Jul 30, 2021

free decryptor for ransomware, "The No More Ransom Project"

もしも、の時、ここが使えそう(↓)

No more Ransom

https://www.nomoreransom.org/ja/index.html


普段 聞いているpodcastで知ったので、そちらも挙げておく(↓)

Cyber Security Today, July 28, 2021 - Remember this ransomware resource, a new ransomware strain updated and vulnerabilities in another Kaseya product (07/28)

https://www.itworldcanada.com/podcasts#cyber-security-today

『No More Ransom Project」は、オランダ警察の国家ハイテク犯罪ユニット、欧州警察の欧州サイバー犯罪センター、カスペルスキー、マカフィーが共同で立ち上げたプロジェクトで、ランサムウェアの被害者が犯罪者にお金を払うことなく、暗号化されたデータを取り戻すことを支援します。

 このプロジェクトでは、暗号化されたファイルをアップロードすると、121種類の無料ツールの中から解読できるかどうかを確認します。これらのツールは、151種類のランサムウェアを解読することができます。世の中にあるすべてのランサムウェアではありませんが、かなりの数になります。・・・

このサイトをインシデントレスポンスプランに入れておきましょう。www.nomoreransome.org

ところで、あなたはインシデントレスポンスプランを持っていますよね?』


関連

・Podcasts for bleeding-edge security (2019/03/07)

https://akasaka-taro.blogspot.com/2019/03/podcasts-for-bleeding-edge-security.html


・無料malwareスキャナー (2016/03/30)

http://akasaka-taro.blogspot.com/2016/03/online-scanner-httpwww.html

内容が古くなって、無効なリンクも出てる。更新しないと。。。


Jul 20, 2021

TTPs of APT40

 概要

・・・中略・・・

APT40(BRONZE MOHAWK、FEVERDREAM、G0065、Gadolinium、GreenCrash、Hellsing、Kryptonite Panda、Leviathan、MUDCARP、Periscope、Temp.Periscope、Temp.Jumper)は、中華人民共和国(PRC)海南省海口市に拠点を置き、少なくとも2009年から活動しています。APT40は、米国、カナダ、欧州、中東、南シナ海地域、さらには中国の「一帯一路」構想に含まれる産業など、生物医学、ロボット工学、海洋研究など幅広い分野の政府機関、企業、大学を標的にしています。


2021年7月19日、米国司法省は、APT40のサイバーアクター4名がフロント企業である海南翔敦科技発展有限公司(海南翔敦)を通じた不正なコンピュータネットワーク搾取(CNE)活動を行っていたとして、起訴状を公開しました。海南翔敦の従業員であるWu Shurongは、中国国家安全部(MSS)海南国家安全局(HSSD)の諜報員であるDing Xiaoyang、Zhu Yunmin、Cheng Qingminに協力し、CNE活動を行うよう命令しました。呉氏のCNE活動により、米国内外の企業や組織、複数の外国政府から企業秘密、知的財産、その他の高価値情報が盗まれました。これらのMSS関連の行為者は、次の業界の被害者を標的としました:学術、航空宇宙/航空、生物医学、防衛産業基盤、教育、政府、医療、製造、海事、研究機関、輸送(鉄道と海運)。


(2021年7月19日更新) 

STIX形式のIndicator of compromise(IOC)はこちらをご覧ください。注:悪意のある活動を発見するために、インシデント・レスポンダーは、ネットワークおよびホストベースのアーティファクトでIOCを検索し、その結果を評価します(評価の際には偽陽性を排除します)。例えば、STIXファイル内のMD5 IOCの中には、Putty、cmd.exe、svchost.exeなどの正規のツールを侵害の指標として識別するものがあります。ツール自体は悪意のあるものではありませんが、APT40の攻撃者は、コンピュータへの侵入行為の際に、被害者のシステム上の標準的でないフォルダからツールを配置し、使用しました。インシデント・レスポンダーによって正規のツールが特定された場合、誤検知を排除したり、悪意のある活動を発見したりするために、そのツールの場所を評価する必要があります。インシデント対応のガイダンスについては、「Technical Approaches to Uncovering and Remediating Malicious Activity」を参照してください。


技術的詳細

本Joint Cybersecurity Advisoryは、MITRE ATT&CK®フレームワーク、バージョン9を使用しています。参照されているすべての脅威アクターの戦術と技術については、ATT&CK for Enterprise フレームワークを参照してください。


APT40 [G0065]は、さまざまな戦術や技術、カスタムおよびオープンソースのマルウェアの大規模なライブラリ(その多くは、他の複数の中国の疑いのあるグループと共有されています)を使用して、ユーザや管理者の認証情報による初期アクセスを確立し、ネットワーク内に侵入した後は横方向の移動を可能にし、データを流出させるために高価値の資産を見つけ出しました。表1は、これらの戦術・技術の詳細を示したものです。注:この活動を促進するために使用されたドメイン、ファイル名、マルウェアのMD5ハッシュ値のリストについては、付録を参照してください。


、元記事の下の方のTactics and Techniques、APPENDIXも、興味深い。

緩和策

ネットワーク防御の深化

適切なネットワーク防御の徹底と情報セキュリティのベストプラクティスの遵守は、脅威を軽減し、リスクを低減するのに役立ちます。以下のガイダンスは、組織がネットワーク防御の手順を策定する際に役立ちます。


