本記事は、 STIX脆弱性の分析 の際、Criminal IPの脅威インテリジェンスデータを使用する方法を語ります。Criminal IPの脅威インテリジェンスデータをSTIX™(Structured Threat Information Expression)で表現し、分析するいくつかの事例を紹介します。 Criminal IPデータのSTIX変換方法は、Criminal IP STIX統合事例とCriminal IPの公式GitHubをご参照ください。 STIX脆弱性の分析1:IPアドレスに関連するMISP指標・オープンポート・脆弱性・Exploit DBの関係性を分析した事例 43.159.195.30_json_code { "type": "bundle", "id":
最近、MOVEitゼロデイ脆弱性により、アメリカの非営利教育団体の「National Student Clearinghouse(NSC)」のサービスを利用する890校へのデータ流出が話題になりました。攻撃者はMOVEitのマネージドファイル転送サーバーを乗っ取り、氏名、生年月日、連絡先、社会保障番号を含むあらゆる個人情報を手に入れました。さらには教育機関に登録した履歴があるかや学位情報のような一部の学校記録まで入手したことがわかりました。 NSCは22,000以上の高校と約3,600の大学にサービスを提供する団体であり、今回のデータ流出の被害範囲も5万人を超えるほど深刻でした。 MOVEitゼロデイの悪用によって漏洩されたサーバーを探す MOVEitは、マネージドファイル転送(Managed File Transter、MFT)ソリューションを提供するソフトウェアで、政府や金融機関を含む多数の組織が大量の機密データを管理・共有するために利用するツールです。 MOVEitを提供するProgress Software社は、今年の5月にランサムウェアグループ「Clop」が悪用したMOVEitゼロデイ脆弱性「CVE-2023-34362」を発表しました。発表の当日に脆弱性パッチを公開しましたが、すでに多数の情報流出が起こり、アメリカ合衆国エネルギー省(Department of Energy、DOE)、PwC税理士法人、イギリスのブリティッシュ・エアウェイズ(British Airways)などが相次いでデータ流出の被害を伝えました。現在、MOVEitゼロデイによる被害を受けた機関は合計2,000を超えると推定されます。その中でもMOVEitを利用する下請け業者や協業するサプライヤーと関係してい機関の被害がほとんどであるため、被害構造が複雑で事件対応に苦労をしています。 次は、Criminal IPのIT資産検索でMOVEitに関連するサーバーを検索した結果です。 https://www.criminalip.io/ja/asset/search?query=%22MOVEit%22 Search Query: "MOVEit" Criminal IPのIT資産検索でMOVEitに関連するサーバーを検索した結果、7万件以上が検索された
最近、破産した暗号通貨貸出企業のセルシウス・ネットワーク(Celsius Network)の債権者をターゲットとした セルシウス・コイン 関連のフィッシング攻撃が発生しています。セルシウス・ネットワークは独自発行のCELコインを使用し、ビットコイン、イーサリアム等の多様な暗号通貨をセルシウスのウォレットに預け入れて利益を得たり、預け入れた資金を担保にしてローンを組めるプラットフォームです。2022年7月に破産したセルシウスによって セルシウス・コイン の引き出しが制限された債権者は資金回収の請求代理人である「Stretto」に投資した資金の払い戻しを要請しています。 このような状況に置かれた セルシウス・コイン の投資者を対象としたフィッシング攻撃はStrettoのフィッシングメールとフィッシングサイトから始まりました。 セルシウス・コイン 関連のフィッシング被害者は、no-reply@stretto.com というメールアドレスで「債権者に引き出しが制限された資金を請求できる7日間の期間を提供する」と主張するメールを受信したそうです。フィッシングメールの本文には、資金の払い戻し請求のためのウェブサイトとして case-stretto[.]com というリンクが案内されており、クリックすると claims-stretto[.]com という Strettoのフィッシングサイト にアクセスされます。 セルシウス・コイン 関連のフィッシング攻撃のために制作されたフィッシングメール(出典:BleepingComputer) URLスキャンで
