PHPの脆弱性(CVE-2024-4577)を狙う攻撃について | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について ~ネットワーク貫通型攻撃に注意しましょう~」脚注1、今年4月に公開した「アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ~Adobe ColdFusion の脆弱性(CVE-2023-29300)を狙う攻撃~」脚注2 で注意を呼び掛けています。 そのような中、IPA では、The PHP Group が提供する PHP の脆弱性 (CVE-2024-4577) を悪用した攻撃による被害を確認しています。具体的には、国内の複数組織においてこの脆弱性が悪用され
Googleが提供するウェブブラウザの「Google Chrome」には、ブラウジングを便利にするさまざまな拡張機能を追加できる「Chromeウェブストア」が存在します。スタンフォード大学のセキュリティ専門家チームが、Chromeウェブストアから入手した拡張機能が原因で、数億人ものユーザーがマルウェアに感染していることを報告しています。 [2406.12710] What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions https://arxiv.org/abs/2406.12710 Security experts find millions of users running malware infected extensions from Google Chrome Web
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
Go, Ruby, Rust等の言語に存在した、Windows環境でコマンドインジェクションを引き起こす脆弱性"BatBadBut" - Flatt Security Blog
※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアkoyuriが日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドインジェクションを実行できる、いくつかのプログラミング言語に対する複数の脆弱性を報告しました。 本日(2024/04/09(訳者注: これは英語版記事の公開日です))、影響を受けるベンダーがこれらの脆弱性に関するアドバイザリーを公表しました。 その影響は限定的なもののCVSSスコアは非常に高く、混乱が予想されるため、脆弱性に関する詳細を本記事にまとめます。 はじめに TL;DR CVSSスコア 技術詳解 根本原因 CreateProcessのラッパー cmd.exeのパース規則
JPCERT/CCでは、2024年3月にKimsukyと呼ばれる攻撃グループによる日本の組織を狙った攻撃活動を確認しました。今回は、その攻撃手法について紹介します。 攻撃の概要 確認した攻撃では、安全保障・外交関係の組織をかたって標的型攻撃メールが送信されていました。メールには圧縮ファイルが添付されており、展開すると以下のような2重拡張子になっている複数のファイルが格納されています。(ファイル名は省略) (1) [省略].docx[大量のスペース].exe (2) [省略].docx[大量のスペース].docx (3) [省略].docx[大量のスペース].docx 末尾の拡張子を隠蔽するために、ファイル名には大量のスペースが含まれており、最終的に(1)のEXEファイルを実行することでマルウェアに感染します。図1は、EXEファイル実行後の流れです。 図1: EXEファイル実行後の流れ なお
【セキュリティ ニュース】OpenSSHの「regreSSHion」レビュー時にあらたな脆弱性見つかる(1ページ目 / 全1ページ):Security NEXT
OpenSSHにあらたな脆弱性が判明した。「regreSSHion」をレビューする過程で発見されたもので、旧バージョンが影響を受けるという。 リモートよりコードの実行が可能となる「CVE-2024-6409」が公表されたもの。2021年にリリースされた「OpenSSH 8.8」および「同8.7」が影響を受けるという。 別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」を調査する過程で発見され、調整を経て現地時間7月8日に公表された。 「CVE-2024-6387」と同じくシグナルハンドリングの競合状態に関する脆弱性としており、非同期に安全ではない関数が呼び出されるおそれがある。「CVE-2024-6387」に比べて権限が低い子プロセスで引き起こされる問題とし、発見者は即時に大きな影響を与えるものではないと説明している。 CVE番号を採番したRed Hatでは共
