マイクロソフトは8月11日、脆弱性「CVE-2020-1472」を公表しました。「Zerologon」と呼ばれるこの脆弱性は、攻撃者がドメインコントローラ(DC)に対して認証を試みる際、Netlogon認証プロセスで使用される暗号化アルゴリズムを利用し、コンピュータIDを偽装できると考えられます。このNetlogon Remote Protocol(MS-NRPC)の脆弱性により、攻撃者がネットワーク上のデバイスでアプリケーションを実行できる可能性があります。また未認証の攻撃者は、MS-NRPCを使用してDCに接続し、管理者権限へのアクセス権を取得します。既に攻撃実証コード(POC)が公開されており、いつ攻撃が発生してもおかしくない状態と言えます。攻撃が行われた場合、DCが乗っ取られるなど影響が大きいため、速やかな修正プログラム適用が推奨されます。「CVE-2020-1472」に対するパッチは2段階に分けて提供される予定であり、8月の月例セキュリティパッチではZerologon攻撃に対する一時的なパッチが含まれ、根本的なパッチは2021年2月に提供が予定されています。 (さらに…)
続きを読む2020年7月、F5Networksが提供する「BIG-IP」製品の2つの脆弱性が初めて公開されました。トレンドマイクロでは、この脆弱性の深刻度について理解を深めるため、本脆弱性およびその他の関連アクティビティの調査を行いました。この調査に関してはF5Networks側からご連絡、ご協力をいただいたことに感謝します。そしてこの調査の中で、モノのインターネット(IoT)を対象とするボット「Mirai」のダウンローダ(Trend Microでは「Trojan.SH.MIRAI.BOI」として検出)を確認しました。このダウンローダは露出した、つまりインターネット側からアクセス可能なBIG-IP製品を探し、公開された脆弱性の1つ「CVE-2020-5902」を利用して侵入、不正ペイロードの拡散を行います。また同時に既存の様々な脆弱性を利用することもわかりました。関連機器を使用するシステム管理者および個人は、各ツールに対して迅速にパッチを適用することを推奨します。 (さらに…)
続きを読むトレンドマイクロは、「Mirai」系IoTマルウェアの新しい亜種(「IoT.Linux.MIRAI.VWISI」として検出)を確認しました。この亜種は、「SORA」、「UNSTABLE」、「Mukashi」など過去数カ月の間に出現したMiraiから派生した亜種に新たに追加されるものとなります。この亜種は9つの脆弱性を利用する機能を備えていますが、中でも特にComtrend社製 VR-3033ルータの脆弱性(CVE-2020-10173)を利用対象に加えている点が注目されます。この脆弱性の利用は、過去のMiraiとその派生系の亜種では見られなかったものであり、IoTマルウェアを使用するサイバー犯罪者がマルウェアに新しい脆弱性を加えることによって、攻撃対象を拡大し続けていることを示しています。 (さらに…)
続きを読む2020年7月14日、Microsoft社は「パッチチューズデイ」と呼ばれるWindowsの定期アップデート「2020 年 7 月のセキュリティ更新プログラム」を公開しました。中でも、Windows DNSサーバのRCE(リモート遠隔コード実行)脆弱性「CVE2020-1350」は発見者のCheck Point社により「SIGRed」と命名され「ワーム活動に利用可能」な脆弱性として注視されています。 (さらに…)
続きを読むモノのインターネット(Internet of Things, IoT)の「モノ」、つまりIoT機器に搭載されている機能の多様性とその用途の範囲は、さまざまな産業や環境の改善に役立っています。家庭、工場、そして都市に利益が生みだされる一方で、IoT機器はセキュリティ上で脆弱性という形で想定外の脅威をもたらす可能性があります。
脆弱なIoT機器はセキュリティ上の弱点となり、ネットワーク経由での攻撃の可能性をサイバー犯罪者に開きます。多くのIoT機器は様々な便利な機能を実現するために、コンピュータ化しています。特定用途に使用されていた「機器」がコンピュータと出会ってネットワークに繋がったことにより、脆弱性などサイバー犯罪者がつけ入る隙が生まれた、ということです。 (さらに…)
続きを読むトレンドマイクロでは、オープンソースソフトである「Salt」の脆弱性を利用する不正コインマイナーを確認しました。Saltはソフトウェア開発企業「SaltStack」による、イベント駆動型のIT自動化やリモートでのタスク実行、および構成管理を可能にするオープンソースのソフトウェアです。Saltの管理フレームワークは、多くのデータセンターやクラウドサーバで使用されています。また、Saltはインフラをコード化して管理する「IaC (Infrastructure as Code)」を実現する構成管理ツールでもあり、DevOpsでも利用されます。今回利用されたSaltの2つの脆弱性は、2020年3月中旬、サイバーセキュリティ企業「F-Secure」のリサーチャによって公開されたものです。一つは、認証バイパスの脆弱性である「CVE-2020-11651」、もう一つはディレクトリトラバーサルの脆弱性である「CVE-2020-11652」です。これらの脆弱性は認証されていないリモートの攻撃者によって悪用される可能性があり、Salt Master 2019.2.3 と3000.1およびそれ以前のバージョンが影響を受けます。なお、これらの脆弱性に対処するために、SaltStackによるセキュリティ更新情報が既にリリースされています。
トレンドマイクロでは、このSaltに影響を与える2つの脆弱性とその修正パッチ、そして脆弱性を悪用するコインマイナーについて調査しました。 (さらに…)
続きを読むApache Tomcatに確認された「Ghostcat(ゴーストキャット)」の脆弱性、「CVE-2020-1938」および「CNVD-2020-10487」が論議を引き起こしています。この脆弱性が及ぼす影響について、とりわけ、Ghostcatがリモートコード実行(Remote Code Execution、RCE)に使用される可能性についてのリサーチャーによる調査結果が注目されています。
オープンソースの「Apache Tomcat」は、Java ServletやJavaServer Pages (JSP) を実行するためのサーブレットコンテナです。多くのユーザに利用されているため、確認されたGhostcatの脆弱性が深刻視されるのは当然のことと言えます。今回のブログ記事では、最も懸念されるGhostcat悪用のシナリオ、つまりこの脆弱性を利用することによってRCEが可能になり得るという、稀な状況を想定し、その深刻度について解説します。
続きを読む