- 2024-07-15
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2024年7月第1回目のニュースレターとなります。
1. RADIUSプロトコルの脆弱性『Blast-RADIUS』:認証回避の危険性
RADIUSプロトコルに新たな脆弱性「Blast-RADIUS」が発見された。この脆弱性は、中間者攻撃を通じて認証応答を偽造し、認証を回避することが可能。特に、「MD5選択プレフィックス衝突攻撃」と組み合わさることで、パスワードや共有シークレットの推測不要で攻撃が実行できる。
この脆弱性は「UDP」を利用し、「PAP」(パスワード認証プロトコル)や「CHAP」(チャレンジハンドシェイク認証プロトコル)などの非EAP(Extensible Authentication Protocol)系認証方法に影響がある。根本的な対策には「RADIUS/TLS(RadSec)」の利用が有効。主要ベンダーも対応を開始しており、マイクロソフトはパッチを提供、Palo Alto Networksはアドバイザリを公開している。
- 詳しくは:Blast-RADIUS
- 注目ポイント:「Blast-RADIUS」の脆弱性は、従来から問題視されている中間者攻撃の新たな応用例である。特に、暗号の衝突攻撃技術が進展し、実用的な攻撃が可能になっている点が注目される。
2. ServiceNow『Now Platform』の深刻な脆弱性:早急なアップデートの必要性
ServiceNow(クラウドベースのサービスプラットフォームを提供する米国企業)は「Now Platform」に関する複数の深刻な脆弱性を公表し、早急にパッチを適用するよう呼びかけている。
7月10日に更新されたセキュリティアドバイザリによると、テンプレートインジェクションの脆弱性「CVE-2024-4879」、入力検証不備の脆弱性「CVE-2024-5217」、情報漏洩の脆弱性「CVE-2024-5178」の3件が確認された。特に「CVE-2024-4879」と「CVE-2024-5217」はリモートから認証なしにコードを実行可能であり、CVSSv3.1のベーススコアは共に9.8で「クリティカル」と評価されている。
- 詳しくは:ServiceNow:KB1648313/ServiceNow:KB1645154/ServiceNow:KB1648312
- 注目ポイント:今回の脆弱性は、リモートコード実行や情報漏洩といった重大なリスクをもたらす。特にテンプレートインジェクションや入力検証不備は、ウェブアプリケーションの開発における基本的なセキュリティの欠如を示している。
3. 日米豪など8カ国が連携:中国関与のサイバー攻撃グループ『APT40』に対抗
NISCと警察庁は、中国のサイバー攻撃グループ「APT40」への対策として、国際アドバイザリに署名した。署名にはオーストラリア、日本、米国、イギリス、カナダ、ニュージーランド、ドイツ、韓国の8カ国が参加。APT40は中国国家安全部(MSS)から業務を請け負い、政府や企業に対してサイバー攻撃を行っていることが確認されている。
攻撃手法として、脆弱性の概念実証(PoC)の悪用や、オンラインの脆弱なインフラを利用した認証情報の窃取、ウェブシェルの活用が含まれる。また、侵害したウェブサイトをコマンド&コントロール(C&C)サーバとして利用し、小規模事業者や家庭のネットワーク機器を踏み台にすることも報告されている。
- 詳しくは:豪州主導のAPT40グループに関する国際アドバイザリーへの共同署名について
- 注目ポイント:APT40の活動は、国家によるサイバー攻撃の一例として、国家間のサイバー戦争の深刻化を象徴している。脆弱性の概念実証(PoC)の迅速な悪用は、攻撃者が最新の技術トレンドを即座に取り入れている証拠であり、企業はそれに対応するための迅速な脆弱性管理が求められる。
4. JAXAへの不正アクセス:VPN脆弱性を起点とするサイバー攻撃の詳細
JAXAは、2023年10月に判明したサイバー攻撃について調査結果を公表。攻撃はVPNの既知の脆弱性を起点に展開され、内部ネットワークが侵害された。
外部機関からの通報で問題が発覚し、攻撃元との通信を遮断。外部協力のもとフォレンジック調査を進めた結果、Microsoft 365への不正アクセスの可能性も浮上。攻撃では未知のマルウェアが複数使用され、アカウント情報が窃取されることでMicrosoft 365に対する正規ユーザーを装った不正アクセスも確認された。
- 詳しくは:JAXAにおいて発生した不正アクセスによる情報漏洩について
- 注目ポイント:宇宙開発や航空技術は国家間の競争が激しい分野であり、攻撃者にとって機密情報の窃取を狙うインセンティブが大きい。
5. OpenSSH脆弱性『regreSSHion』がCisco製品に波及:緊急対応が必要
OpenSSHのサーバコンポーネントに脆弱性「CVE-2024-6387」が明らかになり、Cisco Systemsは40以上の製品が影響を受けると発表した。
過去に修正された「CVE-2006-5051」の再発で、リモートから認証なしにroot権限でコードを実行される危険性がある。CVSSv3.1のベーススコアは8.1で、Red Hatなどはクリティカルと評価している。影響を受ける製品には「Adaptive Security Appliance(ASA)」「Firepower Threat Defense(FTD)」などのセキュリティ製品や、ルータ、スイッチ、ワイヤレスデバイスが含まれている。さらに、実証コード(PoC)が公開されており、CiscoはIDS「Snort」に関するルールも公開している。
- 詳しくは: Remote Unauthenticated Code Execution Vulnerability in OpenSSH Server (regreSSHion): July 2024
- 注目ポイント:最近のトレンドとして、攻撃者が既知の脆弱性を再度利用するケースが増加しており、脆弱性の再発防止が重要視されている。常に最新のセキュリティアップデートの適用が求められている。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595