのエクササイズは、MITRE ATT&CKフレームワークを中心に設計されています。
攻撃シナリオの実行
- Purpleチームエクササイズの提供中に、Talos IRチームは積極的かつ非侵害的にセキュリティチームを検出および識別の活動で支援します。
攻撃シナリオの結果と報告
- Purpleチームエンゲージメントは、報告書とデブリーフィングセッションで終了します。
- このエンゲージメントレポートは、環境検出能力の将来的な改善の基盤となり、会社のセキュリティレジリエンスを強化する道筋を築きます。
記事: MOVEit Transferの脆弱性に対する活動的な攻撃 — CVE-2023-34362 — Clop ランサムウェアグループによるもの
記事: MOVEit Transferの脆弱性に対する活動的な攻撃 — CVE-2023-34362 — Clop ランサムウェアグループによるもの
By Cisco Talos
金曜日、2023年6月16日 14:06
Threat Advisory ランサムウェア SecureX
概要:
- Cisco Talosは、MOVEit Transferの管理ファイル転送(MFT)ソリューションに存在するSQLインジェクションのゼロデイ脆弱性、CVE-2023-34362に対する攻撃試行の最近の報告を監視しています。この脆弱性は2023年5月下旬から活動的に標的にされています。
- 成功した攻撃により、リモートコード実行(RCE)が可能となり、認証されていない攻撃者がウイルス対策ソリューション(AV)を無効化したり、マルウェアのペイロードをデプロイしたりするなどの悪意ある活動を支援する任意のコードを実行できます。
- Clop ランサムウェアグループは、被害者のデータを抽出し、支払いを強要するために、これまでに見たことのないWebシェル、LemurLootをデプロイするために、この脆弱性を攻撃する責任を主張しています。公的な報告によれば、これらの攻撃はMicrosoftが同じグループに帰属していると述べています。
- その後、MOVEit Transferソリューションにはさらに2つの脆弱性、CVE-2023-35036およびCVE-2023-35708が見つかっていますが、現時点ではこれらが積極的に攻撃されているとの報告はありません。
CVE-2023-34362の詳細と継続的な攻撃
- Progress Software Corporationは5月31日にセキュリティアドバイザリをリリースし、自社のMOVEit Transferソリューションのインターネット対応インスタンスとオンプレミスインスタンスに脆弱性が存在し、特権の昇格と潜在的な不正アクセスが発生する可能性があると顧客に警告しました。この脆弱性、CVE-2023-34362は5月27日から積極的に攻撃されていましたが、脅威行為者はそれを侵害し始めたかもしれないと早い段階で2021年から試行錯誤を始めた可能性があります。
- 5月下旬時点で、公的な報告によれば、主に米国に位置する約2,500のMOVEitインスタンスが露出しているとのことで、エンタープライズ環境でのその存在感を示しています。
脆弱性の詳細
- MOVEit Transferの脆弱性、CVE-2023-34362は、攻撃者が連鎖させてRCEを達成するための複数の欠陥をカバーしています。エクスプロイトチェーンの最初の部分は、SQLインジェクションを使用してsysadmin APIトークンを取得します。そのトークンは、リモートコードの実行を可能にする入力を適切に検証しないデシリアライゼーション関数を呼び出すために使用することができます。
- 別の脆弱性、CVE-2023-35036が指定され、Progress Softwareはこの問題を対処するためのパッチとアドバイザリをリリースしました。CVE-2023-35036のパッチは、最初の脆弱性、CVE-2023-34362の攻撃中に初めて使用されたことが発見された成功したエクスプロイトチェーンの複数の部分を軽減することを目的としています。
- 2023年6月15日に、別の脆弱性が特定されました、CVE-2023-35708。Progress Softwareは、この問題に対するインストール可能なパッチをリリースする過程にあります。
継続的な攻撃
- Clop ランサムウェアグループは、6月5日に彼らのTorデータ漏洩サイトで公的な声明をリリースし、攻撃の責任を主張し、身代金の要求が支払われない場合は被害者のデータを公開すると脅しています。グループは、被害者が接触を開始するための期限として6月14日を設定しました。それ以外の場合、その会社の名前は警告としてデータ漏洩サイトに掲載されます。現在、データは公開されていませんが、影響を受けた企業を公的に名指しして非難し始めています。
- この活動において、Clop ランサムウェアグループは、CVE-2023-34362を利用して、以前には見られなかったウェブシェル、"LemurLoot"をインストールしました。
LemurLootについて