マイクロソフトは独自ブログを通じて、2023年9月14日イランのあるサイバースパイ団体がアメリカと世界中にある数千の組織を対象に パスワードスプレー (Password Spraying)攻撃を実行したと公開しました。代表的に APT33 またはPeach Sandstorm、HOLMIUM、Refined Kittenという様々な名称で活動するこの専門のスパイグループは、2013年から活動を続けながらアメリカ、サウジアラビア、韓国の多様な業界の機関を含めて世界中にある数千の機関を攻撃してきました。当グループが2023年2月から7月まで使用した代表的エクスプロイトは、パスワードスプレー攻撃であり、単一のパスワードまたは一般的に使用されるパスワードの一覧を使って多数のアカウントにログインを試みる攻撃手口です。 APT33は、パスワードスプレー攻撃で防衛、衛生、製薬関係の組織のアカウントをハッキングおよび乗っ取りして敏感な情報を成功的に奪い取りました。 パスワードスプレー攻撃集団のもう一つの被害者、漏洩されたConfluence APT33ハッカーグループは、パスワードスプレー攻撃以外にもパッチ未適用のまま漏洩されたコンフルエンス(Confluence)を対象にした攻撃も実行し、ネットワークを侵害したそうです。 コンフルエンス(Confluence)は、アトラシアン(Atlassian)が開発した協業プラットフォームであり、チームと組織内での作業・変更事項をリアルタイムで追跡できるドキュメント作業の管理ツールです。コンフルエンスは、様々なプラグインとの統合機能を提供し、ユーザーの要請に応じて拡張できます。その点を通じて個人の作業スタイルに合わせてコンフルエンスを利用でき、他のツールとの連動も可能です。しかし、このような利点を利用して一度ハッカーが内部に侵入してきたら、多様な情報を奪い取られる可能性があるため、コンフルエンスはハッカーの良い攻撃ターゲットとして挙げられています。2022年、世界的にサイバーセキュリティ業界を震撼させるほど大きなイシューであったConfluenceゼロデイ脆弱性以来、今はどれほど多くのコンフルエンス・アプリケーションが外部に漏洩されているかを調べてみます。 Criminal IPに検知された漏洩されたコンフルエンスのIPアドレス、443ポートにコンフルエンスのログインページが漏洩されていた インターネットに漏洩されたコンフルエンスが6,600件以上発見された 次はCriminal IPのIT資産検索に特定技術が適用されたデバイスを探すtech_stackフィルターを利用してアトラシアン・コンフルエンスを検索した結果です。外部に漏洩されたアトラシアン・コンフルエンスが適用されたデバイスが6,600個以上発見されました。 漏洩されたコンフルエンスのサーバーが全て攻撃に脆弱だとは言えませんが、認証バイパスやRCEなどの脆弱性の脅威にもさらされている場合は非常に危険な状態だと言えます。コンフルエンスは企業・機関の重要情報が一ヶ所に集まっていて一度の攻撃でも非常に大きな被害を受ける可能性があります。新しいバグと脆弱性はいつでも見つかれるので、そもそもコンフルエンスを使う企業や機関は、内部コンフルエンスに対する外部のアクセスを完璧にブロックしなければなりません。 Search Query:
Criminal IP v1.40.1 定期点検及びアップデートが行われました。 [Criminal IP v1.40.1] 定期点検及びアップデートのリリースノート 定期点検及びアップデートの日時:2023.09.21 06:00~08:00 AM (UTC) [Improvement] ドメイン検索の「ライト・スキャン」レポートのUI・UXの改善 フル・スキャンが必要なデータの中でログインまたはプランのアップグレードが追加に必要な場合、表示されるUI・UXが改善されました。 Criminal IPドメイン検索の「ライト・スキャンレポート」の改善されたUI/UX Open API 仕様ページの改善
2023年9月7日、アメリカのCISA、FBI、アメリカサイバー軍(USCYBERCOM)が共同発表した報告書によると、国のサポートを受けるハッキンググループが最近ZohoとFortinetソフトウェアの主要な脆弱性を利用してアメリカの航空機関に侵入したそうです。ハッカーは漏洩されたZohoアプリケーションの脆弱性(CVE-2022-47966)と Fortinet脆弱性 ( CVE-2022-42475 )を悪用し、組織のネットワークへ無断にアクセスしました。攻撃者は明確に確認されていないが、アメリアサイバー軍(USCYBERCOM)は、この攻撃がイランのハッカーグループと関係がある可能性があると伝えました。 パッチ未適用のFortinet脆弱性「CVE-2022-42475」を悪用 ほとんどのハッキンググループはインターネットに漏洩されたデバイスの中でパッチされていない脆弱性を保有するデバイスを攻撃の対象とします。今度の攻撃に悪用された脆弱性の中で CVE-2022-42475 は Fortinet SSL-VPNの複数のバージョンに影響を与えるヒープベースのバッファオーバーフロー(Heap-based Buffer Overflow)脆弱性であり、リモートで任意コードやコマンドを実行できる深刻な脆弱性です。