サイバースパイグループ「APT33」の最大被害者となった漏洩されたConfluence

マイクロソフトは独自ブログを通じて、2023年9月14日イランのあるサイバースパイ団体がアメリカと世界中にある数千の組織を対象に パスワードスプレー (Password Spraying)攻撃を実行したと公開しました。代表的に APT33 またはPeach Sandstorm、HOLMIUM、Refined Kittenという様々な名称で活動するこの専門のスパイグループは、2013年から活動を続けながらアメリカ、サウジアラビア、韓国の多様な業界の機関を含めて世界中にある数千の機関を攻撃してきました。当グループが2023年2月から7月まで使用した代表的エクスプロイトは、パスワードスプレー攻撃であり、単一のパスワードまたは一般的に使用されるパスワードの一覧を使って多数のアカウントにログインを試みる攻撃手口です。  APT33は、パスワードスプレー攻撃で防衛、衛生、製薬関係の組織のアカウントをハッキングおよび乗っ取りして敏感な情報を成功的に奪い取りました。  パスワードスプレー攻撃集団のもう一つの被害者、漏洩されたConfluence APT33ハッカーグループは、パスワードスプレー攻撃以外にもパッチ未適用のまま漏洩されたコンフルエンス(Confluence)を対象にした攻撃も実行し、ネットワークを侵害したそうです。 コンフルエンス(Confluence)は、アトラシアン(Atlassian)が開発した協業プラットフォームであり、チームと組織内での作業・変更事項をリアルタイムで追跡できるドキュメント作業の管理ツールです。コンフルエンスは、様々なプラグインとの統合機能を提供し、ユーザーの要請に応じて拡張できます。その点を通じて個人の作業スタイルに合わせてコンフルエンスを利用でき、他のツールとの連動も可能です。しかし、このような利点を利用して一度ハッカーが内部に侵入してきたら、多様な情報を奪い取られる可能性があるため、コンフルエンスはハッカーの良い攻撃ターゲットとして挙げられています。2022年、世界的にサイバーセキュリティ業界を震撼させるほど大きなイシューであったConfluenceゼロデイ脆弱性以来、今はどれほど多くのコンフルエンス・アプリケーションが外部に漏洩されているかを調べてみます。 Criminal IPに検知された漏洩されたコンフルエンスのIPアドレス、443ポートにコンフルエンスのログインページが漏洩されていた インターネットに漏洩されたコンフルエンスが6,600件以上発見された 次はCriminal IPのIT資産検索に特定技術が適用されたデバイスを探すtech_stackフィルターを利用してアトラシアン・コンフルエンスを検索した結果です。外部に漏洩されたアトラシアン・コンフルエンスが適用されたデバイスが6,600個以上発見されました。 漏洩されたコンフルエンスのサーバーが全て攻撃に脆弱だとは言えませんが、認証バイパスやRCEなどの脆弱性の脅威にもさらされている場合は非常に危険な状態だと言えます。コンフルエンスは企業・機関の重要情報が一ヶ所に集まっていて一度の攻撃でも非常に大きな被害を受ける可能性があります。新しいバグと脆弱性はいつでも見つかれるので、そもそもコンフルエンスを使う企業や機関は、内部コンフルエンスに対する外部のアクセスを完璧にブロックしなければなりません。  Search Query:

