Citrix NetScalerの欠陥を悪用したハッカーによる認証情報窃取
1. シスコ、緊急応答システムの重大な欠陥を修正する緊急パッチをリリース
Cisco は、Emergency Responder(緊急応答システム) に影響を及ぼす深刻なセキュリティ脆弱性を修正するための重要なアップデートを発表しました。この脆弱性は、ハードコードされた認証情報を悪用することで、無許可のリモート攻撃者が脆弱なシステムにアクセスすることを可能にします。この脆弱性は、CVE-2023-20101 として識別され、CVSS スコアは 9.8 です。この弱点を悪用すると、攻撃者はこれらの認証情報を利用してシステムに不正アクセスすることができます。いったん内部に侵入すると、root ユーザーの権限で任意のコマンドを実行できます。
Cisco 社は、社内のセキュリティテスト中に、攻撃者が認証をバイパスすることを可能にするこのハードコードされたクレデンシャルの脆弱性が発見されたことを明らかにしました。同社の製品セキュリティ・インシデント・レスポンス・チーム(PSIRT)は、まだCVE-2023-20101に関連する公開情報や悪意のある悪用の事例に遭遇していません。
必要なパッチを速やかに適用し、デフォルトの認証情報を変更し、強力なセキュリティ対策を実施することで、組織は悪用の可能性を大幅に減らすことができます。
2. マイクロソフトがSQL Serverインスタンス経由でクラウドへの侵入を試みるサイバー攻撃を警告
サイバー犯罪者が、SQLインジェクションを通じてMicrosoft SQL Serverの脆弱性を悪用し、クラウド環境に侵入しようとしていることが検知さ れました。マイクロソフトのセキュリティ専門家によると、この横移動の方法は、仮想マシン(VM)やKubernetesクラスタなど、さまざまなサービスを標的とした攻撃で以前に確認されているといいます。この攻撃は、標的となるアプリケーション内のSQLインジェクションの脆弱性を悪用することから始まり、攻撃者に最初のアクセスを提供します。その後、攻撃者はSQL Serverインスタンス(多くの場合、Azure仮想マシン上でホストされている)に移動します。憂慮すべきは、攻撃者が昇格したアクセス許可を取得し、SQL Serverを広範囲に制御できるようになることです。
攻撃者はサーバー内部で、データベースの詳細、テーブル名、スキーマ、ネットワーク設定、権限などの機密情報を組織的に抽出します。アクセスをエスカレートさせるために、攻撃者は「xp_cmdshell」を利用し、SQL経由でオペレーティング・システム・コマンドを実行し、シェル・アクセスを与える可能性があります。データの流出は「webhook.site」サービスを通じて行われますが、これは検知を避けるための型破りな方法です。攻撃者はまた、クラウドIDを悪用し、様々なクラウドリソースへのアクセスを得る可能性もあります。最後に、攻撃者はスクリプトを削除し、データベースの変更を消去することで、攻撃後のフォレンジックを困難にするなど、細心の注意を払って痕跡を消します。
このような脅威から身を守るために、組織はサイバーセキュリティに多面的なアプローチを採用する必要があります。これには、積極的なパッチ適用、強固なアクセス制御、クラウドネイティブなセキュリティソリューションの活用、継続的な監視、ユーザートレーニングなどが含まれます。
3. ランサムウェア「Medusa」、フィリピンの保健機関を攻撃でダークウェブでのデータ流出疑惑
フィリピンの国民皆保険制度を管理するフィリピン健康保険公社は、2023年9月、Medusaランサムウェア攻撃により、そのウェブサイトとポータルに支障をきたしました。身代金交渉が失敗した後、攻撃者は氏名、住所、連絡先、医療記録など、PhilHealth加入者の相当量の個人情報をダークウェブで公開しました。迅速に対応するため、情報通信技術省(DICT)、国家捜査局(NBI)、フィリピン国家警察(PNP)が協力し、攻撃の範囲を評価し、会員関連データを保護し、PhilHealthのオンライン・プラットフォームを一時的に停止しました。
ランサムウェアは封じ込められましたが、ハッカーは10月3日に盗まれたデータを公開しました。これらのデータは大容量のデータパッケージで、個人情報の盗用や詐欺活動などのリスクを潜在的にもたらす可能性があります。
こうした攻撃を防ぐためには、包括的なセキュリティアセスメントを実施し、2要素認証(2FA)または多要素認証(MFA)を有効にし、強力なパスワードを維持し、個人デバイスの制限を設け、堅牢なエンドポイントセキュリティを利用し、スタッフにセキュリティのベストプラクティスを教育し、使用しないときにはリモートアプリケーションを閉じるように強制することが推奨されます。また、セキュリティ専門家によってセキュリティ脅威に対応するために業界のベストプラクティスが適用された、24時間365日対応のマネージド検知および対応(MDR)サービスの検討も検討してください。
4. NetScalerの脆弱性を悪用したCitrixデバイスを狙ったサイバー攻撃
最近公表されたCitrix NetScaler ADCおよびGatewayデバイスの致命的な脆弱性が、ハッカーによって資格情報収集キャンペーンを実行するために悪用されています。CVSSスコアが9.8のCVE-2023-3519は、2023年7月にCitrixによって対処された重大な脆弱性で、コードインジェクションを含むものです。この脆弱性は非認証の遠隔コード実行を許す可能性があります。セキュリティ研究者は、敵対者が未修正のNetScaler Gatewaysを標的にするためにこの脆弱性を利用したと報告しており、この脆弱性を使用して認証ウェブページのHTMLコンテンツに悪意のあるスクリプトを挿入し、ユーザーの資格情報を収集しました。
攻撃者は、CVE-2023-3519の悪用を開始し、PHPベースのWebシェルを展開するために特別に作成されたWebリクエストを送信しました。このWebシェルは、その後、攻撃者が制御するインフラストラクチャ上にホストされたリモートJavaScriptファイルへの参照を含むカスタムコードをNetScaler Gatewayのログインページに追加するために使用されました。JavaScriptコードの目的は、認証時にユーザーが入力したユーザー名とパスワードを含むフォームデータを収集し、この機密情報をHTTP POSTメソッドを使用してリモートサーバーに送信することでした。
この脅威に対抗するために、組織は迅速にパッチを適用し、デバイスのデフォルトのログイン資格情報を変更することを強くお勧めします。組織は、インシデントの対処の一環として、証明書およびすべてのパスワードを変更することも検討すべきです。
5. Mirai DDoSマルウェアの亜種が13のルーター脆弱性を標的に拡大
IZ1H9 Miraiボットネットの亜種は、新たに13のエクスプロイトペイロードを備えて機能を拡張し、D-Link、TP-Link、ZyxelなどのメーカーのLinuxベースのルーター、IPカメラ、およびIoTデバイスを標的としています。これらのエクスプロイトは、2015年から2023年までの脆弱性を対象としており、Netis WF2419用のCVE-2019-19356やKorenix JetWaveルーター用のCVE-2023-23295など、コマンド実行の問題を含んでいます。
脆弱性が成功裏に悪用されると、ボットはシェルスクリプトダウンローダーを取得し、ログを消去するペイロードを展開します。その後、さまざまなシステムアーキテクチャで動作するように設計されたボットクライアントを取得します。これらのタスクを完了した後、ボットはコマンドアンドコントロール(C2)サーバーと通信を確立し、UDP、UDP Plain、HTTP Flood、TCP SYN攻撃など、さまざまなDDoS攻撃を実行できるようになります。
これらのリスクを軽減するために、タイムリーなパッチ適用、定期的なセキュリティアセスメント、堅牢なネットワークモニタリングが必要不可欠です。