Daily Security Info - 2024/09/18
Tools
N/A
malware campaign
スラッシュ「/」5つの行をコメントアウトから戻して実行するように組み込み。
「WindowsInstaller.Installer」を悪用して悪性のMSIをインストール。
接続先: hxxp[://]193.203.203[.]40/vfs[.]msi
security report
N/A
cybercrime topics
N/A
日々のニュース要約
ハッカーが8700万件のデータ記録を盗んだと主張した後、Temuは侵入を否定
要約
2024年9月17日、ハッカーがTemuから8,700万件の顧客情報を盗んだと主張し、ハッキングフォーラムでデータを販売しようとした。
ハッカーは、盗まれたとされるデータのサンプルとして、ユーザー名、氏名、生年月日、配送先住所、ハッシュ化されたパスワードなどを公開した。
これに対し Temu は、データ侵害を否定し、公開されたデータが自社のシステムのものではないと主張した。
ハッカーはその後もTemuのシステムにアクセスできると主張。ただし、その証拠は示されていない。
Temuは、中国発の急成長中のeコマースプラットフォームであり、世界中で事業を展開。
追記
ChatGPT応答しないため、要約のみ
BroadcomがVMware vCenter Server の重大なRCEバグを修正
要約
Broadcom社は、サーバー上でリモートコード実行が可能であるVMware vCenter Serverの重大な脆弱性を修正した。
この脆弱性(CVE-2024-38812)は、TZLのセキュリティ研究者によって、中国の2024年マトリックスカップハッキングコンテスト中に報告。
この脆弱性の悪用条件。
認証不要
ユーザーインタラクション不要
低複雑度
リモートから攻撃可能
特別に細工されたネットワークパケットをvSphere管理コンポーネントとインターフェースに送信することにより、エクスプロイト。
管理者は、vSphere管理コンポーネントとインターフェース(ストレージとネットワークコンポーネントを含む)へのネットワーク境界アクセスを厳密に制御する必要がある。
このRCEバグが現在攻撃に悪用されているという証拠は確認されていない。
セキュリティパッチは、標準のvCenter Serverアップデートメカニズムを通じて提供。
追記
ChatGPT応答しないため、要約のみ
建設業界の企業を標的とした会計ソフトウェアへのブルートフォース攻撃。既に被害も発生。
要約
ハッカーは、建設業界で広く使用されているFoundation 会計サーバーの特権アカウントのパスワードを総当たり攻撃し、企業ネットワークに侵入を試行。
攻撃者は、公開されているMicrosoft SQL Server (MSSQL)を悪用し、デフォルトの資格情報を使用してMSSQLアカウントへのアクセスを試みる。
Huntressは、保護下にある300万台のエンドポイントのうち、対象となる会計ソフトウェアを実行しているホストが500台あり、そのうち33台はデフォルトの管理者資格情報で MSSQLデータベースを公開していた。
Foundation は、この問題はオンプレミス版のアプリケーションのみに影響を与え、クラウドベースの製品には影響を与えないと回答。
Huntressは、Foundationの管理者に対し、アカウントの資格情報をローテーションし、必要がない場合はMSSQLサーバーを公開しないように推奨。
追記
ChatGPT応答しないため、要約のみ
AT&T、2023年のデータ侵害でFCCに1300万ドルの和解金を支払う
要約
2023年1月、AT&Tの顧客約900万人分のデータが、パーソナライズされた動画コンテンツを生成する契約ベンダーのクラウド環境から漏洩。
漏洩したデータには、顧客の氏名、無線アカウント番号、電話番号、メールアドレスなどの顧客専用ネットワーク情報(CPNI)が含まれていた。
FCCの調査の結果、AT&Tはベンダーによる契約上の義務の遵守を適切に監視していなかったことが判明。
ベンダーは契約終了後、顧客データを破棄または返却する義務があったが、それを怠っていた。
AT&Tは、FCCの調査を受けて、将来同様のベンダーによるデータ漏洩から顧客の機密データを保護するため、データガバナンスの強化に合意。
和解の一環として、AT&Tは1,300万ドルの支払いと以下の取り組みで合意した。