By |2023-09-22T11:27:31+09:002023-09-22|0 Comments

CVE-2022-42475 :漏洩されている数千件のパッチ未適用のFortinet 脆弱性

2023年9月7日、アメリカのCISA、FBI、アメリカサイバー軍(USCYBERCOM)が共同発表した報告書によると、国のサポートを受けるハッキンググループが最近ZohoとFortinetソフトウェアの主要な脆弱性を利用してアメリカの航空機関に侵入したそうです。ハッカーは漏洩されたZohoアプリケーションの脆弱性(CVE-2022-47966)と Fortinet脆弱性 ( CVE-2022-42475 )を悪用し、組織のネットワークへ無断にアクセスしました。攻撃者は明確に確認されていないが、アメリアサイバー軍(USCYBERCOM)は、この攻撃がイランのハッカーグループと関係がある可能性があると伝えました。 パッチ未適用のFortinet脆弱性「CVE-2022-42475」を悪用 ほとんどのハッキンググループはインターネットに漏洩されたデバイスの中でパッチされていない脆弱性を保有するデバイスを攻撃の対象とします。今度の攻撃に悪用された脆弱性の中で CVE-2022-42475 は Fortinet SSL-VPNの複数のバージョンに影響を与えるヒープベースのバッファオーバーフロー(Heap-based Buffer Overflow)脆弱性であり、リモートで任意コードやコマンドを実行できる深刻な脆弱性です。この脆弱性を悪用すると、企業・機関の内部ネットワークに侵入し、ハッキングされたネットワーク・インフラの構成要素を通じてより多様な内部システムに侵入できます。 Fortinet はこの脆弱性が発見された直後にセキュリティ勧告およびセキュリティパッチバージョンについて公式発表をしました。しかし、パッチが発表されてから約9ヶ月が経った今までもパッチされていないデバイスは非常に多く、ハッカーは続いてこの脆弱性を悪用しています。 Criminal IPで検知された漏洩FortinetデバイスのIPアドレスで、CVE-2022-42475脆弱性を含めた58個の脆弱性が発見された CVE-2022-42475 から影響を受ける数千件のFortinet SSL-VPN  次はCriminal

By |2023-09-18T10:00:07+09:002023-09-15|Tags: , , |0 Comments

Cisco VPNハッキング事例からみた企業のSSL VPN再点検の必要性

ほとんどの企業は在宅勤務・テレワークのためにSSL VPNを使います。SSL VPNを通じると企業の社内ネットワークにアクセスが可能になるため、許可された職員と認証された者だけアクセスできるようにするのが一般的で、ハッカーもSSL VPNをハッキングすると企業の内部に侵入できるということをよく知っています。従って、ほとんどのSSL VPNはID・PWという一次元的な認証体系以外にMFA(多要素認証)を追加的に設定し、ID・PWが乗っ取られるとしてもSSL VPNログインはできないよう措置しています。事実上、この内容は企業の勧告事項のレベルではなく、修行しなければならない必須事項だと言えます。 疎かなセキュリティ設定でハッキングされたCisco SSL VPN しかし、思ったよ SSL VPNにMFAが設定されていないところが以外と多く、その中でも世界的に最も多くのユーザーを持つCisco ASAのイシューが最近浮き彫りになっています。Cisco ASAはSSL VPNを提供するアプライアンスで、ファイアウォールとSSL VPN機能を同時に提供しています。最近Rapid7が発表したCisco ASAファイアウォールのSSL VPNハッキングイシューによると、ハッカーはMFAが反映されていないCisco VPNにクレデンシャルスタッフィング攻撃などの総当たり攻撃を利用してSSL VPNを攻撃し、企業の内部に侵入する事件が発生しているそうです。

By |2023-09-11T09:39:05+09:002023-09-08|0 Comments

10万以上のジュニパーファイアウォール漏洩、RCE脆弱性のバグチェーンにご注意

ジュニパーネットワークス(Juniper Networks)とは、ネットワークセキュリティの業界で最も古く、有名なエンタープライズベンダーであり、特にジュニパーSRXファイアウォールシリーズは次世代ファイアウォールとして知られています。このような歴史と人気のあるデバイスであるほど、多くの人に広く使用されているため、世界中たくさんの企業の社内ネットワークでジュニパーのデバイスを見かけることは珍しくありません。 ジュニパーネットワークスのユーザーは、ファイアウォールやデバイスにアクセスするために専用のOSであるJunos OSのJ-Webを使用しますが、J-WebはPHPベースのWebコンソールであり、ブラウザでアクセスすることができます。最近、ジュニパーネットワークスはJ-Webに関連する4つの脆弱性(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)を発表しました。この脆弱性のそれぞれのCVSSスコアは5点台に過ぎず、一見すると危険ではないように見えますが、これらの脆弱性を組み合わせると連鎖反応でRCE(Remote Code Execution、リモートコード実行)攻撃まで可能な非常に深刻な脆弱性です。CVSSv3内で評価されたこの脆弱性の統合スコアは9.8点です。 RCE脆弱性に漏洩されているJ-Webジュニパーファイアウォールの管理システム ジュニパーファイアウォールおよびスイッチに影響を与えるバグチェーン ジュニパーネットワークスのデバイスのうち、EXシリーズはスイッチを意味し、SRXシリーズはファイアウォールを指します。今回公開された脆弱性は、この2つのプラットフォームに以下のように影響します。 CVE-2023-36846およびCVE-2023-36847(CVSSスコア:5.3)– EXシリーズおよびSRXシリーズのJuniper Networks Junos OSにある重要な機能に対する2つの認証欠落の脆弱性です。これにより、認証されていないネットワークベースの攻撃者がシステムに限定的な影響を与えることができます。 CVE-2023-36844およびCVE-2023-36845(CVSSスコア:5.3)– EXシリーズおよびSRXシリーズのJuniper Networks Junos OS J-Webに存在する2つのPHP外部変数変更の脆弱性です。これにより、認証されていないネットワークベースの攻撃者が特定の重要な環境変数をコントロールすることができます。 CVE-2023-36846およびCVE-2023-36847(5.3のCVSSスコア)は、J-Webを介して攻撃者が任意のファイルをアップロードできる脆弱性です。しかし、ファイルがアップロードされるだけで、追加の問題は発生しないため、CVSS 5.3点のような高くないスコアが付与されました。次にCVE-2023-36844およびCVE-2023-36845(5.3のCVSSスコア)はPHPの外部変数を変更できる脆弱性です。これもPHPの設定を変更してもシステムに大きな影響を与えることは難しく、CVSS