JPCERT-AT-2024-0013 JPCERT/CC 2024-06-25 本注意喚起の公開直前に、国内組織のサイバー攻撃被害に関する報道が出ていますが、本注意喚起との関係はありません。 I. 概要2023年5月に重要インフラなどを狙う「Volt Typhoon」の攻撃活動が公表されて以来、Living off the Land戦術を用いて長期間・断続的に攻撃キャンペーンを行うAPTアクターの活動に対して警戒が高まっています。JPCERT/CCでは2023年から日本の組織も狙う同様の攻撃活動(Operation Blotless)を注視しており、同攻撃キャンペーンの実行者はマイクロソフト社などが示すVolt Typhoonと多くの共通点があると考えていますが、Volt Typhoonによる攻撃活動だけなのか、これ以外に同様の戦術を用いる別のアクターによる活動も含まれているのか、現時点
【セキュリティ ニュース】WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因(1ページ目 / 全1ページ):Security NEXT
WordPress向けの複数プラグインに不正なコードが挿入された問題で、WordPress.orgは、侵害された複数のアカウントより、プラグインの改ざんが行われたことを明らかにした。 他ウェブサイトより流出したユーザー名やパスワードを組み合わせたパスワードリスト攻撃を受け、プラグインの開発に参加するコミッターのアカウント5件が不正アクセスを受けたという。 攻撃者はこれら侵害したアカウントを通じて悪意のある更新を行い、「BLAZE Retail Widget」「Contact Form 7 Multi-Step Addon」「Simply Show Hooks」「Social Sharing Plugin – Social Warfare」「Wrapper Link Elementor」といったプラグインで改ざん被害が発生した。 同問題を受けてWordPress.orgでは、プラグイン所有者
JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR(2022年ごろから使用)を使用する攻撃グループMirrorFace(Earth Kashaとも呼ばれる)の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1:攻撃グループMirrorFaceの攻撃活動タイムライン (JPCERT/CCへの報告や他のベンダーから公開されているレポート[
Oracle Java の脆弱性対策について(2024年7月) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
MyJVNバージョンチェッカで最新バージョンのソフトウェアをチェックする 概要 2024年7月17日(日本時間)に Oracle Java に関する脆弱性の修正プログラムが公表されています。 これらの脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。 攻撃が行われた場合の影響が大きいため、早急に修正プログラムを適用して下さい。 対象 サポートされている以下の Oracle 製品が対象です。 Oracle Java SE 22.0.1 Oracle Java SE 21.0.3 Oracle Java SE 17.0.11 Oracle Java SE 11.0.23 Oracle Java SE 8 Update 411-perf Oracle Java SE 8 Update 411 対策
【セキュリティ ニュース】Phoenix製「UEFI」に脆弱性 - TPM保護を回避されるおそれ(1ページ目 / 全2ページ):Security NEXT
パソコンやサーバにおいて起動制御に用いられるPhoenix Technologies製のファームウェア「UEFI(Unified Extensible Firmware Interface)」に脆弱性が明らかとなった。 「CVE-2024-0762」は、「TPM(Trusted Platform Module)」を構成する変数処理のコードに明らかとなった脆弱性で、バッファオーバーフローが生じるおそれがある。脆弱性を発見、報告したEclypsiumは、「UEFIcanhazbufferoverflow」と名付けている。 Eclypsiumによれば、当初Lenovoの一部機種において脆弱性を発見したが、その後、特定のIntelプロセッサファミリにおいて実行される「Phoenix SecureCore UEFIファームウェア」に影響があることが判明したという。 具体的には「AlderLake」「