- LemurLootはC#で書かれており、データを抽出し、MOVEit Transferを実行するシステム上で実行するように設計されています。ウェブシェルは、脅威行為者からの受信接続要求を認証するために使用される、ハードコードされた36文字のGUID形式の値とともに展開されます。認証コードの値は、「X-siLock-Comment」ヘッダフィールドに存在しなければならず、その値が存在しない場合、HTTP 404エラーコードがオペレータに返されます。値が正しければ、ウェブシェルはタスクを受け入れられることを確認し、攻撃者が制御するSQLサーバに接続します。
- LemurLootは、「X-siLock-Step1’のヘッダフィールドを使用してオペレータからコマンドを受け取ります。定義されたコマンドは-1と-2の2つあります。「X-siLock-Step2’および‘X-siLock-Step3’のフィールドは、コマンドが定義されていない場合に使用されるパラメータを保持するために使用されます。
- コマンド"-1":LemurLootは、MOVEit TransferからAzureシステム設定を取得し、ファイルを取得するためのSQLクエリを実行します。
- コマンド"-2":LemurLootは、LoginNameとRealNameが"Health Check Service"に設定されたユーザーアカウントを削除します。
- 「X-siLock-Step1」の他の値については、ウェブシェルは、「X-siLock-Step2」および「X-siLock-Step3」で指定されたフォルダとファイル名によって指定されたファイルを開き、オペレータのためにそれを取得します。
- 「X-siLock-Step2」と「X-siLock-Step3」の値が指定されていない場合、ウェブシェルはシステムからデータを抽出し、そのデータを攻撃者が制御するSQLサーバにアップロードします。
対策
- Cisco Talosは、Progress Software Corporationがリリースしたパッチを適用することを強く推奨しています。また、最新のパッチが利用可能になった場合、それを適用することも推奨します。
- Cisco SecureXのお客様は、このCVEと関連するリスクを管理および軽減するための詳細な情報とガイダンスを提供しています。
- Cisco Talosはまた、この脆弱性を狙った攻撃の調査と追跡を続けています。
大学におけるサイバーセキュリティ相談窓口、スキルギャップの解消に貢献可能</H3>
大学におけるサイバーセキュリティ相談窓口、スキルギャップの解消に貢献可能
筆者: Jonathan Munshaw
日付: 2023年6月22日 14:06
Threat Source ニュースレター
Texas大学オースチン校が、教員と学生が運営する新しいサイバーセキュリティクリニックを開設するというニュースを見つけました。このクリニックでは、通常ならプライベート企業にこれらのサービスの代金を支払うことができない地域の団体、非営利団体、小規模企業に対して、インシデント対応、一般的なアドバイス、ランサムウェア防御などのプロボノのサイバーセキュリティサービスを提供します。
サイバーセキュリティクリニックは広く存在している
サイバーセキュリティのスキルギャップ解消と疲弊した防衛者の高い離職率が問題視されている。 このタイプのクリニックは、学生に実践的なトレーニングと経験を提供し、サイバー攻撃の犠牲になりやすい団体を支援することで、このギャップを解消する手助けをします。
実践的な経験は教室で学ぶよりもはるかに価値がある。 私が大学でサイバーセキュリティの教育を受けてから既に2年経つのですが、このようなクリニックで働く機会を持つことができれば、教科書を読むことやコーディングの演習をすることよりも楽しみにしていたでしょう。
重要なニュース
Cisco Talosは、CVE-2023-34362というSQLインジェクションのゼロデイ脆弱性に対する悪用の試みの最新報告を監視しています。この脆弱性は、MOVEit Transferというマネージドファイル転送(MFT)ソリューションに存在し、2023年5月末以降に積極的にターゲットにされています。
この脆弱性の悪用はすでに世界中の多くの組織に影響を与えています そして、セキュリティ研究者たちはすでにMOVEitの他の脆弱性を発見しています。
Microsoftは、最近のウクライナの政府機関や情報技術ベンダーに対するサイバー攻撃の背後にいるのは、ロシアのGRUにつながる一団であることを特定しました。 同じ報告では、このアクター、現在は"Cadet Blizzard"として知られる存在が、昨年のロシアによるウクライナ侵攻直前に発生した一連のデータ消去攻撃に関連しています。
U.S. Department of Justiceは、サイバー攻撃の背後にいる国家支援の脅威グループと個人を特定して起訴することに特化した新たな部門を組織に追加する予定です。この新たな組織は、「FBIや情報共同体のパートナーがサイバーを活用した脅威を特定した直後に迅速に行動できるように位置づけられています。」とのことです。
U.S. President Joe Bidenは、新技術がプライバシーやU.S.経済などに及ぼす危険について討議するためにAI専門家と企業の集団を招集しました。 "我が行政は、プライバシーの保護からバイアスとディスインフォメーションへの対応、AIシステムがリリースされる前に安全性を確保することまで、アメリカの権利と安全を保護することに全力を尽くしています。"とBidenは会議の後で述べました。