CVE-2023-27997の深刻なパッチ遅れ、エクスプロイト可能なFortiGateファイアウォールが4600以上

023年6月12日発表されたフォーティゲート(FortiGate)のファイアウォールのリモートコード実行(RCE)脆弱性である CVE-2023-27997 のパッチ遅延が深刻な状態です。CVE-2023-27997はヒップ基盤のバッファオーバーフローの脆弱性でSSL-VPNが活性化されたデバイスに影響を与えます。これはウェブに漏洩されたSSL-VPN のインターフェースを通じてリモートでコードを実行できるリモートコード実行(RCE)脆弱性であり、CVEスコアは10点満点に9.8点で深刻度がかなり高いです。サイバーセキュリティメディアのBleepingComputerの記事によると、7月3日パッチが適用されないまま脆弱性に漏洩されたフォーティネットのファイアウォールが30万以上発見されたそうです。脆弱性が公開されたと同時にセキュリティパッチが更新されたにもかかわらずユーザーのパッチが遅れていることを意味します。すると、1ヶ月が経った今はどうでしょう。今回の投稿では、パッチの発表からほぼ2ヶ月になっている今はどれだけ多くのフォーティネットのファイアウォールが脆弱な状態で脅威にさらされているかを調べたいと思います。 インターネットに漏洩されたフォーティゲートSSL VPNのインターフェースを見つける 既に記事を通じて知られている「 CVE-2023-27997 に脆弱なデバイスを見つける方法」を参考にし、Criminal IPのIT資産検索に次のようなクエリを検索してみました。次のクエリはインターネットに漏洩されている脆弱なフォーティゲートSSL VPNのインターフェースを見つけるCriminal IPのクエリです。 https://www.criminalip.io/ja/asset/search?query=%22xxxxxxxx-xxxxx%22+%22top.location%3D%2Fremote%2Flogin%22 検索クエリ:"xxxxxxxx-xxxxx" "top.location=/remote/login" *当クエリに使われた "" 演算子は検索したクエリがバナースクリプトに正確に一致するサーバーを見つけるようにする演算子です。 Criminal IPのIT資産検索に「"xxxxxxxx-xxxxx"

Criminal IPパートナープログラム | サイバーセキュリティセールスパートナーを募集します!

Criminal IPは進化された脅威インテリジェンスでより多くの顧客のセキュリティネットワークを精巧にするためにグローバル サイバーセキュリティセールスパートナー をお待ちしております。 進化し続けるサイバーセキュリティに多角的なセキュリティソリューションを提供するために、Criminal IPパートナープログラムでグローバルパートナーネットワークを形成しています。 Criminal IPパートナープログラム Criminal IPパートナープログラムは 多様な形のパートナーシップを歓迎しており、多様な国の企業と共に成長できるよう、あらゆる協力の可能性を開いています。 既存にはない新たな形のパートナーシップをご希望の方は、是非ともご提案ください。Criminal IPと共に進めることについていつでも議論させていただきます。 ▶ Criminal IP パートナープログラムのお問い合わせ Criminal IPパートナープログラムの様々なパートナーシップの形 Criminal