6月27日、KADOKAWA及びドワンゴが運営する「ニコニコ動画」が大規模サイバー攻撃をうけた件に関し、「BlackSuit(ブラック・スーツ)」を名のるハッカー集団が犯行声明を出しました。また、犯行声明の発表と同時に、盗み出した2社の社内情報を一部流出させています。 ダークウェブに出された犯行声明によると、KADOKAWAのネットワークには約1か月前に侵入したこと、そしてドワンゴ、ニコニコ、KADOKAWAなどのネットワークを暗号化し、約1.5TBのデータをダウンロードしたと主張しています。また交渉がうまく行かない場合には7月1日に、入手した情報を公開するという脅しも。 犯行声明や、ネットワークの暗号化、そしてデータの人質に、情報の一部流出。こうした手口は被害者に対してより圧力をかけるためにハッカー集団が使う手口ではあります。 しかし、「BlackSuit」の活動が最初に確認されたのは2
【セキュリティ ニュース】WordPress向け複数プラグインにバックドア - 侵害状況の確認を(1ページ目 / 全1ページ):Security NEXT
WordPress.orgのプラグインディレクトリで公開されていた複数のプラグインにバックドアが挿入されていたことがわかった。対象となるプラグインを利用していた場合は利用を一時中止し、侵害を受けていないか確認するよう注意が呼びかけられている。 DefiantのWordfenceが明らかにしたもの。複数のプラグインがソースコードを改ざんされ、悪意あるPHPスクリプトが挿入されていることを確認したという。 悪意あるコードの存在が確認されたプラグインは、「BLAZE Retail Widget」「Contact Form 7 Multi-Step Addon」「Simply Show Hooks」「Social Sharing Plugin – Social Warfare」「Wrapper Link Elementor」の5製品。 侵害されたプラグインを利用すると、バックドアによってデータベー
CentOS 7と脆弱性
企業がセキュリティ事故から身を守るためには「脆弱性と EOL(End Of Life: サポート終了)」にも気をつける必要があります。その中でも特に多くの企業で Red Hat Enterprise Linux の代替として使われている「CentOS Linux(以下、CentOS)」の EOL と脆弱性について説明します。 1. CentOS 7 の EOL は 2024 年 6 月 CentOS にも当然 EOL がありますが、中でも CentOS 7 は 2024 年 6 月 30 日で EOL を迎えます。 それ以降は、重大な脆弱性が発見されても開発本家のセキュリティアップデートが提供されなくなります。 一口に「セキュリティアップデートが提供されなくなります」と言っても、どれくらいの影響があるのか判断しにくいと思います。そこで実際に、2021 年〜2023 年に公開された脆弱性がど
【セキュリティ ニュース】セミナー事務局のメルアカからスパム送信、原因を調査 - 広島県(1ページ目 / 全2ページ):Security NEXT
広島県は、同県が主催するセミナーの事務局において、メールアカウントが不正アクセスを受けたことを明らかにした。フィッシングメールなど意図しないメールを送信するための踏み台に悪用されたという。 同県によれば、同県委託先のセミナー事務局で使用するメールアカウントが不正アクセスを受け、6月13日6時4分から7時7分までの約1時間に大量の迷惑メールを送信されたもの。 送信件数や送信されたメールなど詳細は不明。エラーのため戻ったメールを確認したところ、「PayPal」のブランドを悪用した英文によるフィッシングメールだった。 同日7時17分にサーバで異常を検知。メールアカウントのパスワードを強制的に変更。9時に委託先が不正アクセスを確認し、メールアカウントのパスワードを再設定している。 6月25日の段階で、アカウントを侵害された原因の特定には至っていない。関係者におけるフィッシングの被害やマルウェア感染
【セキュリティ ニュース】セキュリティベンダーも脆弱性「regreSSHion」の影響を調査(1ページ目 / 全1ページ):Security NEXT
「OpenSSH」に別名「regreSSHion」と名付けられた脆弱性「CVE-2024-6387」が明らかとなった問題で、同脆弱性の影響についてセキュリティベンダーからもアナウンスが行われている。 Palo Alto Networksでは、同社ファイアウォール製品が搭載する「PAN-OS」について、「CVE-2024-6387」の影響を受けないと説明。ソフトウェアのアップデートなどは必要ないとしている。 一方SonicWallでは、同社のファイアウォールやウェブアプリケーションファイアウォール(WAF)、メールセキュリティ製品、リモートアクセス製品などにおいて脆弱性の影響を調査中であるとアナウンスしている。 (Security NEXT - 2024/07/02 ) ツイート
Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのか ~将来の攻撃に備えるThreat Huntingのアプローチについて考える~ - JPCERT/CC Eyes