Top security headlines of the week
- Talos Takes Ep. #143: The hidden threat to the software supply chain you may not be thinking about
- Threat Roundup (June 9 – 16, 2023)
- No Password Required: Threat Researcher at Cisco Talos and a Veteran of the Highest-Profile Cyber Incidents Who Roasts His Own Coffee Beans
- Cisco releases new security offerings at Cisco Live 2023
- Video: How Talos’ open-source tools can assist anyone looking to improve their security resilience
Upcoming events where you can find Talos BlackHat (Aug. 5 - 10) Las Vegas, Nevada
Most prevalent malware files from Talos telemetry over the past week
- SHA 256: a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91 MD5: 7bdbd180c081fa63ca94f9c22c457376 Typical Filename: c0dwjdi6a.dll Claimed Product: N/A Detection Name: Trojan.GenericKD.33515991
- SHA 256: e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c MD5: a087b2e6ec57b08c0d0750c60f96a74c Typical Filename: AAct.exe Claimed Product: N/A Detection Name: PUA.Win.Tool.Kmsauto::1201
- SHA 256: 00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725 MD5: d47fa115154927113b05bd3c8a308201 Typical Filename: mssqlsrv.exe Claimed Product: N/A Detection Name: Trojan.GenericKD.65065311
- SHA 256: e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934 MD5: 93fefc3e88ffb78abb36365fa5cf857c Typical Filename: Wextract Claimed Product: Internet Explorer Detection Name: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
- SHA 256: a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91 MD5: 7bdbd180c081fa63ca94f9c22c457376 Typical Filename: c0dwjdi6a.dll Claimed Product: N/A Detection Name: Trojan.GenericKD.33515991
2023年6月のPatch TuesdayでMicrosoftは5つの重大な脆弱性を公開、ゼロデイはなし
2023年6月のPatch TuesdayでMicrosoftは5つの重大な脆弱性を公開、ゼロデイはなし
By Chetan Raghuprasad 2023年6月13日(火) 14:06 Patch Tuesday
Microsoftは月例のセキュリティ更新をリリース
- Microsoftは、製品とソフトウェアの組み合わせにわたる69の脆弱性を公開しました。これらの脆弱性のうち5つは重大とされており、45つが高度の深刻度、17つが中程度の深刻度、2つが低深刻度とされています。
- 過去4ヶ月間で初めて、Microsoftが今回のPatch Tuesdayで公開した脆弱性はどれも野生で悪用されていません。また、先月は3年ぶりの低さである40の脆弱性しか公開しなかったため、6月はMicrosoftのセキュリティ更新の平均月に近いです。
Cisco TalosがMicrosoft Excelの2つの脆弱性を発見
- これらは、ターゲットとなるユーザーが攻撃者が作成したファイルを開くとトリガーされる、重要な深刻度のリモートコード実行脆弱性です。