パッチと脆弱性の管理

  • 重要な脆弱性に対しては、ベンダーが提供し、検証されたパッチをすべてのシステムにインストールする。特に、インターネットに接続されたサーバやインターネットデータを処理するソフトウェア(Webブラウザ、ブラウザのプラグイン、ドキュメントリーダーなど)に対しては、優先的に適時パッチを適用する。
  • タイムリーにパッチを当てることができない脆弱性に対しては、適切な移行手順や代償のコントロールを確実に実施する。
  • ウイルス対策用のシグネチャとエンジンを最新の状態に維持する。
  • 構成とパッチの管理プログラムを定期的に監査し、新たな脅威を追跡して緩和する能力を確保する。厳格な設定とパッチ管理プログラムを導入することで、高度なサイバー犯罪者の活動を妨げ、リソースと情報システムを保護することができます。
  • 一般的な脆弱性を悪用した中国のAPTに関する詳細は、「参考文献」セクションの記事を参照してください。


クレデンシャルの保護

  • クレデンシャル要件を強化し、パスワードを定期的に変更し、多要素認証を導入することで、個々のアカウント、特にウェブメールやVPNアクセス、重要なシステムにアクセスするアカウントを保護します。また、複数のアカウントでパスワードを使い回さないこと。
  • 信頼できるネットワークやサービスプロバイダからのリモート認証をすべて監査する。
  • 内部ネットワークで使用されている認証情報と外部システムで使用されている認証情報を関連付けることで、不一致を検出する。
  • net、ipconfig、ping などのシステム管理者用コマンドの使用を記録する。
  • 最小限の特権の原則を実施する。


ネットワークの衛生と監視

  • インターネットに接続可能なアプリケーションを積極的にスキャンし、不正なアクセスや変更、異常な活動を監視する。
  • サーバーのディスク使用量を積極的に監視し、著しい変化がないか監査する。
  • ドメイン ネーム サービス (DNS) のクエリを記録し、承認された DNS サーバから発信されていないすべての送信 DNS 要求をブロックすることを検討します。DNS クエリを監視して、C2 over DNS を確認します。
  • ネットワークとシステムのベースラインを構築して監視し、異常なアクティビティを特定できるようにします。不審な動作についてログを監査する。
  • 異常な活動を行っているユーザーを特定し、アクセスを停止する。
  • 許可リストまたはベースライン比較を使用して、Windowsイベントログおよびネットワークトラフィックを監視し、ユーザがWindowsシステムの特権的な管理共有をマッピングしたことを検出する。
  • ファイル、DNS、URL、IPアドレス、電子メールアドレスを対象としたマルチソースの脅威評価サービスを利用する。
  • Telnet、SSH(Secure Shell)、Winbox、HTTPなどのネットワークデバイス管理インターフェイスは、ワイドエリアネットワーク(WAN)インターフェイスではオフにし、有効な場合は強力なパスワードと暗号化で保護すること。
  • 重要な情報は、可能な限りエアギャップのあるシステム上で管理する。重要なデータには厳格なアクセス制御手段を用いる。


出典 

Alert (AA21-200A)
Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department

https://us-cert.cisa.gov/ncas/alerts/aa21-200a


中国国家がスポンサーとなっている悪質なサイバー活動の傾向 by NSA、CISA、FBI

●インフラと能力の獲得

中国の国家支援型サイバー犯罪者は、情報セキュリティコミュニティの慣行を機敏に把握しています。これらのアクターは、一連の仮想プライベートサーバ(VPS)や、一般的なオープンソースまたは商用のペネトレーションツールを使用することで、自らの活動を隠す努力をしています。

●公的な脆弱性の利用

中国の国家支援を受けたサイバーアクターは、脆弱性が公開されてから数日以内に、重要な脆弱性や高度な脆弱性がないか、ターゲットネットワークを常にスキャンしています。多くの場合、これらのサイバーアクターは、Pulse Secure、Apache、F5 Big-IP、Microsoft製品などの主要なアプリケーションの脆弱性を悪用しようとします。悪意のある中国国家のサイバーアクターによって悪用されることが知られているCVE(Common Vulnerabilities and Exposures)に関する情報は、以下を参照してください。

〇 CISA-FBI Joint CSA AA20-133A: Top 10 Routinely Exploited Vulnerabilities,

〇 CISAアクティビティアラート:AA20-275A:Potential for China Cyber Response to Heightened U.S.-China Tensions

〇 NSA CSA U/O/179811-20: 中国の国家支援行為者が公知の脆弱性を悪用


●暗号化されたマルチホップ・プロキシ

中国の国家支援を受けたサイバーアクターは、暗号化されたプロキシとしてVPSを使用することが日常的に観察されています。このサイバーアクターは、VPSだけでなく、スモールオフィスやホームオフィス(SOHO)のデバイスを運用ノードとして使用し、検知を回避しています。


観測された戦術と技術

中国の国家支援を受けたサイバーアクターは、世界中の関心のあるコンピュータネットワークを悪用し、機密性の高い知的財産、経済、政治、軍事情報を取得するために、あらゆる戦術と技術を使用しています。付録B:MITRE ATT&CKフレームワークには、中国の国家支援型サイバーアクターが使用する戦術・技術がリストアップされています。ダウンロード可能なJSONファイルは、NSA CybersecurityのGitHubページでもご覧いただけます。

これらの戦術や技術に関連する手順や、適用可能な緩和策については、「付録A:中国国家支援型サイバーアクターの観察された手順」を参照してください。


緩和策

NSA、CISA、FBIは、連邦政府、SLTT政府、CI、DIB、民間企業の各組織に対し、以下の推奨事項と、観測された戦術・技術に合わせた付録Aの検知・緩和の推奨事項を適用するよう促します。


●システムや機器に迅速かつ熱心にパッチを当てる

外部に面した機器のリモートコードの実行やサービス妨害を可能にする重要かつ高度な脆弱性や、中国の国家的なサイバーアクターによって悪用されることが知られているCVEに重点的にパッチを当てること。タイムリーかつ徹底したパッチサイクルを可能にするパッチマネジメントプログラムの導入を検討する。

