Oct 30, 2024

APT29’s Attack on Microsoft: Tracking Cozy Bear’s Footprints

 (02/08)

https://www.cyberark.com/resources/blog/apt29s-attack-on-microsoft-tracking-cozy-bears-footprints

同様の攻撃を防ぐために組織ができること

非本番環境の保護

IT組織が犯しがちな間違いの1つは、保護が不十分な開発環境がインターネットに公開され、脅威アクターがアクセスできるようになることです。これらの環境はセグメント化し、組織の境界の外部から簡単にアクセスできないようにする必要があります。組織は、本番環境のサイバーセキュリティ制御を非本番環境に拡張する必要がありますが、ベストプラクティスに従わないとデータ侵害が発生します。

私が目にするもう1つのよくある間違いは、テスト環境で感度の低いデータを使用し、簡単に流出を許すことです。エンド ユーザーの電子メールと添付ファイルは、従来のテナントに存在しませんでした。それでも、Microsoftは、本番環境とこのレガシーテナントで同じ資格情報を使用したことを認めています。脅威アクターがピボットして本番データにアクセスできるようになったのは、特権認証情報を再利用し、非本番環境と本番環境をセグメント化しなかったためです。

組織は、環境を実装するユーザーがベスト プラクティスに準拠していることを暗黙的に信頼できないため、MFA などの複数の制御を運用環境の外部に拡張する必要があります。MFAが重要であることは誰もが知っています。とはいえ、世界最大のテクノロジー大手の1つを含む多くの組織は、少なくともこの場合、それを正しく使用していませんでした。さらに、システムは常に安全に設定されているとは限らないと想定する必要があります。設定ミスやアカウントの過剰プロビジョニングは避けられないため、サイバーセキュリティに対して多層防御のアプローチを取ることを説いています。最小特権 MFA などの制御を非本番環境に活用することは非常に重要です。

Identity Threat Detection and Response(ITDR)の実装

ATP29によるMicrosoftへの攻撃は、ITDRが組織にとっていかに重要であるかを示す教科書的な例です。

プロキシを使用したパスワードスプレーによる初期アクセスから始まり、MFAの欠如が続き、特権的なOAuthアプリケーションの作成は、最終的には機密性の高い権限を持つユーザーアカウントの生成につながりました...これらのアクションはすべて、検出と対応の可能性を秘めていました。

サイバーセキュリティのすべての要素と同様に、ITDR機能は、攻撃が検出されるのを待つのではなく、リスクを事前に軽減するIDファブリックに緊密に統合されている場合、より効果的です。CyberArk LabsITDRの世界でプロジェクトに取り組んでいますが、私たちが提案するITDRルールのリストが攻撃のほとんどの側面をカバーしていることをお知らせします。

防御側は、上記の「少量」のスタイルの攻撃に対するパスワードスプレー検出の有効性を再評価する必要があります。OAuthに重点を置くことで、このような検出の重要性と、オンプレミスとクラウドの両方の側面をカバーする包括的なITDRソリューションの必要性が強調されています。

追加の防御策には、資格情報の再利用を防ぎ、組織のポリシーに従ってすべての資格情報を一貫してローテーションするための制御が含まれます。最後に、危険なコマンドの入力を検出することで、横方向と垂直方向の動きを制限することで、この攻撃のリスクをさらに減らすことができたはずです。

セキュリティ チームは、人間以外のエンティティと人間のエンティティ間のすべての偽装アクションを慎重に確認する必要があります。OAuth アプリケーション承認プロセス (同意の管理者権限が必要です。

推奨される ITDR 検出と対応

次の推奨事項は、パスワード スプレー攻撃、OAuth の不正使用、およびその他の悪意のあるアクションに対応しています。次のイベントをモニタして検出できます。

· MFA なしでログインする (それに応じて自動的に応答する)

· 認証資格情報の再利用と強制ローテーション

· OAuth アプリケーションの疑わしい作成または再アクティブ化

· OAuth アプリケーションのアイドル状態のアクティビティ

· ユーザーに付与された新しい管理者権限で、権限の変更と追加のための承認された組織プロセスからの逸脱との相関関係を追加しようとする(:ITサポートチケットを開くかMFAで再度認証する必要性)