By |2023-06-30T17:24:32+09:002023-06-30|0 Comments

オラクル・ウェブロジックのRCE 脆弱性 (Oracle Weblogic)のRCE 脆弱性 – CVE-2023-21839

本投稿では深刻なリモートコードの脆弱性である オラクル・ウェブロジック ・サーバー(Oracle WebLogic Server)の最新脆弱性について語ります。オラクルが開発したJavaウェブ・アプリケーション・サーバーのウェブロジック・サーバーを狙うCVE-2023-21839はリモートコード実行(Remote Code Execution、RCE)に悪用されかねない脆弱性であり、約3か月前に初めて言及されました。データベースの管理システムおよび関連ハードウェア、ソフトウェア、クラウドシステムを開発・提供するグローバルサービスであるため、企業や政府機関のような大規模の顧客の被害は大きかったです。   既に大きいイシューになったオラクルRCE脆弱性 2020年10月、ベトナムのあるセキュリティ研究員がウェブロジック・サーバーの製品で脆弱性を発見し、どれだけ攻撃しやすいかについて詳細な技術情報を公開しました。様々なメディアでその脆弱性「CVE-2020-14882」を言及し、報道してオラクルは公式的に致命的なウェブロジック・サーバーの脆弱性を認め、パッチを開発しました。しかし、むしろパッチ後に活発なエクスプロイト攻撃が急増しました。 当時のオラクル緊急セキュリティパッチの公表 オラクルは、脆弱なウェブロジック・ソフトウェアで認証プロセスを通らず被害者のサーバーで任意コートを実行することができるため、可能な限り迅速にパッチを適用することを勧告しました。セキュリティパッチが配布されてから2年半が経った今、未だに当脆弱性を保有するサーバーがあるかを脅威インテリジェンス検索エンジンのCriminal IPで確認してみました。  https://www.criminalip.io/ja/asset/search?query=cve_id%3A+CVE-2020-14882 Search Query: cve_id : CVE-2020-14882 CVE-2020-14882脆弱性に漏洩されたサーバーを検索した結果 IT

By |2023-06-15T07:58:57+09:002023-06-14|Tags: , , |0 Comments

Criminal IPで検知した衝撃的な中国の隠しカメラ動画のディレクトリー

違法で撮影される 隠しカメラ は国内のみならず、世界的にも深刻な問題の一つです。一日に流出される量がとてつもなく多いだけでなく、撮影及び流布する方法も巧妙になり、誰でもニュースを見ながら背筋が凍ったことがあると思います。 超小型、無音、Wi-Fiアクセスは基本で、最近は最初から疑われる余地がないように額縁、ボールペン、火災警報器など、日常で使う物に偽装した超小型カメラがベストセラーになったほどです。 今日はOSINT検索エンジンで中国の衝撃的な隠しカメラ撮影動画が大量発見されたイシューを語ります。 インターネットに漏洩された気持ち悪い 隠しカメラ の違法撮影動画 我々はCriminal IPのOSINT情報から中国の隠しカメラ違法撮影動画を発見しました。これはインターネットに漏洩された世界中のウェブサーバーディレクトリーを探索する途中で発見されたものです。 次の画像は、我々が見つけたウェブサーバーディレクトリーに保存されていた数多くの隠しカメラ動画の一画面ををスクリーンキャプチャしたものです。 Criminal IPで見つけた隠しカメラ撮影動画のスクリーンショット画面 スクリーンショット画面の低い角度、遠くに掛かっているタオルと服から見て、服を着替える空間に推定されます。犯罪者の手法はどんどん大胆となり、故意に他人の寝室、ドレスルーム、お風呂などの密かな空間にカメラを設置して撮影した動画を販売・流出します。 もしかして自分が撮影の対象になったら、と想像するだけでぞっとし、すぐにでも家の隅々にあるかもしれない隠しカメラを見つけ出さなければいけないという気持ちになります。 このような隠しカメラは最近にも続いて話題となっていますが、中国の大衆オンラインショッピングモールAliExpressは最近、インスタグラム等のSNSを通じて超小型カメラの広報をして社会イシューになっています。販売中のカメラは、男女間のプライバシーや女性の身体を撮影するような広報イメージを利用し、隠しカメラ犯罪を連想させるとして問題となりました。簡単に買える超小型カメラも問題ですが、隠しカメラを通じて違法撮影されたことを知らないまま、アダルトサイトや違法のプライベートサーバーにより被害者の個人情報が取引・流出されるのがさらに問題となっています。 超小型カメラの販売のためにAliExpressがSNS広報に使用したイメージ | 出展:スポーツ韓国 違法撮影動画の流布サイトにアップロードされた数多い隠しカメラ動画

