View profile

今週の気になるセキュリティニュース - Issue #66

Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi
事件、事故
ブラザーオンラインで不正ログインが発生し、多数のユーザーで不正なポイントの交換が行われた
1.不正ポイント交換が行われたと推測されるアカウント数:最大683件
2.換算金額:最大404,900円相当
3.不正ログインが行われたと推測されるアカウント数:最大126,676件
ロシアのスマート TV の番組表が改ざんされ、戦争反対のメッセージが表示される。またロシアの動画サービス RuTube がサイバー攻撃を受け、サービスに障害が発生。
複数の VPN サービスの多数のユーザ情報が Telegram で公開される
The dump, exposing users from several VPN services including GeckoVPN, SuperVPN, and ChatVPN, was initially offered for sale on the dark web back in 2021. It is now posted for free on Telegram.
The file, a Cassandra database dump, is dated 2021-02-25.
2月に発生した衛星通信サービス KA-SAT のネットワークへの攻撃について、ロシア政府によるものだったとして欧米諸国が非難
The European Union and its Member States, together with its international partners, strongly condemn the malicious cyber activity conducted by the Russian Federation against Ukraine, which targeted the satellite KA-SAT network, operated by Viasat.
Today, in support of the European Union and other partners, the United States is sharing publicly its assessment that Russia launched cyber attacks in late February against commercial satellite communications networks to disrupt Ukrainian command and control during the invasion, and those actions had spillover impacts into other European countries. The activity disabled very small aperture terminals in Ukraine and across Europe. This includes tens of thousands of terminals outside of Ukraine that, among other things, support wind turbines and provide Internet services to private citizens.
コスタリカで複数の政府系サイトが Conti ランサムウェアの攻撃を受け、大統領府は緊急事態を宣言
The Costa Rican President Rodrigo Chaves has declared a national emergency following cyber attacks from Conti ransomware group on multiple government bodies.
BleepingComputer also observed Conti published most of the 672 GB dump that appears to contain data belonging to the Costa Rican government agencies.
The declaration was signed into law by Chaves on Sunday, May 8th, same day as the economist and former Minister of Finance effectively became the country’s 49th and current president.
攻撃、脅威
WordPress サイトを改ざんし、ウクライナへの DDoS 攻撃を行う JavaScript が挿入される事例を観測しているとして、ウクライナの CERT-UA が注意喚起
Germán Fernández
🚨 Logré identificar +300 dispositivos F5 comprometidos vía CVE-2022-1388, aún si ya parcharon deben realizar análisis de seguridad ASAP.

