Google Chromeの致命的なゼロデイ脆弱性が緊急パッチを要求
1. 東南アジア政府への攻撃で捕らえ難いゲルセミウム・ハッカーが発見される
Gelsemium高度持続的脅威(APT)グループが、2022年から2023年にかけての6ヶ月間、東南アジアの政府を標的にしたサイバースパイキャンペーンで活発に観測されている。最近のレポートでは、新たなゲルセミウムキャンペーンが発見され、中程度の信頼性でハッカーにリンクされためったに見られないバックドアが採用されています。このキャンペーンは、インターネットに面したサーバーの脆弱性を利用して、Gelsemiumのターゲットにウェブシェルをインストールすることから始まります。
このレポートでは、「reGeorg」、「China Chopper」、「AspxSpy」といったよく知られたウェブシェルが使用されていることを強調しています。これらのウェブシェルは、ゲルセミウムのネットワーク偵察、サーバー・メッセージ・ブロック(SMB)を介した横移動、追加ペイロードの取得を可能にします。ゲルセミウムはまた、OwlProxy、SessionManager、Cobalt Strike、SpoolFool、EarthWormなど、横の動き、データ収集、権限昇格のための追加ツールも配備しています。
SQL インジェクション、クロスサイト・スクリプティング(XSS)、その他の一般的な脆弱性を防ぐために、入力検証、出力エンコーディング、パラメータ化されたクエリなど、Web アプリケーションのセキュリティのベストプラクティスを実装することを推奨します。さらに、このような高度な敵から防御するために、WAFを導入して、受信するWebトラフィックをフィルタリングし、悪意のあるリクエストをブロックする必要があります。
2. Googleが積極的に悪用されているゼロデイ脆弱性のためのパッチをリリース
Google Chrome に、任意のコードを実行される可能性のある深刻度の高いゼロデイ脆弱性(CVE-2023-5217)を含む複数の脆弱性が発見されました。この脆弱性は、libvpx ビデオコーデックライブラリの VP8 エンコーディングにおけるヒープバッファオーバーフローに起因します。この欠陥は、アプリケーションをクラッシュさせるものから、悪意のあるコードを実行させる可能性のあるものまで、重大な影響を及ぼします。
Google TAG(Threat Analysis Group)調査チームは、しばしば国家に支援されたハッカーやハッキンググループによって実行される標的型スパイ活動で悪用されるゼロデイ脆弱性を頻繁に特定し、報告していることで高い評価を得ています。このようなキャンペーンは通常、ジャーナリストや政治的野党の人物など、リスクの高い個人を標的としています。この特定の脆弱性を悪用したスパイウェア攻撃は、その深刻さを浮き彫りにしています。
これらのリスクを軽減するためには、利用可能なアップデートを速やかに適用し、強固な脆弱性管理プロセスを確立することが極めて重要です。
3. Microsoft SharePointサーバーの脆弱性向けのエクスプロイトチェーンが公開されました
Microsoft SharePoint Server に、認証されていないリモート・コードを実行される可能性のある 2 つの脆弱性が存在します。CVE-2023-29357 は、Microsoft SharePoint Server における特権昇格 (EoP) の脆弱性です。この脆弱性は、リモートの認証されていない攻撃者が、なりすました JSON Web Token (JWT) 認証トークンを脆弱なサーバに送信することで、認証済みユーザの権限を取得することで悪用される可能性があります。
一方、CVE-2023-24955 は、Microsoft SharePoint Server に影響を及ぼすリモートコード実行 (RCE) の脆弱性です。この脆弱性は、/BusinessDataMetadataCatalog/BDCMetadata.bdcm ファイルを置き換えることで、認証を受けたサイト所有者が影響を受ける SharePoint Server 上でコードを実行できるようにします。SharePointの脆弱性CVE-2023-29357を標的とした公開エクスプロイトスクリプトがGitHub上に出現しました。このスクリプトにより、攻撃者は侵害された SharePoint Server インストール上で特権を昇格させることが可能になります。さらに、悪意のある行為者は、EoP の脆弱性と RCE の脆弱性を連鎖させ、システムの機密性、完全性、可用性を著しく損なう可能性があります。
潜在的なセキュリティ侵害やデータ漏洩を抑制するためには、マイクロソフトが推奨するパッチと緩和策を迅速に実施することが極めて重要です。
4. Deadglyph:新しい高度なバックドアとその悪意のある戦術の探索
サイバーセキュリティ研究者は、中東を標的としたサイバースパイキャンペーンでStealth Falcon APTグループが採用していたDeadglyph(デッドグリフ)と名付けられた高度なバックドアを発見しました。Deadglyphのアーキテクチャ上の特殊性は、従来のマルウェアとは一線を画しています。Deadglyphは、ネイティブのx64バイナリと.NETアセンブリの2つの連携コンポーネントで構成されています。セキュリティを強化するため、これらのコンポーネントはマシン固有のキーを使用して暗号化されています。バイナリ内に従来のコマンドを埋め込む典型的なバックドアとは異なり、デッドグリフはC&Cサーバーから動的にコマンドを受け取ります。
Deadglyphは、3つのグループに分類される様々なタスクを実行することができます: オーケストレーター・タスク(ネットワークとタイマー・モジュールの管理)、エクゼキューター・タスク(プロセスの作成、ファイル・アクセス、システム・メタデータの収集を含む)、アップロード・タスク(コマンドの出力とエラーのアップロード)。永続性を確立するために、デッドグリフはシェルコードローダーを利用します。これは HTTPS POST リクエストを使用して C&C サーバーと通信するもので、検知とブロッキングのハードルを高め、防御側にとってその活動を阻止することをより困難にする手法です。
組織や個人は、このような脅威から身を守るために、警戒を怠らず、セキュリティ対策を更新し、ベストプラクティスに従わなければなりません。
5. 重大なlibwebpの脆弱性、積極的な悪用の対象となっています
Googleは、積極的な悪用の対象となっている重大なゼロデイ脆弱性に対するCVE識別子を発行しました。この脆弱性は、WebP形式で画像をレンダリングするために使用されるlibwebp画像ライブラリに影響を与えることが明らかになりました。具体的には、ハフマン符号化アルゴリズムから派生しています。ただし、libwebpは15ビットまでのコードをサポートしているため、BuildHuffmanTable()関数が二次レベルのテーブルを作成しようとすると問題が発生します。
この脆弱性にはCVE ID CVE-2023-5129が割り当てられ、libwebpにおける致命的な欠陥で、最大深刻度評価が10/10とされています。この変更は、libwebpオープンソースライブラリを使用する他のプロジェクトに重要な影響を与えます。正式にlibwebpの問題として認識されるようになったため、これはWebPにおけるヒープバッファオーバーフローを伴い、Google Chromeバージョン116.0.5845.187以前に影響を与えます。この脆弱性は、WebPコーデックを利用するすべてのソフトウェアに影響を与えます。これにはChrome、Firefox、Safari、Edgeなどの主要なブラウザも含まれます。
この脅威を軽減するためには、即座のアップデートが不可欠です。継続的な保護のために自動パッチ管理を実施することをお勧めします。