包括的な情報セキュリティプログラムの実施
ベンダーと共有するデータを追跡するためのデータインベントリプロセスの改善
顧客情報の保持および廃棄に関する規則のベンダーによる遵守の徹底
AT&Tによるこれらの要件の遵守を評価するための年次コンプライアンス監査の実施
FCCは、この和解は、通信事業者が顧客データのプライバシーとセキュリティを保護する義務を負っていることを明確に示すものであると述べた。
追記
ChatGPT応答しないため、要約のみ
CISA、ソフトウェア開発者にXSS脆弱性の排除を促す
要約
CISAとFBIは、ソフトウェア開発者にクロスサイトスクリプティング(XSS)脆弱性の排除を呼びかけた。
XSSは適切な入力検証の欠如によって発生し、データの盗難や不正利用を招く。
CISAは、入力の構造と意味を検証し、現代的なウェブフレームワークを使用することを推奨している。
適切なエスケープやクォートのために、組み込みの出力エンコーディング機能を備えた最新のWebフレームワークを使用することも推奨した。
この警告は、広く知られた脆弱性を対象としたCISAの「Secure by Design」シリーズの一環である。
XSSは2021~2022年の危険なソフトウェア脆弱性ランキングで2位に位置している。
IOCの列挙
IOC情報なし
推奨事項
入力の構造と意味を検証する
モダンなウェブフレームワークを使用し、出力エンコーディングを行う
コードレビューと敵対的なテストを行う
その他
なし
ChatGPTの推奨事項
入力の適切な検証とサニタイズを今すぐ実施する
ランサムウェア集団がMicrosoft Azureツールを悪用しデータ窃取を実施
要約
ランサムウェア集団がMicrosoft Azure Storage ExplorerとAzCopyを使い、盗んだデータをAzure Blobに保存。
Azureは企業に信頼されているため、検出を回避しやすい。
調査員はAzCopyのログを利用して窃取データを追跡。
IOCの列挙
IOC情報なし
推奨事項
AzCopyの実行の監視
Azure Blob Storageエンドポイント「.blob.core.windows.net」またはAzure IPレンジへのアウトバウンドトラフィックの監視
重要なサーバー上のファイルのコピーまたはアクセスにおける異常なパターンのアラームの設定
その他
なし
ChatGPTの推奨事項
Azureでのデータ転送を監視する
PKfailセキュアブートバイパス、2か月経過しても依然として大きなリスク
要約
PKfail(CVE-2024-8105)は、テスト用のセキュアブートキーを悪用し、UEFIマルウェア攻撃を可能にする脆弱性。
この脆弱性は、コンピューターベンダーがセキュアブートマスターキーを安全なキーに交換しなかったために発生。ストキーが多数のデバイスで使用されるようになっていた。
これらのテストキーは漏洩しており、攻撃者がセキュアブート保護を回避して、検出不可能なUEFIマルウェアをシステムに仕込むために使用される可能性がある。
Binarlyの調査によると、テスト済みのファームウェアイメージの約9%が、公開されているか、データ侵害で漏洩した暗号鍵を使用。
脆弱なデバイスで、PKfailに対処するためにパッチまたはファームウェアアップデートをリリースされているものは、早急なアップデートが推奨される。
IOCの列挙
IOC情報なし
推奨事項
最新のBIOSアップデートを適用
その他
攻撃は既に確認済み
ChatGPTの推奨事項
BIOSを最新のバージョンに更新する
1,000以上のServiceNowインスタンスが企業のKBデータを漏洩
要約
1,000以上のServiceNowインスタンスが誤設定により企業のナレッジベース(KB)データを漏洩。
漏洩データにはPIIやシステム情報、認証情報が含まれていた。
設定ミスにより、未認証の外部ユーザーでもデータにアクセス可能。
AppOmniは、SecureNow管理者が、適切な「ユーザー基準」(読み取り可能/読み取り不可)を設定し、KB記事を保護することを提案。
またはKBへの公開アクセスが明示的に必要ない場合は、記事がインターネットからアクセスできないようにオフにする必要がある。
IOCの列挙
IOC情報なし
推奨事項
認証が必要なユーザークライテリア設定を適用
パブリックアクセスを無効化
その他
なし
ChatGPTの推奨事項
誤設定されたインスタンスを直ちに確認し修正する
日本のインシデント事例
その他のメモ
N/A