    注:中国の国家支援型サイバー犯罪者によって日常的に悪用されているCVEの詳細については、「中国の国家支援型サイバー犯罪の動向」の項に記載されているリソースを参照してください。


●ネットワークトラフィック、電子メール、およびエンドポイントシステムの監視を強化する

ネットワーク上のシグネチャや指標を確認し、新たなフィッシング・テーマを監視し、それに応じて電子メールのルールを調整する。電子メールの添付ファイルを制限し、評判に基づいてURLやドメインをブロックするというベスト・プラクティスに従う。アカウントの不正使用の監視を中心に、最大限の検知能力を発揮できるように、ログ情報の集約と相関関係の構築を行う。一般的なポートとプロトコルを監視して、コマンド&コントロール(C2)活動を確認します。SSL/TLS検査を使用して暗号化セッションの内容を確認し、マルウェアの通信プロトコルのネットワークベースの指標を探すことができます。ネットワークとエンドポイントのイベント分析および検出機能を導入・強化し、初期感染、認証情報の漏洩、エンドポイントのプロセスやファイルの操作を特定する。


●保護機能を使用して悪意のある活動を阻止する

ウィルス対策ソフトウェアやその他のエンドポイント保護機能を導入し、悪意のあるファイルを自動的に検出して実行を阻止する。ネットワーク侵入検知・防止システムを使用して、一般的に使用されている敵対的なマルウェアを特定・防止し、悪意のあるデータ転送を制限する。ドメインレピュテーションサービスを利用して、疑わしいドメインや悪意のあるドメインを検出する。サービスアカウントに強力な認証情報を使用し、リモートアクセスに多要素認証(MFA)を使用することで、敵対者が盗んだ認証情報を利用する能力を軽減する。ただし、MFAの実装によっては、MFAの傍受技術に注意すること。


、「出典」元の、この後に出てくる「APPENDIX A: Chinese State-Sponsored Cyber Actors’ Observed Procedures」が面白そうで読み応えもありそうだけど、今日は、もう寝ます。

出典

Alert (AA21-200B)
Chinese State-Sponsored Cyber Operations: Observed TTPs (07/19)

Jul 11, 2021

Vulnerability Summary for the Week of June 28

US-CERTの先週の脆弱性サマリーから、いくつかピックアップする。


以下、次の順に

Primary Vendor -- Product, Description, Published, CVSS Score, Source & Patch Info


adobe -- after_effects

Adobe After Effects version 18.1 (and earlier) is affected by an Uncontrolled Search Path element vulnerability. An unauthenticated attacker could exploit this to to plant custom binaries and execute them with System permissions. Exploitation of this issue requires user interaction.

2021-06-28
9.3
CVE-2021-28570 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-28570
MISC https://helpx.adobe.com/ee/security/products/after_effects/apsb21-33.html


adobe -- robohelp_server

Adobe RoboHelp Server version 2019.0.9 (and earlier) is affected by a Path Traversal vulnerability when parsing a crafted HTTP POST request. An authenticated attacker could leverage this vulnerability to achieve arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction.

2021-06-28
9
CVE-2021-28588 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-28588
MISC https://www.zerodayinitiative.com/advisories/ZDI-21-660/


fidelissecurity -- deception

Vulnerability in the CommandPost, Collector, and Sensor components of Fidelis Network and Deception enables an attacker with user level access to the CLI to inject root level commands into the component and neighboring Fidelis components. The vulnerability is present in Fidelis Network and Deception versions prior to 9.3.7 and in version 9.4. Patches and updates are available to address this vulnerability.

2021-06-25
9
CVE-2021-35047 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35047
CONFIRM https://support.fidelissecurity.com/hc/en-us/categories/360001842694-Advisories-News-and-Policies


helpu -- helpu

A remote code execution vulnerability exists in helpUS(remote administration tool) due to improper validation of parameter of ShellExecutionExA function used for login.

2021-06-29
CVE-2020-7868 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2020-7868
MISC https://www.boho.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=36088


huawei -- anyoffice

There is a deserialization vulnerability in Huawei AnyOffice V200R006C10. An attacker can construct a specific request to exploit this vulnerability. Successfully exploiting this vulnerability, the attacker can execute remote malicious code injection and to control the device.

AnyOfficeは、BYODを視野に入れたセキュリティ管理ツールで、MDMコンポーネントも含まれるらしい。  https://forum.huawei.com/enterprise/en/huawei-anyoffice-v200r002c10-deployment-guide-contents/thread/416297-867

2021-06-29
9.3
CVE-2021-22439 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-22439
MISC https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20210619-01-injection-en


inkdrop -- inkdrop

Inkdrop versions prior to v5.3.1 allows an attacker to execute arbitrary OS commands on the system where it runs by loading a file or code snippet containing an invalid iframe into Inkdrop.

Takuyaさんという日本のクリエイターが開発したノートアプリとのこと。  https://webdesign-trends.net/entry/4163

2021-06-28
9.3
CVE-2021-20745 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20745
MISC https://www.inkdrop.app/
MISC https://docs.inkdrop.app/releases/5.3.1
MISC https://jvn.jp/en/jp/JVN29949691/index.html


mcafee -- mvision_edr

A command injection vulnerability in MVISION EDR (MVEDR) prior to 3.4.0 allows an authenticated MVEDR administrator to trigger the EDR client to execute arbitrary commands through PowerShell using the EDR functionality 'execute reaction'.

