見出し画像

Daily Security Info - 2024/08/15

tmho

Tools

N/A

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

ゼロクリックのWindows TCP/IP RCEがIPv6を有効にした全システムに影響、即時パッチ適用を推奨

https://www.bleepingcomputer.com/news/microsoft/zero-click-windows-tcp-ip-rce-impacts-all-systems-with-ipv6-enabled-patch-now/

  • 要約

    • WindowsのTCP/IPスタックにゼロクリックで悪用可能なリモートコード実行(RCE)脆弱性(CVE-2024-38063)が発見された。

    • この脆弱性は、IPv6が有効な全てのWindowsシステムに影響を与え、ユーザーの操作なしに悪意のあるコードを実行可能。

    • この脆弱性により、攻撃者は、脆弱な Windows 10、Windows 11、および Windows Server システムで任意のコードを実行するために使用できるバッファオーバーフローをトリガーする可能性。

    • 攻撃者は、細工されたパケットを含む IPv6 パケットを繰り返し送信することにより、この脆弱性を悪用

    • この脆弱は修正済み。Microsoftは、潜在的な攻撃をブロックするために、できるだけ早くシステムにパッチを適用するようWindowsユーザーに警告

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • すべてのWindowsユーザーは、パッチを直ちに適用する。

    • IPv6を無効にするか、追加のセキュリティ対策を検討する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • 影響を受けるすべてのシステムに対し、直ちに緊急パッチを適用する。

GitHub Actionsのアーティファクトで認証トークンが流出、人気プロジェクトにも影響

https://www.bleepingcomputer.com/news/security/github-actions-artifacts-found-leaking-auth-tokens-in-popular-projects/

  • 要約

    • GitHub Actionsアーティファクトを通じてGitHub認証トークンが漏洩していることが、Google、Microsoft、AWS、Red Hatを含む、複数の著名なオープンソースプロジェクトで発見

    • これらのトークンが攻撃者に悪用された場合、プライベートリポジトリへの不正アクセス、ソースコードの盗難、プロジェクトへの悪意のあるコードの挿入を行う可能性

    • unit42が発見。リポジトリの所有者が対処する必要がある。

    • GitHubはリスクに対処しないことを決定し、アーティファクトのセキュリティ確保の責任はユーザーにあるとした

    • 安全でないデフォルト設定、ユーザーの誤設定、セキュリティチェックの不足など、さまざまな要因が組み合わさることで、こういった漏洩が起こりうる

    • 「actions/checkout」などの危険なアクションのデフォルト設定は、資格情報が永続化しないように調整する必要がある

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • アップロードされたアーティファクトにディレクトリ全体を含めないこと

    • ログをサニタイズする

    • CI/CDパイプラインの設定を定期的に見直す

    • ワークフローで使用されるトークンの権限は、必要最小限の権限に設定する

  • その他

    • なし

  • ChatGPTの推奨事項

    • GitHub Actionsを使用している開発者は、直ちにトークン管理と設定を見直す。

量子コンピュータに耐性を持つ暗号化ツールの初リリースをNISTが発表

https://www.bleepingcomputer.com/news/security/nist-releases-first-encryption-tools-to-resist-quantum-computing/

  • 要約

    • NISTは量子コンピュータに耐性を持つ暗号化標準の最初の3つをリリース。

    • 3つは、FIPS 203, 204, 205。それぞれML-KEM (一般的な暗号化用)、ML-DSA (デジタル署名用)、SLH-DSA (バックアップ デジタル署名方式)。

    • 遡及的な復号化戦略(「今収穫して、後で復号化する」とも呼ばれる)への対策のために早急に新しいアルゴリズムへ移行することを推奨。

    • 政府機関や企業は、今後これらの技術を活用してセキュリティを強化する必要がある。

    • 本格的な量子コンピュータが欠如していることからテストできていないため、現行のアルゴリズムの信頼性は絶対ではない。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 政府機関や企業は、NISTがリリースしたポスト量子暗号化ツールの採用を検討する。

    • 量子コンピュータに備えて、暗号化技術の見直しを行う。

  • その他

    • なし

  • ChatGPTの推奨事項

    • セキュリティ担当者は、NISTのポスト量子暗号化技術を速やかに検討し、実装の計画を立てる。

AutoCanadaが内部ITシステムに影響を与えるサイバー攻撃を公表

https://www.bleepingcomputer.com/news/security/autocanada-discloses-cyberattack-impacting-internal-it-systems/

  • 要約

    • AutoCanadaは、同社の内部ITシステムがサイバー攻撃を受けたことを公表。

    • 攻撃により、同社の業務運営に一部影響が出ている。

    • 外部の専門家を雇い、攻撃の調査とシステムの復旧を進めている。

    • 顧客データの影響については、現在調査中であり、詳細は不明。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 顧客情報が流出していないか確認し、必要に応じて通知する。

    • サイバー攻撃に備えて、既存のセキュリティ対策を強化する。

    • 内部ITシステムの脆弱性を再評価し、修正を実施する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • 内部システムのセキュリティを強化し、同様の攻撃が再発しないようにする。

