今週の気になるセキュリティニュース - Issue #6

#6・
Weekly newsletter of Masafumi Negishi
36

issues

Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi
事件、事故
Salesforce の設定不備による不正アクセスの被害公表まだまだ続く…
Accellion FTA の脆弱性による被害事例もまだ続く…
監視カメラのサービスを提供する Verkada が外部から不正アクセスを受け、Tesla や Cloudflare など多数の顧客に影響。攻撃を行ったハッカー Tillie Kottmann はスイスで法執行機関による家宅捜索を受けた。また Twitter アカウントは停止されている。
フランスのストラスブールにある OVHcloud のデータセンター SBG2 で火災が発生。数百万サイトの顧客に影響。現在調査中だが、直前にメンテナンスを行った UPS 設備が原因の可能性あり。
Octave Klaba
We have a major incident on SBG2. The fire declared in the building. Firefighters were immediately on the scene but could not control the fire in SBG2. The whole site has been isolated which impacts all services in SGB1-4. We recommend to activate your Disaster Recovery Plan.
Octave Klaba
Update 11 mars 16h40
It's too slow to give you all the information with just 280 chars. Here, my video with 8min of information we have today.
https://t.co/qjm3Vs0Ho2 https://t.co/xTb09wmXJ0
Rust
Update:
We've confirmed a total loss of the affected EU servers during the OVH data centre fire. We're now exploring replacing the affected servers.

Data will be unable to be restored.
Costin Raiu
Out of the 140 known C2 servers we are tracking at OVH that are used by APT and sophisticated crime groups, approximately 64% are still online. The affected 36% include several APTs: Charming Kitten, APT39, Bahamut and OceanLotus.
攻撃、脅威
フィンシングメールの誘導先として、Google ドキュメントを利用する攻撃事例が見つかる
SolarWinds 関連続報。SUNBURST によるサプライチェーン攻撃 (ロシアによる活動とされる) とは別に、Web シェル (SUPERNOVA) による攻撃活動について以前から報告されていたが、Secureworks がこの活動について中国の攻撃グループとの関連性を指摘。
GandCrab ランサムウェアのアフィリエイトの一人が韓国で逮捕。GandCrab は 2019年 6月頃にすでに活動を停止しており、逮捕容疑も 2019年 2-6 月の活動に関して。また別のアフィリエイトが 2020年 8月にベラルーシで逮捕されている。
脆弱性
Microsoft Exchange Server の脆弱性に関する続報多数
  • Microsoft は新たにパッチをリリースし、最新の CU を適用していなくても対応可能にした
  • Volexity はブログの内容を更新し、SSRF 脆弱性 (CVE-2021-26855) による攻撃を最初に観測したのは 1/6 ではなく 1/3 からと修正 (つまり 1/5 の DEVCORE による MSRC への報告よりも前)
  • Palo Alto Networks が攻撃活動で利用されている China Chopper の解説記事を公開。2月後半に観測された一部のエクスプロイトは DEVCORE が MSRC に報告したものと同じと見られる
  • 脆弱性の詳細な解説記事が公開され、RCE PoC も GitHub で公開される (その後 GitHub によって削除)
  • ESET は Microsoft によるパッチ公開前から複数の攻撃者グループによる攻撃活動を観測していることを報告
  • Microsoft, ID Ransomware などによると、DearCry / DoejoCrypt と呼ばれる新たなランサムウェアの感染活動を観測
  • RiskIQ の観測データによると、3/2 時点で脆弱性のある Exchange Server の数はおよそ 40万、3/11 時点でまだ 8万以上残っている
  • Shadowserver と KryptosLogic の観測データによると、3/12 時点で脆弱性を悪用されて Web シェルを設置された Exchange Server が 5,818 IP 存在する
Yurika
攻撃が確認されているExchangeの脆弱性に対するパッチですが、先程さらに複数のサポートが終了した古いCUの環境向けにも、パッチ提供開始しました。最新CUでなくてもパッチを先に適用できます。何卒何卒宜しくお願いします
E2019 CU 3. E2016 CU 12, 13, 17. E2013 CU 21, 22.
https://t.co/WP9o81oC3V
Yurika
攻撃が確認されているExchangeの脆弱性に対するパッチですが、つい先程またさらに複数のサポートが終了した古いCUの環境向けにもパッチ提供開始しました
Exchange 2019 RTM, CU1, 2. Exchange 2016 CU8, 9 10, 11
もう数年パッチ適用してなくてもパッチ適用できます。何卒何卒何卒宜しくお願いします
Orange Tsai  🍊
@domchell @AboodNour @irsdl @Jeremy_Kirk @Agarri_FR @d3vc0r3 The exploit in later Feb looks like the same, the exploited path is similar (/ecp/<single char>.js) and the webshell password is "orange" (I hardcoded in the exploit...) https://t.co/r4AhKFZjPH
Michael Gillespie
🚨 #Exchange Servers Possibly Hit With #Ransomware 🚨
ID Ransomware is getting sudden swarm of submissions with ".CRYPT" and filemarker "DEARCRY!" coming from IPs of Exchange servers from US, CA, AU on quick look. https://t.co/wPCu2v6kVl
Microsoft Security Intelligence
We have detected and are now blocking a new family of ransomware being used after an initial compromise of unpatched on-premises Exchange Servers. Microsoft protects against this threat known as Ransom:Win32/DoejoCrypt.A, and also as DearCry.
GItHub が認証関連のバグを修正。さらに、3/8 12:03 UTC 以前のすべての認証済みセッションを無効にした
GitHub Japan
日本時間3月9日12:03頃にGitHubにログインしている全ユーザーのセッションを無効化しました。これはごく少数のユーザーに影響を与える極めてまれなセキュリティ問題が発生する可能性があっためです。詳細はこちらをご覧ください。 https://t.co/zGREwlXwJl
Microsoft から 3月のセキュリティ更新プログラムが公開。Edge Legacy のサポートが終了した。すでに悪用が確認されている IE のゼロデイ脆弱性 (CVE-2021-26411) は 2月に ENKI が報告していたもので、1月に Google と MS が報告していた Lazarus Group / ZINC によるセキュリティ研究者への攻撃で悪用された。
F5 が BIG-IP 製品に関するリモートコード実行可能な危険度の高い複数の脆弱性情報を公開
Did you enjoy this issue? Yes No
Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi

Security Researcher, IIJ-SECT, SANS Instructor in Japan, OWASP Japan Advisory Board, WASForum Hardening Project, 子供たちが安心して使える安全なネット社会を実現したいですね。

If you don't want these updates anymore, please unsubscribe here.
If you were forwarded this newsletter and you like it, you can subscribe here.
Created with Revue by Twitter.