2021-06-29
9
CVE-2021-31838 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-31838
CONFIRM https://kc.mcafee.com/corporate/index?page=content&id=SB10342


securepoint -- openvpn-client

Securepoint SSL VPN Client v2 before 2.0.32 on Windows has unsafe configuration handling that enables local privilege escalation to NT AUTHORITY\SYSTEM. A non-privileged local user can modify the OpenVPN configuration stored under "%APPDATA%\Securepoint SSL VPN" and add a external script file that is executed as privileged user.

ローカルの非特権ユーザが、設定変更により、外部スクリプトを特権ユーザとして実行できる。最新版にupdateすれば良い。

2021-06-28
7.2
CVE-2021-35523 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35523
MISC https://github.com/Securepoint/openvpn-client/security/advisories/GHSA-v8p8-4w8f-qh34
MISC https://bogner.sh/2021/04/local-privilege-escalation-in-securepoint-ssl-vpn-client-2-0-30/
FULLDISC http://seclists.org/fulldisclosure/2021/Jun/59
MISC http://packetstormsecurity.com/files/163320/Securepoint-SSL-VPN-Client-2.0.30-Local-Privilege-Escalation.html


tenable -- nessus

Nessus versions 8.13.2 and earlier were found to contain a privilege escalation vulnerability which could allow a Nessus administrator user to upload a specially crafted file that could lead to gaining administrator privileges on the Nessus host.

2021-06-29
7.2
CVE-2021-20079 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20079
MISC https://www.tenable.com/security/tns-2021-07


以下「Severity Not Yet Assigned」からピックアップしたもの。


apache -- traffic_server

Incorrect handling of url fragment vulnerability of Apache Traffic Server allows an attacker to poison the cache. This issue affects Apache Traffic Server 7.0.0 to 7.1.12, 8.0.0 to 8.1.1, 9.0.0 to 9.0.1.

caching proxy server "Apache Traffic Server"への潜在的リモート攻撃脆弱性

2021-06-29
not yet calculated
CVE-2021-27577 https://nvd.nist.gov/vuln/detail/CVE-2021-27577
 ← Base Score:  7.5 HIGH とされている。
MISC https://lists.apache.org/thread.html/ra1a41ff92a70d25bf576d7da2590575e8ff430393a3f4a0c34de4277%40%3Cusers.trafficserver.apache.org%3E


google -- chrome

Use after free in WebGL in Google Chrome prior to 91.0.4472.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.

2021-07-02
not yet calculated
CVE-2021-30554 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-30554
 ← Base Score:  8.8 HIGH  となっている。
MISC https://crbug.com/1219857
MISC https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html


hitachi -- virtual_file_platform_versions

Hitachi Virtual File Platform Versions prior to 5.5.3-09 and Versions prior to 6.4.3-09, and NEC Storage M Series NAS Gateway Nh4a/Nh8a versions prior to FOS 5.5.3-08(NEC2.5.4a) and Nh4b/Nh8b, Nh4c/Nh8c versions prior to FOS 6.4.3-08(NEC3.4.2) allow remote authenticated attackers to execute arbitrary OS commands with root privileges via unspecified vectors.

2021-06-28
not yet calculated
CVE-2021-20740 https://nvd.nist.gov/vuln/detail/CVE-2021-20740
 ← Base Score:  8.8 HIGH とされている。
MISC https://www.hitachi.co.jp/products/it/storage-solutions/global/sec_info/2021/2021_306.html
MISC https://jpn.nec.com/security-info/secinfo/nv21-011.html
MISC https://jvn.jp/en/jp/JVN21298724/index.html


huawei -- smartphone

There is a Memory Buffer Improper Operation Limit Vulnerability in Huawei Smartphone. Successful exploitation of this vulnerability may cause the device to crash and restart.

2021-06-30
not yet calculated
CVE-2021-22350 https://nvd.nist.gov/vuln/detail/CVE-2021-22350
 ← Base Score:  7.5 HIGH とされている。
MISC https://consumer.huawei.com/en/support/bulletin/2021/5/


huawei -- smartphone

There is a Configuration Defect Vulnerability in Huawei Smartphone. Successful exploitation of this vulnerability may allow attackers to hijack the device and forge UIs to induce users to execute malicious commands.

2021-06-30
not yet calculated
CVE-2021-22352 https://nvd.nist.gov/vuln/detail/CVE-2021-22352
 ← Base Score:  7.8 HIGH とされている。
MISC https://consumer.huawei.com/en/support/bulletin/2021/5/


ibm -- security_identity_manager_adapters

IBM Security Identity Manager Adapters 6.0 and 7.0 could allow a remote authenticated attacker to conduct an LDAP injection. By using a specially crafted request, an attacker could exploit this vulnerability and takeover other accounts. IBM X-Force ID: 199252.

2021-06-28
not yet calculated
CVE-2021-20574 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20574
 ← Base Score:  8.8 HIGH (CVSS:3.1 ...) とされている。
CONFIRM https://www.ibm.com/support/pages/node/6465875
XF https://exchange.xforce.ibmcloud.com/vulnerabilities/199252


jenkins -- jenkins

Jenkins 2.299 and earlier, LTS 2.289.1 and earlier does not invalidate the previous session on login.

2021-06-30
not yet calculated
CVE-2021-21671 https://nvd.nist.gov/vuln/detail/CVE-2021-21671
 ← Base Score:  7.5 HIGH とされている。
CONFIRM https://www.jenkins.io/security/advisory/2021-06-30/#SECURITY-2371
MLIST http://www.openwall.com/lists/oss-security/2021/06/30/1


libressl -- libressl

LibreSSL 2.9.1 through 3.2.1 has a heap-based buffer over-read in do_print_ex (called from asn1_item_print_ctx and ASN1_item_print).

