今週の気になるセキュリティニュース - Issue #54

#54・
Weekly newsletter of Masafumi Negishi
73

issues

Subscribe to our newsletter

By subscribing, you agree with Revue’s Terms of Service and Privacy Policy and understand that Weekly newsletter of Masafumi Negishi will receive your email address.

Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi
事件、事故
韓国の暗号資産事業者 KLAYswap に対して 2/3 に BGP ハイジャック攻撃が行われ、利用者から約22億ウォン相当の暗号資産が盗まれる。
ウクライナの複数の Web サイトに対する DDoS 攻撃が発生
Netscout said its experts had seen floods of data packets reaching 5.2 gigabits per second - hundreds of times less powerful than what it said was the most powerful denial of service of 2021 which clocked in at 3.5 terabits per second.
 Проведення розподілених атак на відмову в обслуговуванні (DDoS) у відношенні веб-ресурсів українських банків та державних установ. В рамках дослідження, в тому числі, з урахуванням інформації від партнерів, визначено, що до здійснення атак, серед іншого, залучено бот-мережі Mirai (https://twitter.com/360Netlab/status/1493797519725367302) та Meris (шкідливий інформаційний потік спрямовується через тисячі зламаних маршрутизаторів Mikrotik та ряду інших IoT пристроїв з фільтрацією джерел за допомогою ACL, що дозволяє приховати згадані пристрої від пошукових систем на кшталт Shodan). Зазначене, з високим рівнем впевненості, дозволяє припустити, що для проведення атак використано наявні потужності зловмисників, що надаються як послуга (DDoS as a Service).
360 Netlab
We have been asked about if we see the Ukraine related DDos attacks, the answer is yes, mirai is behind it. and the C2 is located in Netherlands. https://t.co/bVHZInM3M5
Masafumi Negishi
IIJ のハニーポットでは 2/15 頃からウクライナの複数の Webサイトからの backscatter を多数観測。また同時に Mirai亜種(V3G4) による攻撃活動も確認しており、関連があると考えられます。(攻撃パケットの送信元アドレスが詐称されているため、世界中の観測システムで SYN-ACK パケットが確認される) https://t.co/D630EavT8m
広島県セキュリティクラウドに対する DDoS 攻撃が発生
2 月 16 日(水)9 時 17 分から,広島県及び県内市町のインターネット接続点である広島県セキュリティクラウドに対するサイバー攻撃(DDoS 攻撃:Distributed Denial of Service attack(分散サービス停止攻撃))が 30 分から 1 時間ごとに断続的に繰り返される状況が現在も継続しており,県及び市町のホームページの閲覧に支障が生じています。
攻撃、脅威
米国防関連企業に対するロシアからの攻撃活動について、NSA、FBI、CISA が共同で注意喚起
CISA, the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) have released a joint Cybersecurity Advisory (CSA) highlighting regular targeting of U.S. cleared defense contractors (CDCs) by Russian state-sponsored cyber actors. These CDCs support contracts for the U.S. Department of Defense and Intelligence Community. The CSA provides incident response and remediation recommendations as well as mitigations to reduce the risk of compromise.
Initial Access Brokers (IABs) の活動とランサムウェアによる攻撃との関連性について Kela の分析記事
KELA managed to identify 10% of victims based on characteristics shared by IABs who usually do not name their victims in order to prevent enterprise defenders from discovering a threat.
On average, a network access sales cycle takes 1-3 days.
When bought by a ransomware affiliate or middleman, the access leads to a successful ransomware attack and naming the victim on a blog within 1 month on average.
At least 5 ransomware operations, most of them managed by Russian-speaking actors, are buying access from IABs and using them in their attacks: LockBit, Avaddon, Darkside, Conti, and KELA describes 5 attacks carried out by these groups that apparently started with a deal with an Initial Access Broker.
脆弱性
Adobe Commerce と Magento にリモートコード実行可能な脆弱性。すでに悪用が確認されている。
Adobe has released security updates for Adobe Commerce and Magento Open Source. These updates resolve a vulnerability rated critical. Successful exploitation could lead to arbitrary code execution.
Adobe is aware that CVE-2022-24086 has been used in very limited attacks targeting Adobe Commerce merchants. Adobe is not aware of any exploits in the wild for the issue addressed in this update (CVE-2022-24087).
PT SWARM
🔥 We have reproduced the fresh CVE-2022-24086 Improper Input Validation vulnerability in Magento Open Source and Adobe Commerce.