はじめに 2024年6月25日、JPCERT/CCからVolt Typhoonの攻撃活動に関する注意喚起を発行しました。 重要インフラを狙う長期的な攻撃キャンペーンのインパクトやその戦術に注目が集まるところ、こうした脅威にどのようなアプローチで対応していけばよいのか考えてみたいと思います。 JPCERT/CC Operation Blotless攻撃キャンペーンに関する注意喚起 https://www.jpcert.or.jp/at/2024/at240013.html インディケータ情報依存からの脱却の必要性 今年の5月に開催されたRSAカンファレンスにて、FBI、NSA、CISA、Microsoftの各担当者がVolt Typhoonに関する共同セッションを行いました。 この発表において、NSAの担当者であるAdamski氏は、Volt Typhoonに関するNSAやCISAのアドバイ
【セキュリティ ニュース】ドメインやホスティングが停止すると不安煽るフィッシングに警戒を(1ページ目 / 全1ページ):Security NEXT
ドメイン登録サービスやホスティングサービスの事業者を装い、提供中のサービスが停止するなどと不安を煽って偽サイトへ誘導し、アカウント情報などをだまし取るフィッシング攻撃が確認されている。 GMOインターネットグループによれば、同社サービス「お名前.com」を装い、「支払いの問題でドメインが停止した」「ホスティングの自動更新に失敗した」などとあたかも利用するサービスが停止したかのようにだまして不安を煽り、偽サイトへ誘導するフィッシング攻撃が確認されているという。 同社に限らず、同様のサービスを展開している他社に対しても類似した攻撃が展開されているとし、同社はサービスの利用者に注意を呼びかけた。 ひとたびインターネットサービスのアカウントを侵害されると、アカウント内の情報を窃取されたり、データの改ざん、破壊、攻撃の踏み台として悪用されるなど、さまざまな被害へ発展する可能性がある。 インターネット
【セキュリティ ニュース】システムの仕様を知らずメール誤送信が発生 - 東京都福祉保健財団(1ページ目 / 全1ページ):Security NEXT
東京都福祉保健財団は、研修受講者へメールを送信した際、メールアドレスが流出したことを明らかにした。 同財団によれば、7月8日に担当者が研修受講者472人にメールを送信した際、メールアドレスが宛先として設定され、流出したもの。 メール送信にあたり、研修で使用するシステムの「お知らせ機能」にあった「メール送信機能」をはじめて使用。他担当者の確認を経て案内メールを送信したものの、「お知らせ」機能は宛先欄にメールアドレスを挿入するしくみだった。 流出後にシステム会社に確認したことで宛先にメールアドレスが設定される仕様であることを把握したという。 同財団では、対象となる受信者に謝罪。誤送信したメールの削除を依頼した。研修時にあらためて謝罪を行っている。 今回の問題を受けて、今回利用した送信機能を廃止。他機能に関してもセキュリティ上のリスクがないか検証するとしている。 (Security NEXT -
【セキュリティ ニュース】「Joomla」にセキュリティアップデート - XSS脆弱性を修正(1ページ目 / 全1ページ):Security NEXT
コンテンツマネジメントシステム(CMS)である「Joomla」の開発チームは、複数の脆弱性を解消したセキュリティアップデートをリリースした。 現地時間7月9日に、脆弱性5件やバグへ対処した「同5.1.2」「同4.4.6」をリリースしたもの。 今回判明した脆弱性は、いずれもコア部分におけるクロスサイトスクリプティング(XSS)の脆弱性としており、2月から6月にかけて報告を受けたという。 重要度を見ると、「CVE-2024-21729」「CVE-2024-21731」「CVE-2024-26278」「CVE-2024-26279」の4件については、4段階中、上から3番目にあたる「中(Moderate)」とし、「CVE-2024-21730」は1段階低い「低(Low)」とした。 (Security NEXT - 2024/07/12 ) ツイート
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Chromeウェブストアの拡張機能が原因でマルウェアに感染しているユーザーは数億人に上ることが判明
日本の組織を狙った攻撃グループKimsukyによる攻撃活動 - JPCERT/CC Eyes
Operation Blotless攻撃キャンペーンに関する注意喚起
攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes
ニコニコを攻撃した「BlackSuit」とは?「史上最悪」の遺伝子を受け継ぐ手口 | おたくま経済新聞