セキュリティニュース - Issue #192 から（その２）

重要なお知らせ20241007）【10月7日 17:40更新 復旧】『奉行クラウド』『奉行クラウドEdge』障害発生のお知らせ (obc.co.jp) (10/07)

『【障害発生期間】

2024年 10月 7日（月）10時31分 ～ 13時48分 ・・・

 

【原因と対応】

『奉行クラウド』『奉行クラウドEdge』が稼働するクラウド基盤に対する外部からのサイバー攻撃（DDoS攻撃）が発生し、その影響を受けました。

通信影響のみでありお客様のデータへの影響はありませんので、ご安心ください。

弊社で対処を実施し、サービスの利用再開後も影響が回避できていることを確認しています。

今後についてもファイアウォール（WAF＝Web Application Firewall）サービス提供元と連携して対策を講じてまいります。

』

 

重要なお知らせ20241008）【10月8日　10時35分 更新(復旧)】『奉行クラウド』『奉行クラウドEdge』障害発生のお知らせ (obc.co.jp) (10/08)

『【障害発生期間】・・・

⇒2024年 10月 8日（火）　9時 5分 ごろより　2024年 10月 8日（火） 10時 4分ごろまで

 

【原因と対応】

弊社の利用するファイアウォール（WAF＝Web Application Firewall）サービスの提供元において、

昨日10月7日（月）の事象への対策を講じておりましたが、その対応内容に一部問題がありました。

サービス提供元での対処が完了し、WAFサービスの正常動作を確認しております。

なお、今回は昨日のようなDDoS攻撃は発生しておりません。』

 

重要なお知らせ20241009）『奉行クラウド』『奉行クラウドEdge』2024年10月7日・8日の障害発生のお詫びとご報告 (obc.co.jp) (10/09)

『WAFサービス側での対策と合わせ、弊社での対策として以下を実施いたします。

 

・お客様のサービスへのアクセス経路の変更対応

→10月7日の対処と同様に、万が一WAFサービス側で対処ができない事態の場合には

外部攻撃を回避かつ安全性が確保された状態のアクセス経路へ変更します。

 

・上記対応が迅速にとれる環境への変更

→万が一の際、迅速に対処して早期に復旧できるよう、運用環境を変更します。

』

上記の「外部攻撃を回避かつ安全性が確保された状態のアクセス経路」を常時用いないのは何故? コスト因?

 

Security Advisory Ivanti CSA (Cloud Services Application) (CVE-2024-9379, CVE-2024-9380, CVE-2024-9381) (10/08-21)

『エクスプロイトに成功すると、管理者権限を持つ攻撃者が制限を回避したり、任意のSQLステートメントを実行したり、リモートでコードを実行したりする可能性があります。』

以下二つはK.E.V. Catalogueに掲載された(10/09)。

l  CVE-2024-9379

CVSS Score 6.5 (ver. 3.1), Severity MEDIUM

l  CVE-2024-9380

CVSS Score 7.2 (ver. 3.1), Severity HIGH

 

CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA (10/08)

『

• CVE-2024-43047 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
• CVE-2024-43572 Microsoft Windows Management Console Remote Code Execution Vulnerability
• CVE-2024-43573 Microsoft Windows MSHTML Platform Spoofing Vulnerability

』

 

CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA (10/09)

『

• CVE-2024-23113 Fortinet Multiple Products Format String Vulnerability
• CVE-2024-9379 Ivanti Cloud Services Appliance (CSA) SQL Injection Vulnerability
• CVE-2024-9380 Ivanti Cloud Services Appliance (CSA) OS Command Injection Vulnerability

』

 

— nekono_nanomotoni (@nekono_naha) October 10, 2024

『

本日KEVに追加されたFortinet製品のCVE-2024-23113の調査メモです。FortiManagerによりForti製品を一括管理する際に使われるFGFMサービスに起因する脆弱性で、デフォルト無効のサービスのため影響範囲は限定的かと一瞬思いましたが、本サービスはCensysではグローバルで79万台、国内1.6万台が外部に露出しています。

・・・

備考：

Shodanでも多くのFotiGateの541/tcpがヒットしますが、かなりの数が捕捉漏れしているため今回はCensysの結果を参照すべきです

』

 

参考

今週の気になるセキュリティニュース - Issue #192 (10/13)

https://negi.hatenablog.com/entry/2024/10/13/234124

セキュリティニュース - Issue #192 から

Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1 — Mozilla (10/09)

『攻撃者は、アニメーションタイムラインのメモリ解放後使用(Use After Free)を悪用することで、コンテンツプロセスでコードを実行することができました。 この脆弱性が悪用されているという報告があります。』

・CVE-2024-9680

 

New Release: Tor Browser 13.5.7 | The Tor Project (10/09)

『このバージョンには、Firefox の重要なセキュリティ更新が含まれています』

 

New Release: Tails 6.8.1 | The Tor Project (10/10)

『誤解のないように言っておきますが、Tor Projectには、Tor Browserのユーザーが特に標的にされたという証拠はありません・・・

このリリースは、重大なセキュリティの脆弱性を修正するための緊急リリースです・・・

 