By |2023-04-03T16:39:45+09:002023-03-31|0 Comments

韓国の形成外科のCCTV動画が流出された原因、インターネットに漏えいされた40万台のIPカメラ

今年の3月7日、韓国カンナムのある形成外科でCCTV動画流出事件が発生しました。流出された動画はあるインターネットコミュニティサイトに掲載されましたが、約31本の動画には女性の被害者30人の姿が映っていました。被害者の中には有名な芸能人も含まれており、事件はさらに話題となっています。 カンナム形成外科で流出されたCCTV動画の一部 | 提供:KBS この事件は「カンナム形成外科CCTV流出事件」、「形成外科CCTVハッキング」等と呼ばれるが、実際に流出された動画はCCTV(Closed Circuit Television、閉回路テレビジョン)ではなく、IPカメラで撮影された動画でした。 CCTVは外部のインターネットに繋がらないため、カメラ装備を持っている人のみが撮影された動画を視聴できるようになっています。しかし、IPカメラはインターネットに繋がったIoTデバイスであるため、セキュリティに脆弱なIPカメラは簡単にハッキング・流出されがちです。 セキュリティに脆弱な中国産のIPカメラが原因? カンナム形成外科CCTV流出事件で照明されているIPカメラは中国の「H」社の製品に知られており、セキュリティに脆弱な中国産IPカメラを使ったのがハッキングの原因であると各種メディアに報道されています。 カンナム形成外科IPカメラ流出事件の原因であると知られた中国の「H」IPカメラ会社 | 提供:KBS 実際にセキュリティが脆弱ないくつかのIPカメラ製品は海外のハッカーコミュニティ等にハッキングの手口およびハッキングに使うツール等が掲載されており、より簡単にハッキングすることができます。 海外のハッカーコミュニティに掲載された「H」IPカメラの脆弱性スキャンツール しかし、中国産の製品でなくてもIPカメラの特性上、様々な理由でインターネットに漏えいされることがあり、世界中のインターネットに漏えいされているIPカメラは想像以上に多いです。 潜在攻撃対象、40万台以上のインターネットに漏えいされたIPカメラサーバー IPアドレス情報を通じてIoTデバイス等を検索できるOSINT検索エンジン、Criminal IPのIT資産検索にタグフィルターを活用し、インターネットに公開されているIPカメラを検索できます。 https://www.criminalip.io/ja/asset/search?query=tag:%20%22IP%20Camera%22 Search

By |2023-03-10T17:03:13+09:002023-03-10|0 Comments

ESXiArgsランサムウェア感染サーバー3,700件以上発見された

ESXiArgsランサムウェア はVmware ESXiサーバーで使用されるOpenSLPサービスのヒープオーバーフロー(Heap Overflow)脆弱性を活用した新種のランサムウェアです。CVE-2021-21974とも呼ばれるこの脆弱性はRCE(Remote code execution、遠隔コード実行)攻撃ができるので多くの脅威アクターらが悪用し、脆弱性が発見されたのは2年が経ちました。2023年2月3日、初めてESXiArgsランサムウェアの被害が報告され、最近まで攻撃が続いています。 ESXi OpenSLPとは? SLPはService Location Protocolの略で、ネットワーク内で使用可能なサービスを職別し配置できるようにするサービス検索プロトコルです。VMWare ESXiを設置する際にSLPを使ってTCP/427及びUDP/427ポートを受信待機させます。SLPサービスは認証なしにアクセスができ、ルート権限で実行されるため、ESXi SLPサービスが脆弱な場合、事前認証によるリモートコード(pre-authentication remote code)がルートに実行されることがあります。 脆弱なSLPがまた悪用され始めてから VMWare ESXiではSLPを使用しないように除去するか、脆弱性の対象ではないバージョンにパッチするよう勧告しています。 現在、OpenSLP脆弱性の対象となるESXiバージョンは次の通りです。 CVE-2021-21974が影響を及ぼすESXiバージョン

By |2023-02-24T18:41:30+09:002023-02-24|Tags: |0 Comments
Go to Top