2021-07-01
not yet calculated
CVE-2019-25048 https://nvd.nist.gov/vuln/detail/CVE-2019-25048
 ← Base Score:  7.1 HIGH とされている。
MISC https://github.com/libressl-portable/portable/commit/17c88164016df821df2dff4b2b1291291ec4f28a
MISC https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=13914
MISC https://github.com/google/oss-fuzz-vulns/blob/main/vulns/libressl/OSV-2020-1923.yaml


mediawiki -- mediawiki

An issue was discovered in the CentralAuth extension in MediaWiki through 1.36. The Special:GlobalRenameRequest page is vulnerable to infinite loops and denial of service attacks when a user's current username is beyond an arbitrary maximum configuration value (MaxNameChars).

2021-07-02
not yet calculated
CVE-2021-36125 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-36125
 ← Base Score:  7.5 HIGH とされている。
MISC https://phabricator.wikimedia.org/T260865
MISC https://gerrit.wikimedia.org/r/q/I97d8b3236b5abed8ba9a9c4d3ab5050c2e782c22


microsoft -- windows

Windows Print Spooler Remote Code Execution Vulnerability

2021-07-02
not yet calculated
CVE-2021-34527 https://nvd.nist.gov/vuln/detail/CVE-2021-34527
 ← Base Score:  8.8 HIGH (CVSS 3.1)とされている。Criticalじゃないのか?
   ※ PrintNightmare 過去記事 
MISC https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527


netgear -- wac104_devices

NETGEAR WAC104 devices before 1.0.4.15 are affected by an authentication bypass vulnerability in /usr/sbin/mini_httpd, allowing an unauthenticated attacker to invoke any action by adding the &currentsetting.htm substring to the HTTP query, a related issue to CVE-2020-27866. This directly allows the attacker to change the web UI password, and eventually to enable debug mode (telnetd) and gain a shell on the device as the admin limited-user account (however, escalation to root is simple because of weak permissions on the /etc/ directory).

2021-06-30
not yet calculated
CVE-2021-35973 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35973
 ← Base Score:  9.8 CRITICAL とされている。
MISC https://gynvael.coldwind.pl/?lang=en&id=736
MISC https://kb.netgear.com/000063785/Security-Advisory-for-Authentication-Bypass-on-WAC104-PSV-2021-0075


nvidia -- mb2

Bootloader contains a vulnerability in NVIDIA MB2 where a potential heap overflow could cause memory corruption, which might lead to denial of service or code execution.

2021-06-30
not yet calculated
CVE-2021-34384 https://nvd.nist.gov/vuln/detail/CVE-2021-34384
 ← Base Score:  7.8 HIGH (CVSS:3.1)とされている。
CONFIRM https://nvidia.custhelp.com/app/answers/detail/a_id/5205


torproject -- tor

An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-006. The v3 onion service descriptor parsing allows out-of-bounds memory access, and a client crash, via a crafted onion service descriptor

2021-06-29
not yet calculated
CVE-2021-34550 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34550
 ← Base Score:  7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40392
CONFIRM https://blog.torproject.org/node/2041


torproject -- tor

An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-005. Hashing is mishandled for certain retrieval of circuit data. Consequently. an attacker can trigger the use of an attacker-chosen circuit ID to cause algorithm inefficiency.

2021-06-29
not yet calculated
CVE-2021-34549 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34549
 ← Base Score:  7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40391
CONFIRM https://blog.torproject.org/node/2041


torproject -- tor

An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-003. An attacker can forge RELAY_END or RELAY_RESOLVED to bypass the intended access control for ending a stream.

2021-06-29
not yet calculated
CVE-2021-34548 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34548
 ← Base Score:  7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40389
CONFIRM https://blog.torproject.org/node/2041


xen -- xen

Guest triggered use-after-free in Linux xen-netback A malicious or buggy network PV frontend can force Linux netback to disable the interface and terminate the receive kernel thread associated with queue 0 in response to the frontend sending a malformed packet. Such kernel thread termination will lead to a use-after-free in Linux netback when the backend is destroyed, as the kernel thread associated with queue 0 will have already exited and thus the call to kthread_stop will be performed against a stale pointer.

2021-06-29
not yet calculated
CVE-2021-28691 https://nvd.nist.gov/vuln/detail/CVE-2021-28691
 ← Base Score:  7.8 HIGH とされている。
MISC https://xenbits.xenproject.org/xsa/advisory-374.txt


出典

Bulletin (SB21-186) Vulnerability Summary for the Week of June 28, 2021 (07/05)
https://us-cert.cisa.gov/ncas/bulletins/sb21-186


Jul 10, 2021

Sage X3 脆弱性

ERPには珍しい critical vulnerability の記事があったので、挙げておく。

You've patched that critical Sage X3 ERP security hole, yeah? Not exposing the suite to the internet, either, yeah? (07/07)

https://www.theregister.com/2021/07/07/sage_x3_rce/

オンプレミスのSageX3 ERPのシステム管理者は、未認証のコマンド実行脆弱性の犠牲に備えて、ERPスイートをパブリックインターネットに公開していないことを確認する必要があります。

また、管理者は、Rapid7によって以前に発見および報告された多数のバグに対処する、ソフトウェアの最新のパッチが今までにインストールしているべきと述べました。 情報セキュリティチームは欠陥を詳細に説明し、「SageX3のリモート管理に関連するプロトコル関連の問題」と呼んでいます。

CVE-2020-7388を悪用して、Sage X3をだまして、TCPポート1818を介して公開されている管理サービスに、特別に細工されたリクエストを送信して、NT AUTHORITY / SYSTEMコマンドとして実行させることができます。