· 事前の明示的なユーザー認証 (またはセッション開始イベントのないユーザーのアクティビティ

· 事前の MFA チェックなしの MFA 設定済みユーザーの動作

· 使用された credentials\tokens\cookie の有効期限が過ぎたために失敗したアクション

· 悪意のあるコマンドの入力

· 特権アクセス管理ソリューションをバイパスしようとする試み

· プロキシを使用したユーザーログイン

今こそ(そして常に)行動する時です

Microsoftに対するこの最近の攻撃は、国家の脅威アクターによる永続的で巧妙な脅威をはっきりと思い出させます。そして、Cozy Bearから見るのはこれが最後ではないでしょう。Microsoftの侵害発表から数日後、他の組織もこの脅威アクターの被害に遭ったと発表しました。CyberArk Labsは、これらの侵害の兆候が誰にでも利用可能になった今、さらに多くの攻撃が公開され続けると予想しています。また、脅威の状況は単一のアクターや国家に限定されないことを認識することも重要です。他の国々も積極的にサイバー能力を開発・改良しており、さまざまな動機で同様の攻撃を仕掛ける準備ができています。

この攻撃は、サイバー戦争の未来を垣間見るものでもあります。これは、サイバーセキュリティに対する警戒、協力、投資の強化を求める行動を呼びかけるものです。迫り来る国家によるサイバー攻撃の脅威は私たちの注意を必要としており、今こそ自分自身を強化する時です。これらの警告を無視することは、私たちの危険を冒すことになります。グローバルコミュニティとして、私たちは国家によるサイバー攻撃の脅威からデジタルインフラを守るために、一丸となって取り組まなければなりません。

Piecing Together the Attack on Okta’s Support Unit

Oktaのサポートユニットへの攻撃をつなぎ合わせる (2023/10/24)

https://www.cyberark.com/resources/blog/piecing-together-the-attack-on-oktas-support-unit

6つのステップと新しいCyberArk HARツールでリスクを軽減

1. 時間をかけて検出と対応のプロセスとタイムラインを見直し、平均検出時間(MTD)と平均対応時間(MTR)を短縮する方法に焦点を当てます。新しい Identity Threat Detection and Response (ITDR) 規範は、有用なフレームワークであり、理想的な最終状態として機能します。

ユーザーの行動をベースライン化し、アカウント(特に強力な管理者アカウント)への疑わしい接続を継続的に監視する機能は、VPNや古いユーザーエージェントを介したログイン、不明な場所からのログイン、サポートセッションの直後のログイン、REST APIを介して作成/変更されたアカウントなど、疑わしいアクティビティをより迅速にキャッチするのに役立ちます

2. ネットワークIDを保護するために、できればFIDOパスワードレス(つまり、物理デバイスに関連するパスキー)を使用して、すべてのユーザーにMFAを適用します。

3. 管理ポータルへのアクセスは、検証済みのソース(デバイスIPアドレス、地域など)からのみ許可します。

4. 機密性の高いアカウント(管理者アカウントなど)にアクセスできる特定のマシンのホワイトリストを作成し、他のすべてのマシンをブロックします。

5. オペレーティングシステムを強化し、エンドポイントで最小権限を適用すると、攻撃者がエンドポイントにアクセスしたり、永続性を確立したり、ファイルを盗んだり、資格情報を侵害したり、損害を与えたりする能力が大幅に制限される可能性があります。

6. HARファイルを共有する前に、HARファイル内のすべての資格情報とセッショントークン(Cookie)をサニタイズします。このプロセスを簡素化するためのツールを作成しました。らに、セッションの終了直後に、サポート担当者にすべてのサポート関連ファイルを消去するように要求します。

アイデンティティは、すべての組織における信頼の根源です。信頼が乱用されると、たとえそれが1つのアイデンティティの侵害や誤用に関与していたとしても、リスクはすぐに下流に転じる可能性があります。私たちは皆、警戒を怠らず、攻撃の検出、軽減、開示のスピードを優先し、すべてのサイバーセキュリティに関する意思決定をアイデンティティのレンズを通して評価する必要があります。

 

Oct 22, 2024

セキュリティニュース - Issue #192 から(その2)

重要なお知らせ20241007)【10月7日 17:40更新 復旧】『奉行クラウド』『奉行クラウドEdge障害発生のお知らせ (obc.co.jp) (10/07)

『【障害発生期間】

2024 10 7日(月)1031分 ~ 1348分 ・・・

 

【原因と対応】

『奉行クラウド』『奉行クラウドEdgeが稼働するクラウド基盤に対する外部からのサイバー攻撃(DDoS攻撃)が発生し、その影響を受けました。

通信影響のみでありお客様のデータへの影響はありませんので、ご安心ください。

弊社で対処を実施し、サービスの利用再開後も影響が回避できていることを確認しています。

今後についてもファイアウォール(WAFWeb Application Firewallサービス提供元と連携して対策を講じてまいります。

 

重要なお知らせ20241008)【10月8日 10時35 更新(復旧)】『奉行クラウド』『奉行クラウドEdge障害発生のお知らせ (obc.co.jp) (10/08)

『【障害発生期間】・・・

2024 10 8日(火) 9 5分 ごろより 2024 10 8日(火) 10 4分ごろまで

 