この脆弱性を悪用すると、企業・機関の内部ネットワークに侵入し、ハッキングされたネットワーク・インフラの構成要素を通じてより多様な内部システムに侵入できます。 Fortinet はこの脆弱性が発見された直後にセキュリティ勧告およびセキュリティパッチバージョンについて公式発表をしました。しかし、パッチが発表されてから約9ヶ月が経った今までもパッチされていないデバイスは非常に多く、ハッカーは続いてこの脆弱性を悪用しています。 Criminal IPで検知された漏洩FortinetデバイスのIPアドレスで、CVE-2022-42475脆弱性を含めた58個の脆弱性が発見された CVE-2022-42475 から影響を受ける数千件のFortinet SSL-VPN 次はCriminal
ほとんどの企業は在宅勤務・テレワークのためにSSL VPNを使います。SSL VPNを通じると企業の社内ネットワークにアクセスが可能になるため、許可された職員と認証された者だけアクセスできるようにするのが一般的で、ハッカーもSSL VPNをハッキングすると企業の内部に侵入できるということをよく知っています。従って、ほとんどのSSL VPNはID・PWという一次元的な認証体系以外にMFA(多要素認証)を追加的に設定し、ID・PWが乗っ取られるとしてもSSL VPNログインはできないよう措置しています。事実上、この内容は企業の勧告事項のレベルではなく、修行しなければならない必須事項だと言えます。 疎かなセキュリティ設定でハッキングされたCisco SSL VPN しかし、思ったよ SSL VPNにMFAが設定されていないところが以外と多く、その中でも世界的に最も多くのユーザーを持つCisco ASAのイシューが最近浮き彫りになっています。Cisco ASAはSSL VPNを提供するアプライアンスで、ファイアウォールとSSL VPN機能を同時に提供しています。最近Rapid7が発表したCisco ASAファイアウォールのSSL VPNハッキングイシューによると、ハッカーはMFAが反映されていないCisco VPNにクレデンシャルスタッフィング攻撃などの総当たり攻撃を利用してSSL VPNを攻撃し、企業の内部に侵入する事件が発生しているそうです。
ジュニパーネットワークス(Juniper Networks)とは、ネットワークセキュリティの業界で最も古く、有名なエンタープライズベンダーであり、特にジュニパーSRXファイアウォールシリーズは次世代ファイアウォールとして知られています。このような歴史と人気のあるデバイスであるほど、多くの人に広く使用されているため、世界中たくさんの企業の社内ネットワークでジュニパーのデバイスを見かけることは珍しくありません。 ジュニパーネットワークスのユーザーは、ファイアウォールやデバイスにアクセスするために専用のOSであるJunos OSのJ-Webを使用しますが、J-WebはPHPベースのWebコンソールであり、ブラウザでアクセスすることができます。最近、ジュニパーネットワークスはJ-Webに関連する4つの脆弱性(CVE-2023-36844、CVE-2023-36845、CVE-2023-36846、CVE-2023-36847)を発表しました。この脆弱性のそれぞれのCVSSスコアは5点台に過ぎず、一見すると危険ではないように見えますが、これらの脆弱性を組み合わせると連鎖反応でRCE(Remote Code Execution、リモートコード実行)攻撃まで可能な非常に深刻な脆弱性です。CVSSv3内で評価されたこの脆弱性の統合スコアは9.8点です。 RCE脆弱性に漏洩されているJ-Webジュニパーファイアウォールの管理システム ジュニパーファイアウォールおよびスイッチに影響を与えるバグチェーン ジュニパーネットワークスのデバイスのうち、EXシリーズはスイッチを意味し、SRXシリーズはファイアウォールを指します。今回公開された脆弱性は、この2つのプラットフォームに以下のように影響します。 CVE-2023-36846およびCVE-2023-36847(CVSSスコア:5.3)– EXシリーズおよびSRXシリーズのJuniper Networks Junos OSにある重要な機能に対する2つの認証欠落の脆弱性です。これにより、認証されていないネットワークベースの攻撃者がシステムに限定的な影響を与えることができます。 CVE-2023-36844およびCVE-2023-36845(CVSSスコア:5.3)– EXシリーズおよびSRXシリーズのJuniper Networks Junos OS J-Webに存在する2つのPHP外部変数変更の脆弱性です。これにより、認証されていないネットワークベースの攻撃者が特定の重要な環境変数をコントロールすることができます。 CVE-2023-36846およびCVE-2023-36847(5.3のCVSSスコア)は、J-Webを介して攻撃者が任意のファイルをアップロードできる脆弱性です。しかし、ファイルがアップロードされるだけで、追加の問題は発生しないため、CVSS 5.3点のような高くないスコアが付与されました。次にCVE-2023-36844およびCVE-2023-36845(5.3のCVSSスコア)はPHPの外部変数を変更できる脆弱性です。これもPHPの設定を変更してもシステムに大きな影響を与えることは難しく、CVSS