変更と更新

Tor Browserを13.5.7に更新すると、メモリ解放後使用(Use After Free)の大きな脆弱性であるMFSA 2024-51が修正されます。この脆弱性を利用して、攻撃者はTor Browserを制御する可能性がありますが、Tailsで匿名化を解除することはおそらくありません。』

 

参考

今週の気になるセキュリティニュース - Issue #192 (10/13)

https://negi.hatenablog.com/entry/2024/10/13/234124

脆弱性ニュース他 (10/18)

What lessons can we learn from the CrowdStrike outage? | LinkedIn (10/12)

 

CISA、FBI、NSA、および国際的なパートナーが、ブルートフォースを使用して重要インフラ組織を標的とするイランのサイバーアクターに関するアドバイザリをリリース  (10/16)

『2023年10月以降、イランの攻撃者は、ブルートフォース攻撃とパスワードスプレーを使用して、ユーザーアカウントを侵害し、ヘルスケアおよび公衆衛生(HPH)、政府、情報技術、エンジニアリング、およびエネルギーセクターの組織にアクセスしています。

 

CISA とパートナーは、重要インフラストラクチャ組織に対して、提供されたガイダンスに従うこと、すべてのアカウントで強力なパスワードを使用し、2 番目の形式の認証を登録することを推奨しています。』 ←機械翻訳

 

Fortinet製品の重大な脆弱性　約8万7000件のIPアドレスに影響：セキュリティニュースアラート - ITmedia エンタープライズ (10/17)

『Fortinet製品の深刻な脆弱（ぜいじゃく）性（CVE-2024-23113）に対して数万のIPアドレスが脆弱である・・・この脆弱性は積極的に悪用されていることが確認されており、悪用された場合、重大なリモートコード実行のリスクがある。』

『FortinetはCVE-2024-23113に対する修正プログラムを2024年2月に公開している。ただしこの修正プログラムは完全な解決策ではなく一時的な緩和策であることが報告されている。このプログラムは攻撃のリスクを減少させるものの完全な保護を保証するものではないため、引き続き対策が必要とされている。』

 

l  深刻度

・Known Exploited Vulnerabilities Catalog | CISA

このＫＥＶカタログにはCVE-2024-23113が10/15付で登場。

 

l  解決策と緩和策

PSIRT | FortiGuard Labs (2024/02/08-10/17)

FortiOS fgfmd daemon の脆弱性、対象製品・バージョン、解決策と緩和策が述べられている。

Workaroundsは①fgfm access 定義の削除に加え、②アクセス可能IPアドレスをポリシーで制限する。

 

Mitigate the critical Format String Bug (... - Fortinet Community (10/16)

緩和策としてGUIやCLIでのFortiWeb へのアクセス制限方法が図解付きで述べられている。

AndroidデバイスのPINコード盗むマルウェア登場、日本でも被害

https://news.infoseek.co.jp/article/mynavi_2825839/ (10/17)

『Zimperiumはこのマルウェアおよび類似のマルウェアの脅威からデバイスおよびユーザーを保護するには、プロアクティブで高度な防御策の導入が重要としている。また、調査の過程で判明したIoCを「IOC/2024-10-TrickMo at master · Zimperium/IOC · GitHub」にて公開しており、必要に応じて活用することが望まれている。』

PPTP/L2TPプロトコルは非推奨に

PPTP/L2TPプロトコルは非推奨に ～将来バージョンのWindows Serverで削除へ - 窓の杜 (impress.co.jp) (10/11)

『より安全で効率的な代替策であるSSTPとIKEv2への移行を』

某所も見直しが必要になってきた。

VPNプロトコル５種類を比較！どれが安全？選び方は？｜ITトレンド (it-trend.jp) (06/10)

 

いろいろ １０／０３

JVN#78356367: 複数のNTT東日本製ホームゲートウェイ/ひかり電話ルータにおけるアクセス制限不備の脆弱性 (09/24)

 

太陽光発電で防災無線に障害　パネル設置増で深刻化も - 日本経済新聞 (nikkei.com) (09/20)

対策は、国際規格「ＣＩＳＰＲ」への適合確認、電力線の遮蔽、既存パネルにノイズフィルター装置設置などらしい。

 

・Copilot曰く

東京都における太陽光パネルのメーカー別シェアについて、最新の情報によると、以下のメーカーが主なシェアを占めています¹²:

1.   長州産業: 国内生産の品質と長期間の保証が評価され、シェアの約57%を占めています。

2.   シャープ: 高い変換効率と長期保証で、シェアは約11%です。

3.   カナディアンソーラー: 海外メーカーとして価格競争力があり、シェアは約10%です。

4.   Qセルズ（ハンファジャパン）: 高い発電効率と低価格で、シェアは約8%です。

5.   エクソル: 新興メーカーとして成長中で、シェアは約6%です。

これらのメーカーは、それぞれ異なる特徴や強みを持っており、東京都内での設置実績が豊富です。どのメーカーがあなたのニーズに最も合うか、詳細な比較を行うことをお勧めします。

1mirai-denchi.jp2solar-partners.jp

 

Windows11 22H2 / 21H2、サポート終了目前。脆弱性が修正されなくなる。Microsoftが再々度注意喚起 | ニッチなPCゲーマーの環境構築Z (nichepcgamer.com) (09/10)