【原因と対応】

弊社の利用するファイアウォール(WAFWeb Application Firewall)サービスの提供元において、

昨日107日(月)の事象への対策を講じておりましたが、その対応内容に一部問題がありました。

サービス提供元での対処が完了し、WAFサービスの正常動作を確認しております。

なお、今回は昨日のようなDDoS攻撃は発生しておりません。』

 

重要なお知らせ20241009)『奉行クラウド』『奉行クラウドEdge』2024年10月7日・8日の障害発生のお詫びとご報告 (obc.co.jp) (10/09)

WAFサービス側での対策と合わせ、弊社での対策として以下を実施いたします。

 

・お客様のサービスへのアクセス経路の変更対応

107日の対処と同様に、万が一WAFサービス側で対処ができない事態の場合には

外部攻撃を回避かつ安全性が確保された状態のアクセス経路へ変更します。

 

・上記対応が迅速にとれる環境への変更

→万が一の際、迅速に対処して早期に復旧できるよう、運用環境を変更します。

上記の「外部攻撃を回避かつ安全性が確保された状態のアクセス経路」を常時用いないのは何故コスト因?

 

Security Advisory Ivanti CSA (Cloud Services Application) (CVE-2024-9379, CVE-2024-9380, CVE-2024-9381) (10/08-21)

『エクスプロイトに成功すると、管理者権限を持つ攻撃者が制限を回避したり、任意のSQLステートメントを実行したり、リモートでコードを実行したりする可能性があります。』

以下二つはK.E.V. Catalogue掲載された(10/09)

l  CVE-2024-9379

CVSS Score 6.5 (ver. 3.1), Severity MEDIUM

l  CVE-2024-9380

CVSS Score 7.2 (ver. 3.1), Severity HIGH

 

CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA (10/08)

  • CVE-2024-43047 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
  • CVE-2024-43572 Microsoft Windows Management Console Remote Code Execution Vulnerability
  • CVE-2024-43573 Microsoft Windows MSHTML Platform Spoofing Vulnerability

 

CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA (10/09)

  • CVE-2024-23113 Fortinet Multiple Products Format String Vulnerability
  • CVE-2024-9379 Ivanti Cloud Services Appliance (CSA) SQL Injection Vulnerability
  • CVE-2024-9380 Ivanti Cloud Services Appliance (CSA) OS Command Injection Vulnerability

 

— nekono_nanomotoni (@nekono_naha) October 10, 2024

本日KEVに追加されたFortinet製品のCVE-2024-23113の調査メモです。FortiManagerによりForti製品を一括管理する際に使われるFGFMサービスに起因する脆弱性で、デフォルト無効のサービスのため影響範囲は限定的かと一瞬思いましたが、本サービスはCensysではグローバルで79万台、国内1.6万台が外部に露出しています。

・・・

備考:

Shodanでも多くのFotiGate541/tcpがヒットしますが、かなりの数が捕捉漏れしているため今回はCensysの結果を参照すべきです

 

参考

今週の気になるセキュリティニュース - Issue #192 (10/13)

https://negi.hatenablog.com/entry/2024/10/13/234124


Oct 21, 2024

セキュリティニュース - Issue #192 から

Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1 — Mozilla (10/09)

『攻撃者は、アニメーションタイムラインのメモリ解放後使用(Use After Free)を悪用することで、コンテンツプロセスでコードを実行することができました。 この脆弱性が悪用されているという報告があります。』

CVE-2024-9680

 

New Release: Tor Browser 13.5.7 | The Tor Project (10/09)

『このバージョンには、Firefox の重要なセキュリティ更新が含まれています』

 

New Release: Tails 6.8.1 | The Tor Project (10/10)

『誤解のないように言っておきますが、Tor Projectには、Tor Browserのユーザーが特に標的にされたという証拠はありません・・・

このリリースは、重大なセキュリティの脆弱性を修正するための緊急リリースです・・・

 

変更と更新

Tor Browser13.5.7に更新すると、メモリ解放後使用(Use After Free)の大きな脆弱性であるMFSA 2024-51が修正されます。この脆弱性を利用して、攻撃者はTor Browserを制御する可能性がありますが、Tailsで匿名化を解除することはおそらくありません。』

 

参考

今週の気になるセキュリティニュース - Issue #192 (10/13)

https://negi.hatenablog.com/entry/2024/10/13/234124


Oct 18, 2024

脆弱性ニュース他 (10/18)

What lessons can we learn from the CrowdStrike outage? | LinkedIn (10/12)

 

CISA、FBI、NSA、および国際的なパートナーが、ブルートフォースを使用して重要インフラ組織を標的とするイランのサイバーアクターに関するアドバイザリをリリース  (10/16)