SolarWindsが全Web Help Deskバージョンに影響を与える重大なRCEバグを修正

https://www.bleepingcomputer.com/news/security/solarwinds-fixes-critical-rce-bug-affecting-all-web-help-desk-versions/

  • 要約

    • SolarWindsは、全てのWeb Help Deskバージョンに影響を与えるリモートコード実行(RCE)脆弱性(CVE-2024-28986)を修正。

    • この脆弱性は、攻撃者に遠隔から任意のコードを実行される可能性がある。

    • CVE-2024-28986として識別されたこの脆弱性は、脆弱なホストマシンでコマンドを実行することを可能にするJavaデシリアライゼーション。

    • 修正された最新バージョンである12.8.3を除く、全てのバージョンに影響。

    • SolarWindsはユーザーに対し、早急にパッチを適用するよう推奨している。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • Web Help Deskユーザーは、直ちに最新パッチを適用する。

    • IT管理者は、脆弱性の悪用を防ぐために、システムの監視を強化する。

    • 定期的にソフトウェアを更新し、セキュリティを維持する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • Web Help Deskのユーザーは、直ちにソフトウェアのアップデートを実施する。

新たなWindows SmartScreenバイパスが3月からゼロデイ攻撃として悪用される

https://www.bleepingcomputer.com/news/microsoft/new-windows-smartscreen-bypass-exploited-as-zero-day-since-march/

  • 要約

    • Windows SmartScreenの新たなバイパス脆弱性(CVE-2024-38213)が、3月からゼロデイ攻撃で悪用されている。

    • この脆弱性は、悪意のあるファイルを実行する際にSmartScreenの警告を回避できる。

    • マイクロソフトは2024年6月のパッチチューズデーで修正。

    • DarkGateマルウェアの配布で、Apple iTunes、Notion、NVIDIAなどを偽装したインストーラから悪意のあるペイロードを実行する際にこの脆弱性を悪用。

    • 利用者は、セキュリティ意識を高めるとともに、不審なファイルを開かないように警戒することが推奨される。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • 不審なファイルを実行しないように注意を促す。

    • フィッシングメールに対する警戒を強化する。

    • 修正パッチがリリースされ次第、速やかに適用する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • Windowsユーザーは、修正パッチがリリースされるまで、不審なファイルを開かないように注意する。

重大なSAPの脆弱性によりリモート攻撃者が認証をバイパス可能

https://www.bleepingcomputer.com/news/security/critical-sap-flaw-allows-remote-attackers-to-bypass-authentication/

  • 要約

    • SAP製品に存在する重大な脆弱性により、リモート攻撃者が認証をバイパスすることが可能。

    • この脆弱性はCVE-2024-41730(CVSSv3.1:9.8)として識別され、深刻度が高く、迅速な対応が求められている。

    • 攻撃者は、この脆弱性を利用してシステムに不正アクセスし、機密データを窃取する可能性がある。

    • SAPは2024年8月のセキュリティパッチパッケージで修正。

    • SAP BusinessObjects Business Intelligence Platformバージョン430および440に影響。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • SAPユーザーは、すぐに最新のセキュリティパッチを適用する。

    • IT管理者は、システムのセキュリティ監査を実施し、不正アクセスの兆候を確認する。

    • 定期的にシステムを更新し、脆弱性対策を徹底する。

  • その他

    • なし

  • ChatGPTの推奨事項

    • SAPシステムのユーザーは、速やかにパッチを適用して脆弱性を修正する。

Black Basta 関連の攻撃者が SystemBC マルウェアでユーザーを標的に

https://thehackernews.com/2024/08/black-basta-linked-attackers-targets.html

  • 要約

    • ランサムウェアグループBlack Bastaに関連する攻撃者が、北欧の企業を標的に攻撃を実行。

    • 資格情報の窃取とSystemBCと呼ばれるマルウェアドロッパーの展開を目的とした、「複数の侵入の試み」に関連付け。

    • 大量の電子メールを送り付けたうえで、サポートするふりをして電話をかけて偽の解決策を提供しようとする試みで始まる。被害者にAnyDeskをインストールするように誘導し、これを悪用して追加のペイロードの配布などを行う。

    • 他にも、SocGholish(別名FakeUpdates)、GootLoader、Raspberry Robinが2024年に最も多く観察されるローダー株として浮上し、ランサムウェアの踏み台として機能

    • れらのキャンペーンは、脅威アクターが偽の QR コードを悪意のある目的で使用するケースが増えている中で、ここ数週間で明らかになった一連のフィッシングやソーシャルエンジニアリング攻撃の一例に過ぎない。

  • IOCの列挙

    • IOC情報なし

  • 推奨事項

    • フィッシングメールへの警戒を強化し、従業員教育を実施する。

    • ネットワークの監視を強化し、異常な活動を早期に検知する。

  • その他

    • 攻撃は既に発生しており、Black Bastaという既知のランサムウェアグループに関連している。

  • ChatGPTの推奨事項

    • 侵入検知と防御体制を強化し、ランサムウェア攻撃への備えを強化する。

日本のインシデント事例

N/A

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか?