ベトナムのハッカー、DarkGateマルウェアを使って米国企業を標的に
1. Oktaのサポートシステム侵害が、認識されていない未確認のハッカーに顧客データを公開させる
身元確認サービスプロバイダーのOktaは、最近のセキュリティ侵害を明らかにしました。この侵害では、身元不明のハッカーが盗まれたログイン資格情報を使用して、サポートケース管理システムにアクセスしました。重要なのは、Auth0/CICケース管理システムには影響がないということです。ただし、このシステムにはハッカーが悪用できる、クッキーやセッショントークンなどの機密情報を含むHTTP Archive(HAR)ファイルが含まれています。
攻撃の1つでは、攻撃者はOktaのサポートシステムから盗まれた認証トークンを使用して、Oktaのインスタンスにアクセスし、管理特権を持つオープンセッションを利用しました。ハッカーはOktaプラットフォーム内の2つの別々の従業員アカウントを侵害しました。しかし、複雑さにもかかわらず、積極的な対応が効果的にシステムと顧客データを侵害から保護しました。
Oktaは、全ての顧客に対して、重要な資格情報やクッキー/セッショントークンの保護を確保するために、HARファイルを注意深くクリーニングすることを強く推奨しています。また、Oktaインスタンス内でのパスワードやMFA(多要素認証)設定の予期せぬ変更に対して警戒し、適切にモニターし、対応することが勧められています。
2. 重大なSolarWinds RCE(遠隔コード実行)バグにより、権限のないネットワークの乗っ取りが可能になります
セキュリティ専門家は、SolarWinds Access Rights Manager(ARM)ソフトウェア内に3つの重大な遠隔コード実行の脆弱性を特定しました。これらの脆弱性は、遠隔の攻撃者にSYSTEM特権でコードを実行する可能性を提供する可能性があり、これはWindowsシステムでの最も高いアクセス権です。これらの欠陥は、CVE-2023-35182、CVE-2023-35185、およびCVE-2023-35187として特定され、シリアライゼーションの問題と、ユーザーが提供したパスの適切な検証の不備に関与しています。
SolarWindsのAccess Right Managerで対処された残りのセキュリティ懸念事項は、致命的ではないものの、依然として高い深刻度のリスクを持っていました。これらの脆弱性は、認証後にホスト上で特権をエスカレートさせたり、任意のコードを実行したりするために攻撃者によって悪用される可能性があります。ベンダーは、Access Rights Managerのバージョン2023.2.1で提供されるパッチを使用して、すべての脆弱性に対処しました。
3. シスコがIOS XEの脆弱性に対するシリーズの最初のパッチをリリース
シスコは、ハッカーによってゼロデイ攻撃として利用された2つの脆弱性(CVE-2023-20198およびCVE-2023-20273)に対処するための無料ソフトウェアのアップデートをリリースしました。これらのセキュリティ問題では、50,000以上のシスコIOS XEデバイスに侵入されました。シスコは、これらの両脆弱性をCSCwh87343として追跡しており、これらはIOS XEソフトウェアを実行しているシスコデバイスのWebユーザーインターフェースに存在します。ハッカーが初期アクセスを得るために重大な欠陥を悪用し、その後「特権15コマンド」を実行して通常のローカルアカウントを作成したと述べています。
CVE-2023-20273を使用して、攻撃者は新しいローカルユーザーの特権をrootにエスカレーションさせ、ファイルシステムに悪意のあるスクリプトを導入しました。シスコは、デバイスのWebユーザーインターフェース(HTTPサーバー)機能がオンになっている場合、これらの2つの脆弱性が悪用される可能性があることに警告しており、これはip http serverコマンドまたはip http secure-serverコマンドを使用して可能です。
主な緩和策は、IOS XEのHTTPサーバーを無効にすることで、攻撃ベクトルを完全に排除することです。さらに、影響を受けるデバイスが最新で最も安全なソフトウェアバージョンに迅速に更新されるよう確認してください。
4. Dark Gateマルウェアがベトナムのハッカーによって米国の組織を標的に使用される
セキュリティ研究者は、イギリス(UK)、アメリカ(US)、およびインドの組織を標的にした複数のDarkGateマルウェアの感染試行の事例を確認しました。これらの攻撃は、悪名高いDucktail情報盗難者との関連があるベトナムのハッカーによるものです。DarkGateマルウェア攻撃は通常、Visual Basic Scriptを介して入手されるAutoItスクリプトを使用し、しばしばフィッシングメールやSkype、Microsoft Teamsなどのメッセージングプラットフォームを介して提供されます。
最近の事件では、『job description*.zip』ファイルを含むLinkedInメッセージを通じて被害者が標的にされ、これにより彼らはGoogle Drive上のコンテンツにリダイレクトされました。DarkGateとDucktailのハッカーは、似たような戦術と誘惑を使用しており、Ducktailは情報窃取者として機能し、一方、DarkGateは情報窃取能力を備えたリモートアクセストロイアン(RAT)として機能し、侵害されたホスト上で秘密の持続性を持っています。
このような攻撃を防ぐためには、すべてのオペレーティングシステム、ソフトウェア、およびファームウェアを最新のものに保ち、EDR(エンドポイント検出および対応)ツールを使用して、そのようなマルウェアの実行を検出および防止することが推奨されています。
5. CVE-2023-34048: VMwareがvCenter Serverの致命的な脆弱性に対するパッチを提供
VMwareは、vCenter Serverの致命的な脆弱性に対処するセキュリティ更新をリリースしました。この脆弱性は、それに対して脆弱なサーバーに対するリモートコード実行攻撃に悪用される可能性があります。脆弱性CVE-2023-34048は、DCE/RPCプロトコルの実装内での範囲外書き込みの脆弱性として説明されています。この種の脆弱性は、製品が意図されたバッファを超えてデータを書き込む場合に発生し、通常はデータの破損、システムのクラッシュ、またはコードの実行の可能性をもたらします。
ネットワークアクセスを持つ攻撃者は、この脆弱性を悪用して範囲外書き込みを引き起こす可能性があり、これがリモートコード実行につながるかもしれません。この脆弱性を標的とした攻撃で潜在的な悪用に関連する具体的なネットワークポートは、2012/tcp、2014/tcp、および2020/tcpです。
同社は、潜在的なセキュリティリスクを軽減するために、顧客に対してパッチを迅速に適用することを強く推奨しています。