202310月以降、イランの攻撃者は、ブルートフォース攻撃とパスワードスプレーを使用して、ユーザーアカウントを侵害し、ヘルスケアおよび公衆衛生(HPH)、政府、情報技術、エンジニアリング、およびエネルギーセクターの組織にアクセスしています。

 

CISA とパートナーは、重要インフラストラクチャ組織に対して、提供されたガイダンスに従うこと、すべてのアカウントで強力なパスワードを使用し、番目の形式の認証を登録することを推奨しています。』 ←機械翻訳

 

Fortinet製品の重大な脆弱性 約8万7000件のIPアドレスに影響:セキュリティニュースアラート - ITmedia エンタープライズ (10/17)

Fortinet製品の深刻な脆弱(ぜいじゃく)性(CVE-2024-23113)に対して数万のIPアドレスが脆弱である・・・この脆弱性は積極的に悪用されていることが確認されており、悪用された場合、重大なリモートコード実行のリスクがある。』

FortinetCVE-2024-23113に対する修正プログラムを20242月に公開している。ただしこの修正プログラムは完全な解決策ではなく一時的な緩和策であることが報告されている。このプログラムは攻撃のリスクを減少させるものの完全な保護を保証するものではないため、引き続き対策が必要とされている。』

 

l  深刻度

Known Exploited Vulnerabilities Catalog | CISA

このKEVカタログにはCVE-2024-2311310/15付で登場。

 

l  解決策と緩和策

PSIRT | FortiGuard Labs (2024/02/08-10/17)

FortiOS fgfmd daemon の脆弱性、対象製品・バージョン、解決策と緩和策が述べられている。

Workaroundsは①fgfm access 定義の削除に加え、②アクセス可能IPアドレスをポリシーで制限する。

 

Mitigate the critical Format String Bug (... - Fortinet Community (10/16)

緩和策としてGUICLIでのFortiWeb へのアクセス制限方法が図解付きで述べられている。


Oct 17, 2024

AndroidデバイスのPINコード盗むマルウェア登場、日本でも被害

https://news.infoseek.co.jp/article/mynavi_2825839/ (10/17)

『Zimperiumはこのマルウェアおよび類似のマルウェアの脅威からデバイスおよびユーザーを保護するには、プロアクティブで高度な防御策の導入が重要としている。また、調査の過程で判明したIoCを「IOC/2024-10-TrickMo at master · Zimperium/IOC · GitHub」にて公開しており、必要に応じて活用することが望まれている。』

Oct 3, 2024

いろいろ 10/03

JVN#78356367: 複数のNTT東日本製ホームゲートウェイ/ひかり電話ルータにおけるアクセス制限不備の脆弱性 (09/24)

 

太陽光発電で防災無線に障害 パネル設置増で深刻化も - 日本経済新聞 (nikkei.com) (09/20)

対策は、国際規格「CISPR」への適合確認、電力線の遮蔽、既存パネルにノイズフィルター装置設置などらしい。

 

Copilot曰く

東京都における太陽光パネルのメーカー別シェアについて、最新の情報によると、以下のメーカーが主なシェアを占めています12:

1.   長州産業国内生産の品質と長期間の保証が評価され、シェアの約57%を占めています。

2.   シャープ高い変換効率と長期保証で、シェアは約11%です。

3.   カナディアンソーラー海外メーカーとして価格競争力があり、シェアは約10%です。

4.   Qセルズ(ハンファジャパン)高い発電効率と低価格で、シェアは約8%です。

5.   エクソル新興メーカーとして成長中で、シェアは約6%です。

これらのメーカーは、それぞれ異なる特徴や強みを持っており、東京都内での設置実績が豊富です。どのメーカーがあなたのニーズに最も合うか、詳細な比較を行うことをお勧めします。

1mirai-denchi.jp2solar-partners.jp

 

Windows11 22H2 / 21H2、サポート終了目前。脆弱性が修正されなくなる。Microsoftが再々度注意喚起 | ニッチなPCーマーの環境構築Z (nichepcgamer.com) (09/10)


Oct 1, 2024

その「中古スマホ」は買っても大丈夫?

事前に確認すべき7項目 | 日経クロステック(xTECH (2022/09/30)

『中古スマホを購入する際は、(1)商品の状態、(2付属品の有無、(3SIMロックの状態、(4ネットワーク利用制限の有無、(5)技適マークの有無、(6充電できるバッテリー容量、(7)無料保証の有無――7項目を必ず確認しよう。

 リファービッシュ品や認定リユース品は、一般的な中古スマホよりも安心して購入できる。ただし一般的な中古スマホに比べると購入できる機種数は少ない。特にキャリア認定の整備済みiPhoneは在庫薄になりがちだ。