Successful exploitation could lead to RCE from an unauthenticated user. https://t.co/QFXd7M9VVO
PT SWARM
⚡️We have successfully bypassed the patch for RCE in Magento Open Source and Adobe Commerce (CVE-2022-24086), and have sent the report to Adobe (we weren't the first). The new CVE-2022-24087 was issued. Hotfix is available now.

Patch ASAP! https://t.co/G6j7nGkld9
Google Chrome にゼロデイ脆弱性
This update includes 11 security fixes. Below, we highlight fixes that were contributed by external researchers. Please see the Chrome Security Page for more information.
[$15000][1290008] High CVE-2022-0603: Use after free in File Manager. Reported by Chaoyuan Peng (@ret2happy) on 2022-01-22
[$7000][1273397] High CVE-2022-0604: Heap buffer overflow in Tab Groups. Reported by Krace on 2021-11-24
[$7000][1286940] High CVE-2022-0605: Use after free in Webstore API. Reported by Thomas Orlita  on 2022-01-13
[$7000][1288020] High CVE-2022-0606: Use after free in ANGLE. Reported by Cassidy Kim of Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. on 2022-01-17
[$TBD][1250655] High CVE-2022-0607: Use after free in GPU. Reported by 0x74960 on 2021-09-17
[$NA][1270333] High CVE-2022-0608: Integer overflow in Mojo. Reported by Sergei Glazunov of Google Project Zero on 2021-11-16
[$NA][1296150] High CVE-2022-0609: Use after free in Animation. Reported by Adam Weidemann and Clément Lecigne of Google’s Threat Analysis Group on 2022-02-10
[$TBD][1285449] Medium CVE-2022-0610: Inappropriate implementation in Gamepad API. Reported by Anonymous on 2022-01-08
We would also like to thank all security researchers that worked with us during the development cycle to prevent security bugs from ever reaching the stable channel.
Google is aware of reports that an exploit for CVE-2022-0609 exists in the wild.
その他
Apple が AirTag の追跡機能に関するアップデートを発表
ブラウザのバージョン番号が 3桁の数字 (100) になったときに起こりうる問題点について Mozilla の解説記事
Chrome and Firefox will reach version 100 in a couple of months. This has the potential to cause breakage on sites that rely on identifying the browser version to perform business logic. This post covers the timeline of events, the strategies that Chrome and Firefox are taking to mitigate the impact, and how you can help.
Google が Android 向けのプライバシーサンドボックスの取り組みについて発表
そこで Google は、プライバシー保護をより優先する新しい広告ソリューションの提供のために、複数年に渡り Android 向けのプライバシーサンドボックス(英語)に取り組んでいくことを本日発表します。具体的には、Android 向けのプライバシー サンドボックスは、広告 ID などの複数アプリ共通の識別子を使用することなく、利用者データのサードパーティとの共有を制限します。私たちは、アプリをより安全に広告 SDK と統合する方法など、利用者のデータが密かに収集されるリスクを低減するための技術開発も進めています。
Did you enjoy this issue? Yes No
Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi

Security Researcher, IIJ-SECT, SANS Instructor in Japan, OWASP Japan Advisory Board, WASForum Hardening Project, 子供たちが安心して使える安全なネット社会を実現したいですね。

In order to unsubscribe, click here.
If you were forwarded this newsletter and you like it, you can subscribe here.
Created with Revue by Twitter.