Sage X3 Vulnerabilities Can Pose Serious Risk to Organizations (07/09)

https://www.securityweek.com/sage-x3-vulnerabilities-can-pose-serious-risk-organizations

研究者によって特定された4つの脆弱性のうち、1つは重大と評価され、残りは中程度の重大度です。 CVE-2020-7388として追跡されている重大な欠陥は、認証されていないリモートコマンド実行の問題として説明されています。

CVE-2020-7387..7390: Multiple Sage X3 Vulnerabilities (07/07)

https://www.rapid7.com/blog/post/2021/07/07/cve-2020-7387-7390-multiple-sage-x3-vulnerabilities/

Sage X3に関連する4つの脆弱性がRapid7の研究者によって特定されました...これらの脆弱性はSageに報告されました...そして最近のリリースで修正されました
  • Sage X3バージョン9(Syracuse 9.22.7.2に同梱されているコンポーネント)、
  • Sage X3 HR&Payrollバージョン9(Syracuse 9.24.1.3に同梱されているコンポーネント)、
  • Sage X3バージョン11(Syracuse v11.25.2.6)、および
  • Sage X3バージョン12(Syracuse v12.10.2.8)。
SageX3の市販のバージョン10はなかったことに注意してください。

これらの脆弱性は、以下の表に要約されています。...一般的に、Sage X3のインストールはインターネットに直接公開するのではなく、必要に応じて安全なVPN接続を介して利用できるようにする必要があります。 この運用上のアドバイスに従うと、4つの脆弱性すべてが効果的に軽減されますが、お客様は通常のパッチサイクルスケジュールに従って更新する必要があります。 

VE Identifier, CWE Identifier, CVSS score (Severity), Remediation
  • CVE-2020-7388
CWE-290: Unauthenticated Command Execution Bypass by Spoofing in AdxAdmin
10.0 (Critical)
Update available
  • CVE-2020-7387
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor in AdxAdmin
5.3 (Medium)
Update available
  • CVE-2020-7389
CWE-306 Missing Authentication for Critical Function in Developer Environment in Syracuse
5.5 (Medium)
No fix planned, as this is a development function and not a production function.
  • CVE-2020-7390
CWE-79: Persistent Cross-Site Scripting (XSS) in Syracuse
4.6 (Medium)
Update available (note, this affects V12 only, unlike the other issues which affects V9 and V11 as well)


Jul 8, 2021

カスペルスキーのパスワードマネージャーの脆弱性

KPMのパスワード生成に関する脆弱性「CVE-2020-27020」の記事。

疑似乱数や種の話が、直感的にスラスラ読める。
こういうサボり方は「あるある」かもな、という気もする。

カスペルスキーのパスワードマネージャーが生成したパスワードは総当たり攻撃で爆速突破が可能と判明、一体なぜか? (2021/07/07)

https://gigazine.net/news/20210707-kaspersky-password-manager-brute-force/


2020/10に修正パッチが出されているので、適用すれば良い。

影響を受けるのはWindows版・iOS版・Android版で、以下のバージョン以前のもの、との事。
・Kaspersky Password Manager for Windows 9.0.2 Patch F
・Kaspersky Password Manager for Android 9.2.14.872
・Kaspersky Password Manager for iOS 9.2.14.31

Jul 4, 2021

中国当局、滴滴を調査、セキュリティー懸念で

 アメリカやシンガポールでの配車サービスアプリは、それぞれお馴染み Uber、Grab。使いやすくて便利。

 中国では滴滴出行(Didi Chuxing Technology Co.,)が該当。これは有名だけど、まだ使ったことが無い。上海だと流しのタクシーを捕まえられた(2018~2019)ので、それほど必要も感じなかったのだ。

・関連過去記事(SIM)

アメリカ・ハワイSIM lycamobile 30日LTE4GB (2018/04/17)

アメリカ・ハワイSIM lycamobile 30日LTE4GB #2 使ってみた (2018/09/09) 

【中国聯通香港】「 シンガポール 7日間 データ 使い放題 上網/通話 SIMカード 」  (2018/09/12) 


 驚いたことに、米では主要観光地から離れるほど市中を流すタクシーを見つけにくく、しかし同サービスを使うと予め料金や車の到着時間まで分かり、もはや使って当たり前の便利必携ツールと化していた(2018)こと。別の或る国では、タクシー業界保護の規制で"Eats"以外は未だに浸透していない(本稿執筆時)のとは大違いである。UberもGrabも(恐らくDiDiも)、早くタクシーを捕まえたいユーザと、客待ち負担を最小化 & 効率的収益化したい運転手との双方のニーズを確実に満たすというのに、だ。

 また当該サービスは、大量のデータ利活用を図れる点も大きい。その可能性はマクロ視点での省エネや都市インフラ最適化など幅広いと推察する。さらに海外顧客情報まで収集しビッグデータ化できるなら、中国当局にとってもDiDiの米進出はプラスはあってもマイナス要素は少ないのでは?と不思議に感じたニュースを以下に挙げる。

---> 10/10 追記

 夏以降、中国の報道が増えてきた(例、IT企業巨大化に対する国家統制不足懸念、不動産問題、濠中関係悪化をきっかけとするエネルギー問題、など)。
この件も、個人情報漏洩懸念、特に統治者の身内の情報や、組織重鎮ないしは関係者全員の移動記録等の漏洩をきっかけに、ビックデータによる活動分析、といった文脈で想像を膨らませると、不都合や想定外事象の予防統制という点で意味があるのかもしれない。

