株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年8月第2回目のニュースレターとなります。
1.「WinRAR」狙うゼロデイ攻撃が4月以降に発生
「WinRAR」という人気のファイル圧縮ソフト(ZIPよりも高い圧縮率をほこる「RAR」形式(WinRAR独自形式)での圧縮も可能であり、特にマルチメディアファイルの圧縮に効果を発揮)に、特定のzip形式のファイルで内部ファイルのプレビューを行うと任意のコードが実行される脆弱性が発見された。
この脆弱性は4月以降ゼロデイ攻撃として悪用されており、8月に「WinRAR 6.23」にて修正された。
特に、投資に関する議論や情報交換を行うフォーラムで参考資料を装った悪意のzipファイルが拡散され、多くのマルウェアが配布されていた。
- 詳しくは:WinRARリリース
- 注目ポイント:日常的に使用する「ファイルのプレビュー」という行為を利用した攻撃。利用者は直ちにアップデートをしてほしい。
2.「Junos OS」に深刻な脆弱性
Juniper Networksの主要ネットワーク機器に共通で搭載されているOS「Junos OS」に、深刻な脆弱性が存在することが公表された。この脆弱性は「J-Webコンポーネント」に関連し、特に「SRXシリーズ」(ファイアウォール)と「EXシリーズ」(スウィッチ)の機器に影響を及ぼす可能性がある。
4つの脆弱性が明らかになり、個別のリスクスコアは「5.3」。しかし、これらの脆弱性が組み合わさることで、リモートからの認証なしのコード実行が可能となり、全体的なリスクスコアは「9.8」と極めて高く評価された。Juniperはセキュリティアップデートの提供を予定し、一時的な回避策として「J-Web」の無効化やアクセス制限を推奨している。
- 詳しくは:2023-08 Out-of-Cycle Security Bulletin: Junos OS: SRX Series and EX Series: Multiple vulnerabilities in J-Web can be combined to allow a preAuth Remote Code Execution
- 注目ポイント:個別の脆弱性が中程度のリスクを示しているにも関わらず、これらが組み合わせることで危険度が大幅に増加する事例である。複数の脆弱性の相互作用についても注意を払う必要がある。
3. フォーム設定ミスのため写真権利者の個人情報が閲覧可能に
小学館集英社プロダクション(ShoPro)とCURBONは、写真集「#アオフォト 2020-2022」(全国の高校1年生〜3年生を対象としたフォトコンテスト)の掲載許諾を求めるためのGoogleフォームに設定ミスがあったことを公表。このミスにより、回答者が他の回答者の登録情報を閲覧できる状態となっていた。
ミスが明らかとなったのは、回答者からの連絡を受けてからで、氏名、住所、電話番号、メールアドレスなどの32人の個人情報が流出の危険があった。ミスを修正後、該当者への連絡と説明を行った。
- 詳しくは:『# アオフォト2020-2022』の制作過程における個人情報流出に関するお詫びと今後の対応について
- 注目ポイント:オンラインツールの利用が一般的となる中、基本的な設定ミスが重大なセキュリティリスクを引き起こす可能性があることを示しており、日常の操作における注意の必要性を再認識させられる。
4. 「Barracuda ESG」へのゼロデイ攻撃
セキュリティ製品「Barracuda ESG」は、メールセキュリティアプライアンス(すべてのメールトラフィックを管理、フィルタリングして、メールを介した脅威やデータ漏洩から企業を保護)であり、Barracuda Networksが提供。この製品は、コマンドインジェクションの脆弱性「CVE-2023-2868」が5月に明らかにされ、2022年10月からゼロデイ攻撃が行われていた。中国関連の攻撃グループの関与も指摘されている。
FBIの調査によると、攻撃者は複数のマルウェアを展開し、フォレンジック調査を難しくするための技術を使用している。そのため、アプライアンスのスキャンだけでは足りず、ネットワークログの調査が必要とのこと。
- 詳しくは: Suspected PRC Cyber ActorsContinue to Globally Exploit Barracuda ESG Zero-Day Vulnerability
- 注目ポイント:セキュリティ製品自体が攻撃の対象となっていること、フォレンジック調査を回避する技術を使用していることが攻撃者のスキルの高さを物語る。異常を検知する仕組みの構築がより強く求められる。
5. アクセスポイント構築ソフト「RaspAP」に脆弱性
「Raspberry Pi OS」(ARMプロセッサを搭載したシングルボードコンピュータ用の標準オペレーティングシステム)のアクセスポイント構築ソフト「RaspAP」(WiFiのアクセスポイント構築など)に、極めて危険な脆弱性が存在することが判明。具体的には、「2.8.7」〜「2.8.0」のウェブインタフェースで「CVE-2022-39986」が存在し、この脆弱性を悪用すれば認証を回避してroot権限でコードを実行可能。さらに、「2.9.2」では「CVE-2022-39987」も指摘されており、認証済ユーザーがroot権限でコマンドを実行することが可能。
両脆弱性ともに、米国のNISTが高度な警戒を促すレーティングを付与。特に前者は「クリティカル」と評価されている。
- 詳しくは: CVE-2022-39986
- 注目ポイント:アクセスポイントの脆弱性は、そこに繋がるネットワーク全体がリスクにさらされる可能性がある。NISTや関連セキュリティ情報サイトを頻繁にチェックし、最新情報を迅速に取得・適用するようにしてほしい。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595