dailynews - 2024/04/17
Daily Security Info
Tools
N/A
malware campaign
N/A
security report
N/A
cybercrime topics
日々のニュース要約
Ivanti、Avalanche MDMソリューションにおける重大な欠陥を警告
要約
IvantiがAvalanche MDMソリューションの27の脆弱性を修正
その中には重大なヒープオーバーフロー脆弱性が2つ含まれる
攻撃者はこれを利用してリモートから任意コマンド実行が可能
特にCVE-2024-24996とCVE-2024-29204が危険
最新版Avalanche 6.4.3への更新を強く推奨
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
この脆弱性は現在公開されており、悪用されるリスクがある
ChatGPTの推奨事項
即時のアップデートと追加のセキュリティ監視の実施を推奨
Palo Alto NetworksのPAN-OSにおける脆弱性が攻撃で利用され、修正パッチが必要
要約
Palo Alto NetworksのPAN-OSに重大な脆弱性CVE-2024-3400が発見された
この脆弱性はGlobalProtect (ゲートウェイまたはポータル) 機能とその機能上でのテレメトリ収集が有効な環境が対象。未認証の攻撃者による任意のコード実行を可能にする
10.2, 11.0, 11.1バージョンのPAN-OSファイアウォールが影響を受ける
緊急の修正パッチが提供されたが、多くのデバイスがまだ修正されていない
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
本脆弱性によるゼロデイ攻撃は国家後援の可能性があるグループによって行われた
watchTowrが詳細な解説を公開: https://labs.watchtowr.com/palo-alto-putting-the-protecc-in-globalprotect-cve-2024-3400/
ChatGPTの推奨事項
速やかに修正パッチを適用し、デバイスのセキュリティを再評価することを推奨
Cisco、VPNサービスに対する大規模なブルートフォース攻撃に警告
要約
CiscoがVPNおよびSSHサービスに対する大規模な認証情報攻撃を報告
攻撃はCisco、CheckPoint、Fortinet、SonicWall、Ubiquitiのデバイスを対象
攻撃者はTOR経由で始まり、他の匿名化ツールも使用
成功するとネットワークアクセスが不正に取得されるリスクがある
IOCの列挙
推奨事項
推奨事項なし
その他
対象となるVPNサービスは複数あり、業界や地域を問わず攻撃が行われている
ChatGPTの推奨事項
認証プロセスの強化と不審なアクセス試行の監視を推奨
PuTTY SSHクライアントの欠陥が暗号鍵の復元を可能に
要約
PuTTYの脆弱性CVE-2024-31497により、暗号鍵が復元できる可能性。ただし攻撃には対象の鍵によるデジタル署名が60個近く必要
ECDSAの乱数生成にバイアスが存在し、攻撃者に利用される
PuTTY 0.81で修正済み、それ以前のバージョンは不安全
関連ソフトウェアも影響を受けているため更新が推奨される
FileZilla 3.24.1 – 3.66.5 (3.67.0 で修正)
WinSCP 5.9.5 – 6.3.2 (6.3.3 で修正)
TortoiseGit 2.4.0.2 – 2.15.0 (2.15.0.1 で修正)
TortoiseSVN 1.10.0 – 1.14.6 (最新の PuTTY 0.81 リリースの Plink を使用するように TortoiseSVN を構成することで軽減可能)
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
この問題は特に開発者とシステム管理者に関連
ChatGPTの推奨事項
PuTTYの最新バージョンへの更新と、鍵の更新を速やかに実施すべき
UnitedHealth:Change Healthcareのサイバー攻撃が8億7200万ドルの損失を引き起こす
要約
UnitedHealthがChange Healthcareへのランサムウェア攻撃で8億7200万ドルの損失報告
攻撃により直接的な対応コストが5億9300万ドル、ビジネスの中断で2億7900万ドルの損失
全年度の影響は1株あたり1.15ドルから1.35ドルと見積もられている
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃は「BlackCat/ALPHV」ランサムウェアグループのアフィリエイト「Notchy」によるもので、「BlackCat/ALPHV」の運用が停止したため、RansomHubと提携し再度恐喝を行っている
ChatGPTの推奨事項
ランサムウェア対策としてのバックアップとセキュリティプロトコルの見直しを推奨
RansomwareグループがChange Healthcareのデータ漏洩を開始
要約
RansomHubグループがChange Healthcareから盗んだデータを漏洩開始
データには顧客情報、取引情報、患者情報が含まれる
データ漏洩には保険業者間の取引情報も含まれる
犯罪集団は企業からの応答がなければ更なるデータを売却すると脅迫
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃したNotchyはBlackCat/ALPHVランサムウェアの元アフィリエイトであり、現在はRansomHubと提携
攻撃者は、Change Healthcareが5日以内に身代金を支払うように言っており、支払わなければ、攻撃者はデータを最高額入札者に売却すると述べた
ChatGPTの推奨事項
データのモニタリングとセキュリティ対策の強化を推奨
Kimsukyは寛容なDMARCポリシーを利用してメールを偽装
https://www.databreachtoday.com/kimsuky-uses-permissive-dmarc-policies-to-spoof-emails-a-24857
要約
Kimsukyグループは、緩いDMARCポリシーを利用して別組織になりすましたメールを送信
DMARCプロトコルのオプションとして、認証に失敗したメールの送信をどのように取り扱うか決められる。Kimsukyは認証に失敗しても何しないとなっているドメインになりすます
攻撃は情報収集を目的としており、標的はシンクタンク、政府、ジャーナリスト
攻撃メールには、ターゲットによる電子メールの開封有無、いつ、どのデバイスで開いたかなどのデータを追跡するために、追跡ピクセルが埋め込まれている
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
Proofpointの調査情報
ChatGPTの推奨事項
DMARC設定の強化と詳細な監視を推奨
フィリピンをターゲットとした偽情報とハクティビストキャンペーンが急増
https://securityaffairs.com/161909/intelligence/misinformation-targeting-the-philippines.html
要約
フィリピンに対する偽情報とハクティビストキャンペーンが急増しており、前年比3倍増
情報操作は政治的・社会的に不安を煽る目的で行われる
多数の偽アカウントが様々なプラットフォームで活動を展開
政治選挙への影響が特に顕著
IOCの列挙
IOC情報なし
推奨事項
推奨事項なし
その他
攻撃は主に政治関連の個人や団体を対象としている
ChatGPTの推奨事項
情報の出所を確認し、偽情報に注意するよう市民に警告すべき