<--- 10/10 追記、ここまで


滴滴出行 株価はこのリンク 


中国当局、配車サービスの滴滴を調査 セキュリティー懸念で (07/03)

https://jp.reuters.com/article/china-didi-global-idJPKCN2E81V2

 ニューヨーク証券取引所(NYSE)で2日、中国の配車サービス最大手、滴滴出行(ディディ)の株価が10%超値を下げた。中国サイバースペース管理局(CAC)が国家安全と公益を守るためにディディの調査を開始したと述べたことが材料視された。

 中国当局はここ数年、国内の大手テクノロジー企業に対する規制を強化してきた。企業に対して主要なデータを適切に収集・管理するように要求している。

 CACはディディの調査に関する詳細を明らかにしなかったが、国家安全法とサイバーセキュリティー法に言及し、調査の目的がデータの機密保護に関するリスクを防ぐものでもあると説明した。

 中国と世界15カ所超の市場で広範なサービスを提供するディディは毎日、膨大な量の移動データをリアルタイムで収集している。一部のデータは自動運転技術や交通量分析に使っている。


一次情報はこれか?(↓)

China investigates Didi over cybersecurity days after its huge IPO

https://www.reuters.com/technology/china-cyberspace-administration-launches-security-investigation-into-didi-2021-07-02/

 株式公開(IPO)から44億ドルを調達したディディは、中国企業の間では珍しい動きである市場デビューの祝賀イベントを開催しませんでした。

 2012年にWillChengによって設立されたDidiは、安全性とその運用ライセンスに関して、中国でいくつかの規制調査に直面しています。

 同社はまた、6月にロイターが明らかにした独占禁止法の調査に直面しており、ディディが反競争的行動を利用して小さなライバルを追い出したかどうかを調べている。当時、「名前のない情報源からの根拠のない憶測」についてはコメントしないと述べた。

 水曜日のディディのデビューは、2014年のアリババグループホールディングリミテッド以来、中国企業による最大の米国上場でした。

 ディディは、IPOを通じて最大100億ドルを調達し、同社の価値を1,000億ドルにすることを目指していました。しかし、投資家は、取引開始前の会議で評価目標に批判的であり、取引の規模が縮小しました。

 ディディはまた、ソフトバンクグループ(9984.T)、アリババ、テンセント(0700.HK)、ユーバー(UBER.N)などのテクノロジー投資大手にも支えられています。


【材料】中国のディディが反落 中国当局がサイバーセキュリティーに関して調査に着手=米国株個別 (07/03)

https://kabutan.jp/news/marketnews/?b=n202107030027

 同社は中国で配車サービスなどモビリティー業界に技術を提供。今週30日にNY証券取引所に上場し、中国企業の米IPOでは過去2番目の規模となった。本日は中国サイバースペース管理局(CAC)がサイバーセキュリティーに関して同社の調査に着手したと発表したことが嫌気されている。

--> 07/27追記

当局の規制強化について、投資系YouTuberからもコメントが挙がっている。

【悲報】中国教育関連株が軒並み大暴落 (07/25)

https://buffett-taro.net/archives/44462228.html
「共産党が支配する中国株への投資の難しさ」

【7/25配信】これらの銘柄はゼロになるかもよ❗️中国株、くだらない値頃観は捨てて!中国が抱える問題点を解説(EDU, TAL, DIDI)【じっちゃま米国株】 (07/26)

https://www.youtube.com/watch?v=gcPg2Jwn7M4
中国の課題(人口問題)を説明する上で、海外移住者の視点で日本事例まで言及していて、興味深いビデオになってます。


モンゴルの認証局 MonPassがハック。サプライチェーンアタック事例。Cobalt Strike悪用

Mongolian Certificate Authority Hacked to Distribute Backdoored CA Software (07/02)

https://thehackernews.com/2021/07/mongolian-certificate-authority-hacked.html

 ソフトウェアサプライチェーン攻撃のさらに別の例では、身元不明のハッカーが、モンゴルの主要な認証局の1つであるMonPassのWebサイトに侵入し、CobaltStrikeバイナリを使用してインストーラソフトウェアをバックドア化しました。

 チェコのサイバーセキュリティソフトウェア会社であるアバストは、木曜日に発表されたレポートで、トロイの木馬化されたクライアントは2021年2月8日から2021年3月3日までダウンロード可能だったと述べています。

 Avastによる調査は、顧客のシステムの1つにバックドアインストーラーとインプラントが見つかった後に始まりました。

 「CobaltStrikeは、アクセスが達成された後に脅威アクターが使用する第2段階のツールだけでなく、初期アクセスペイロードとして脅威アクターの間でますます人気が高まっており、2020年には犯罪脅威アクターがCobaltStrikeキャンペーンの大部分を占めています」とProofpointの研究者は述べています。 

 

Cobalt Strike Becomes One of the Go-To Tools for Hackers (07/02)

Cobalt Strikeは、サイバー犯罪の世界で最も誤用されているツールの1つになりました。 これは元々侵入テスト用に作成された合法で市販のツールですが、最近のレポートでは、このツールを使用したサイバー攻撃が前年比で161%増加したことが示されています。
(↑)この記事は、同ツールがSolarWindsの件でも使用されていた事に触れています。

Kaseyaにランサムウェア攻撃

 クライアント管理サービスのKaseyaに大規模ランサムウェア攻撃 またREvilの可能性 (07/04)

https://www.itmedia.co.jp/news/articles/2107/04/news014.html

 同社のIT環境管理・自動化サービス「VSA」のオンプレミス版が「高度なサイバー攻撃の犠牲になった」 ・・・ SaaSサーバも念の為オフラインにした(影響を受ける顧客は世界で約3万6000)。同社は約40の顧客が影響を受けたことを確認しており、保護のためすべての顧客にVSAを停止するよう呼び掛けた。