No solo debes eliminar los PHP creados recientemente en /usr/local/www/xui/common/* también debes limpiar el archivo /config/startup ⚠️ https://t.co/my8d0G0VP6 https://t.co/zYSPBXZ5hI
Microsoft が Ransomware-as-a-service (RaaS) による攻撃活動について解説
All human-operated ransomware campaigns—all human-operated attacks in general, for that matter—share common dependencies on security weaknesses that allow them to succeed. Attackers most commonly take advantage of an organization’s poor credential hygiene and legacy configurations or misconfigurations to find easy entry and privilege escalation points in an environment. 
npm パッケージの dependency confusion を利用したドイツの会社を狙う攻撃について複数のセキュリティ企業が注意喚起。しかし、実はドイツのセキュリティ会社 Code White が顧客向けに実施した疑似攻撃だったことが判明
May 10, 2022: CodeWhite, a Red Team security company, approached us on Twitter and took ownership over the malicious packages, explaining it was a part of an attack simulation effort for their clients — kudos to them on the elaborate attack!
Code White GmbH
@snyksec Tnx for your excellent analysis at https://t.co/UoshhgaDgx and don't worry, the "malicious actor" is one of our interns 😎 who was tasked to research dependency confusion as part of our continuous attack simulations for clients. (1/2)
日本企業を狙った標的型攻撃キャンペーン Operation RestyLink について、NTT Security が報告
2022年4月中旬から日本企業を狙った標的型攻撃キャンペーンを複数の組織で観測しています。この攻撃キャンペーンは2022年3月にも活動していたと考えられ、また2021年10月にも関連した攻撃が行われていた可能性があります。このことから、短期・単発的な攻撃キャンペーンではなく、今後も攻撃が継続する可能性があります。
Five Eyes の 5ヶ国が共同で、MSP への攻撃に対するガイダンスを公開
The cybersecurity authorities of the United Kingdom, Australia, Canada, New Zealand, and the United States have released joint Cybersecurity Advisory (CSA), Protecting Against Cyber Threats to Managed Service Providers and their Customers, to provide guidance on how to protect against malicious cyber activity targeting managed service providers (MSPs) and their customers.
国内で DVR 製品の Mirai への感染拡大を観測しているとして、NICT が注意喚起
NICTER 解析チーム
国内でDVR製品のMiraiへの感染拡大を観測しています.
5/11は約800ホストがDVR製品でPinetron社製品が約600ホストを占めていました.
また実際にPinetron社製DVRの初期パスワードを使った攻撃者によるコマンド実行も観測しており,パスワードの変更やインターネットからの切断もご検討ください. https://t.co/2aZGvziJeI https://t.co/QZTku5L2Wj
脆弱性
米 CISA が Known Exploited Vulnerabilities (KEV) カタログに 2個の脆弱性を追加。しかし CVE-2022-26925 については、認証エラーが発生する可能性があるとして、その後一時的にカタログから削除
CISA is temporarily removing CVE-2022-26925 from its Known Exploited Vulnerability Catalog due to a risk of authentication failures when the May 10, 2022 Microsoft rollup update is applied to domain controllers. After installing May 10, 2022 rollup update on domain controllers, organizations might experience authentication failures on the server or client for services, such as Network Policy Server (NPS), Routing and Remote access Service (RRAS), Radius, Extensible Authentication Protocol (EAP), and Protected Extensible Authentication Protocol (PEAP). Microsoft notified CISA of this issue, which is related to how the mapping of certificates to machine accounts is being handled by the domain controller.
Microsoft が 2022年 5月の月例パッチを公開
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-26925 Windows LSA のなりすましの脆弱性は、既に脆弱性の悪用が行われていることを確認しています。また、この脆弱性については、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。お客様においては、早急に、更新プログラムの適用を行ってください。詳細は、CVE-2022-26925 を参照してください。
Yurika
今日は、マイクロソフト 月例更新プログラムの日です。早めの更新をどうぞよろしくお願いします
企業組織向けに、リスク評価、パッチ展開に役立つ情報をブログでまとめていますので、ご確認ください
主なポイントは (続 https://t.co/AjpUJ4qVKp
SonicWall の SMA 100 シリーズに複数の脆弱性
The SonicWall Product Security & Incident Response Team (PSIRT) has verified and patched the following vulnerabilities that impact Secure Mobile Access (SMA) 1000 series products (see product list and impacted firmware versions below).
1. Unauthenticated access control bypass
2. Use of hard-coded/shared cryptographic key
3. URL redirection to an untrusted site (open redirection)
Important: There is no evidence that these vulnerabilities are being exploited in the wild.
Details for each patch can be found in PSIRT Advisory SNWLID-2022-0009.
Zyxel の複数の製品に認証なしでリモートコード実行可能な脆弱性 (CVE-2022-30525)
Rapid7 discovered and reported a vulnerability that affects Zyxel firewalls supporting Zero Touch Provisioning (ZTP), which includes the ATP series, VPN series, and the USG FLEX series (including USG20-VPN and USG20W-VPN). The vulnerability, identified as CVE-2022-30525, allows an unauthenticated and remote attacker to achieve arbitrary code execution as the nobody user on the affected device.
Zyxel has released patches for an OS command injection vulnerability found by Rapid 7 and urges users to install them for optimal protection.
Shadowserver
We see at least 20 800 of the potentially affected Zyxel firewall models (by unique IP) accessible on the Internet. Most popular are USG20-VPN (10K IPs) and USG20W-VPN (5.7K IPs).

Most of the CVE-2022-30525 affected models are in the EU - France (4.5K) and Italy (4.4K). https://t.co/Wh7I8JCvVv
その他
Did you enjoy this issue? Yes No
Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi

Security Researcher, IIJ-SECT, SANS Instructor in Japan, OWASP Japan Advisory Board, WASForum Hardening Project, 子供たちが安心して使える安全なネット社会を実現したいですね。

In order to unsubscribe, click here.
If you were forwarded this newsletter and you like it, you can subscribe here.
Created with Revue by Twitter.