イバンティ(Ivanti)社のIvanti Sentry(旧 MobileIron Sentry)とは、Microsoft ExchangeサーバーなどのActiveSyncサーバーまたは、Sharepointサーバーのようなバックエンドリソースのためのソリューションであり、サーバー間のデータ同期化のために使用されます。Ivantiは最近、CVE-2023-38035ゼロデイに関する勧告を掲載しました。CVE-2023-38035ゼロデイは権限を持っていない攻撃者にウェブ管理者のインターフェースと管理者サーバーへのアクセスを許す認証バイパス脆弱性です。 Ivanti Sentryのシステム管理者ポータルは以下のような画面で起動され、TCP/8443ポートを通じてアクセスできるようになっています。ウェブサーバーはApache HTTPDを使います。脆弱性公開当時、アメリカ国立標準技術研究所(NIST、National Institute of Standards and Technology)は、CVE-2023-38035ゼロデイに対して「まだ分析を行っている最中で、Ivantiが一部情報を提供していない」と述べながら、CVSSスコアを公開しませんでしたが、本投稿を書く時点ではCVSSv3スコアが9.8で公開されました。 TCP/8443ポートを通じてアクセスできるIvanti Sentryのシステム管理者ポータル Ivantiは公式サイトで脆弱性パッチを公表し、RPMスクリプトを提供しました。バージョンごとの設置スクリプトが存在し、9.15以下のバージョンではまず9.16以上のバージョンに更新した後、新しいRPMスクリプトを使うことを勧告しています。 上記のログイン画面の右上でも「9.17.0」というバージョンが表記されていて、使用中のシステム管理者ポータルのバージョンを簡単に確認できます。 Ivanti Sentryの影響を受けるバージョン解決策(RPMスクリプトを使用)9.189.18.0-3 インストール9.179.17.0-3
023年6月12日発表されたフォーティゲート(FortiGate)のファイアウォールのリモートコード実行(RCE)脆弱性である CVE-2023-27997 のパッチ遅延が深刻な状態です。CVE-2023-27997はヒップ基盤のバッファオーバーフローの脆弱性でSSL-VPNが活性化されたデバイスに影響を与えます。これはウェブに漏洩されたSSL-VPN のインターフェースを通じてリモートでコードを実行できるリモートコード実行(RCE)脆弱性であり、CVEスコアは10点満点に9.8点で深刻度がかなり高いです。サイバーセキュリティメディアのBleepingComputerの記事によると、7月3日パッチが適用されないまま脆弱性に漏洩されたフォーティネットのファイアウォールが30万以上発見されたそうです。脆弱性が公開されたと同時にセキュリティパッチが更新されたにもかかわらずユーザーのパッチが遅れていることを意味します。すると、1ヶ月が経った今はどうでしょう。今回の投稿では、パッチの発表からほぼ2ヶ月になっている今はどれだけ多くのフォーティネットのファイアウォールが脆弱な状態で脅威にさらされているかを調べたいと思います。 インターネットに漏洩されたフォーティゲートSSL VPNのインターフェースを見つける 既に記事を通じて知られている「 CVE-2023-27997 に脆弱なデバイスを見つける方法」を参考にし、Criminal IPのIT資産検索に次のようなクエリを検索してみました。次のクエリはインターネットに漏洩されている脆弱なフォーティゲートSSL VPNのインターフェースを見つけるCriminal IPのクエリです。 https://www.criminalip.io/ja/asset/search?query=%22xxxxxxxx-xxxxx%22+%22top.location%3D%2Fremote%2Flogin%22 検索クエリ:"xxxxxxxx-xxxxx" "top.location=/remote/login" *当クエリに使われた "" 演算子は検索したクエリがバナースクリプトに正確に一致するサーバーを見つけるようにする演算子です。 Criminal IPのIT資産検索に「"xxxxxxxx-xxxxx"