 Kaseyaとも協力しているセキュリティ企業のHuntress Labsは、このランサムウェア攻撃は5月にJBSを攻撃したのと同じ犯罪集団「REvil」が関わっている可能性が高いとしている。REvilはロシアを拠点としているとみられている。

 添えられた脅迫状では、身代金は仮想通貨の「Monero」で要求されている。

 米司法省(DoJ)は6月、米石油移送パイプライン大手のColonial Pipelineがビットコインで支払ったランサムウェアの身代金の秘密鍵を米連邦捜査局(FBI)が持つことで、身代金の一部を差し押さえたと発表した。Moneroの仕組みではこうした対策はできない。

 Kaseyaは米連邦捜査局(FBI)および米国土安全保障省のサイバーセキュリティ機関CISAと協力している。


PrintNightmare CVE-2021-34527

「PrintNightmare」は「CVE-2021-1675」と異なる脆弱性 - MSが回避策をアナウンス (07/02)

https://www.security-next.com/127752

 マイクロソフトはセキュリティアドバイザリを急遽リリースした。パッチは用意されておらず、回避策をアナウンスしている。(筆者注、次の記事参照)

 セキュリティ研究者が実証コードを一時公開。その後削除したものの、第三者が公開しており、すでに拡散している。

  修正プログラムを適用した環境においても、エクスプロイトコードの実行を防げない「ゼロデイ状態」にある・・・

  リモートからSYSTEM権限で任意のコードを実行されるおそれがある・・・


回避策など、具体的にまとまっている記事(↓)

[回避策あり][PrintNightmare]Windowsの印刷スプーラーにゼロデイ脆弱性CVE-2021-34527 (07/02)

https://a-zs.net/cve-2021-1675/


・概要

 「PrintNightmare」で発生する脆弱性は、ドメインコントローラーにおいては2021年6月の累積更新プログラムでは完全に防げず、結果的にゼロデイ脆弱性「CVE-2021-34527」が知られることになりました。

 Microsoftよるとドメインコントローラーが影響を受ける・・・まだ調査中で不明な点もあります。


・回避策、一次情報

 Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527
 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527


・回避策要否判断、印刷スプーラーサービスが実行されているか確認するには

 Powershellで、「Get-Service -Name Spooler」 実行


・【回避策1】印刷スプーラーサービスを無効にする

 Stop-Service -Name Spooler -Force

 Set-Service -Name Spooler -StartupType Disabled

 以上のコマンドを実行後、OSを再起動


・【回避策2】グループポリシーでクライアント接続禁止

 グループポリシーで「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にする

 コンピューターの構成 > 管理用テンプレート > プリンター の「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にして、リモート攻撃をブロック


・参考

Active Directory でグループ ポリシー設定を使用してプリンターを制御する (2020/09/08)  

https://docs.microsoft.com/ja-jp/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printer


・回避策の影響

 プリントサーバーとして機能しなくなります。


・その他

 CVE-2021-34527脆弱性は2021年6月の累積更新プログラムで修正されたCVE-2021-1675脆弱性とは異なる。

 この脆弱性は2021年6月の累積更新プログラムの前から存在していた。

 ドメインコントローラーが影響を受ける。他の種類の役割も影響を受けるかどうかはまだ調査中。

 この脆弱性を含むコードはすべてのバージョンのWindowsにある。すべてのバージョンが悪用可能かどうかはまだ調査中。


コマンドプロンプトから、Windows SCコマンドで診断・対処する方法(↓)

PrintNightmare の脆弱性を阻止するには (07/02)

https://news.sophos.com/ja-jp/2021/07/02/printnightmare-vulnerability-what-to-do-jp/


・対策

1.印刷スプーラーを可能な限りオフにしてください。
2.どうしてもオフにできない Windows マシンでは、印刷スプーラーサービスへのアクセスを可能な限り厳しく制限してください。
3.パッチを確認し、公開され次第直ちに適用してください。


・印刷スプーラーを実行しているデバイスを特定する方法

(1)Sophos EDR / Sophos XDR を使用して特定する

(2)Windows SC (サービスコントロール) コマンドを使用して特定する

 C:\Users\duck>sc query spooler

 

・再起動してもスプーラーが自動的に起動しないようにするには

 C:\Users\duck>sc config spooler start= disabled

本記事は、追加情報が入り次第更新します。。。とのこと


Windowsの印刷スプーラーにゼロデイ脆弱性? 「PrintNightmare」が公表・即削除 (06/30)

https://forest.watch.impress.co.jp/docs/news/1335086.html


・経緯

 Windowsの印刷スプーラーの脆弱性(CVE-2021-1675)を悪用して任意コードの実行が可能になることを実証したコード(PoC)が6月29日、「GitHub」で公開された。・・・すぐに削除されたものの、その内容はすでに広まっており、警戒を要する。 

 「CVE-2021-1675」は2021年6月のセキュリティ更新で対処されている・・・深刻度も低く見積もっていた。しかし、Microsoftは21日に・・・脆弱性の内容を「任意コードの実行」、深刻度を「Critical」に改めている。すべてのパッチを当てた環境でも攻撃が成立すると主張する研究者もいる・・・


・ベストプラクティス、ヒント

 Windowsの印刷スプーラーでは、過去にいくつも脆弱性が発見されてきた。最近では、四半世紀にわたり気付かれなかった「PrintDemon」脆弱性が記憶に新しい。 

・参考

四半世紀にわたり気付かれなかったWindows印刷スプーラーの脆弱性が2020年5月パッチで修正 (2020/05/19)

https://forest.watch.impress.co.jp/docs/news/1253261.html


 10年以上前にイランの核施設攻撃に用いられたマルウェア「Stuxnet」もWindowsの印刷スプーラーの脆弱性が一部用いられた。