Windows Pragmatic General Multicast (PGM) サーバー環境の三つの重大な脆弱性
- CVE-2023-29363、CVE-2023-32014、CVE-2023-32015は、深刻度スコア9.8のリモートコード実行につながる可能性があります。
- Windowsのメッセージキューサービスが動作しているWindows Pragmatic General Multicast (PGM) サーバー環境では、攻撃者は特製のファイルをネットワーク経由で送信し、リモートコードの実行を達成し、悪意のあるコードのトリガーを試みることができます。
- Microsoftは、この脆弱性の悪用の深刻度を軽減するために、既存のデフォルト状態に存在する設定、標準的な設定、または一般的なベストプラクティスを参照するようにユーザーに助言しています。
Microsoft SharePoint Serverの権限昇格脆弱性
- CVE-2023-29357は、深刻度スコアが9.8のMicrosoft SharePoint Serverの権限昇格脆弱性です。
- この脆弱性を成功裏に悪用した攻撃者は、管理者レベルの権限を得ることができます。彼らは、JSON Web Token [JWT] 認証トークンの偽装にアクセスし、それらを使用して認証をバイパスし、認証済みユーザーの権限にアクセスを得るネットワーク攻撃を実行できるようになります。
- 攻撃者は、この脆弱性を悪用するためにユーザーの介入を必要としません。Microsoftは、顧客がSharePoint Enterpriseサーバーのために提供されるすべての更新を適用するようアドバイスしています。オンプレミスの顧客はAMSI機能を有効にすることで、この脆弱性から保護することができます。
Microsoftが“より可能性が高い”と考えるいくつかの高深刻度の脆弱性
- 高深刻度のリモートコード実行脆弱性、CVE-2023-28310はMicrosoft Exchange Serverに存在します。同一のイントラネット上の認証済み攻撃者は、PowerShellリモートセッションを通じてリモートコードの実行を達成できます。
- CVE-2023-29358は、Windowsグラフィックデバイスインターフェース(GDI)の権限昇格脆弱性で、Win32kカーネルドライバーの使用後解放脆弱性です。この脆弱性を成功裏に悪用した攻撃者は、SYSTEM特権を得ることができます。
- CVE-2023-29361も、Windows Cloud Files Mini Filter Driverの使用後解放問題を悪用することで攻撃者がSYSTEM特権を得る可能性があります。
- Microsoft Exchangeサーバーには、深刻度スコア8.8の高深刻度のリモートコード実行脆弱性、CVE-2023-32031が含まれています。攻撃者がこの脆弱性を成功裏に悪用すると、サーバーアカウントを任意のコード実行またはリモートコード実行でターゲットにすることができます。認証済みのユーザーとして、攻撃者はネットワーク呼び出しを通じてサーバーのアカウントの文脈で悪意のあるコードをトリガーしようと試みることができます。
- "重要"とされるものの、Windows Win32kカーネルドライバーに存在する別の権限昇格脆弱性、CVE-2023-29371があります。攻撃者はcCurvesの値を更新せずにカーブを変更することができ、これによりカーブのエッジが処理される際にwin32kfullでの範囲外書き込みが発生し、最終的に彼らはシステム特権を得ることができます。
注目すべき中深刻度の脆弱性
- CVE-2023-29352は、Windows Remote Desktopのセキュリティ機能バイパス脆弱性です。攻撃者がこの脆弱性を成功裏に悪用すると、リモートデスクトップ接続時に証明書の検証をバイパスし、実行時に警告プロンプトをバイパスする有効に署名された“.RDP”ファイルを作成することができます。
Microsoftが今月公開したすべての脆弱性の完全なリスト
- これはMicrosoftの更新ページで利用可能です。
これらの脆弱性の開示に対する対応としてTalosが新たにリリースするSnortルールセット
- これらの一部を悪用する試みを検出します。追加のルールが将来的にリリースされる可能性があり、現行のルールは追加情報を待って変更される可能性があることに注意してください。
- Cisco Secure Firewallの顧客は、最新の更新を彼らのルールセットに適用することによって使用するべきです。オープンソースのSnort Subscriber Rule Setの顧客は、Snort.orgで販売されている最新のルールパックをダウンロードすることで最新の情報を得られます。
- このリリースに含まれるルールには、これらの脆弱性の多くに対する悪用を防ぐ61907 - 61911、61915、61916、61933 - 61935、61937 - 61939が含まれています。
- この記事は時間が経つにつれて更新され、新たな情報が入手できることがあります。最新の情報を得るためには、定期的にこのページを確認してください。
