- 2023-06-30
株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年6月第2回目のニュースレターとなります。
1. Fortinetの「SSL VPN」に深刻な脆弱性
「FortiOS」および「FortiProxy」の「SSL VPN」機能にヒープベースのバッファオーバーフローの脆弱性「CVE-2023-27997」が存在することを明らかとなった。細工されたリクエストにより、リモートより任意のコードやコマンドを実行されるおそれがある。
共通脆弱性評価システム「CVSSv3.2」において、同脆弱性のベーススコアを「9.2」とし、重要度を5段階中、もっとも高い「クリティカル(Critical)」とレーティングしている。
- 詳しくは:FortiOS & FortiProxy – Heap buffer overflow in sslvpn pre-authentication
- 注目ポイント:不正侵入に直接かかわる脆弱性のため、早急なアップデートを推奨する。
2. Barracuda ESGの侵害、中国関与か
Barracuda Networksの「Email Security Gatewayアプライアンス」に対して、半年以上にわたりゼロデイ攻撃が行われていた問題で、調査を行ったMandiantは、中国より支援を受けるグループが攻撃に関与したとの見方を示した。
侵害された結果、一部組織ではメールの窃取なども行われた。台湾や香港における著名な学者のほか、アジアやヨーロッパ地域の政府高官なども標的となっている。
- 詳しくは:MANDIANTリリース
- 注目ポイント:ゼロデイ攻撃にいち早く対処するために、最新の脅威とそれに対する対策についての知識の更新や自身の情報インフラの安全性の確保するための緊急性は重要度を増していることを示唆する記事である。
3.「BIND 9」に複数の脆弱性
DNSサーバ「BIND 9」に複数の脆弱性が明らかとなり、現地時間6月21日にアップデートがリリースされた。関連機関からも注意喚起が行われている。
同ソフトウェアに対して、「CVE-2023-2911」が明らかになった。特定の条件下でルックアップ処理のループが生じ、スタックオーバーフローによって予期せず終了するおそれがあるという。
アップデートがリリースされたことを受け、日本レジストリサービス(JPRS)では緊急の注意喚起を実施。バージョンアップの実施を強く推奨している。
- 詳しくは:ISC:CVE-2023-2911
- 注目ポイント:BIND9は広く普及したDNSサーバ用ソフトであるため、現状のDNS設定と運用状況を確認し、影響を受ける可能性のあるBIND 9のバージョンを使用しているかどうかを判断してほしい
4. 志布志市ふるさと納税サイトで情報流出
鹿児島県志布志市は、同市のふるさと納税特設サイトが不正アクセスを受け、クレジットカード情報が910件流出し、一部の情報が不正に利用されたことを明らかにした。期間中にシステムのアップデートや脆弱性検査なども実施していたが、被害の発生に気づくことができなかったという。
同サイトは「EC-CUBE」をベースにシステムが構築されており、「EC-CUBE」の本体に存在したクロスサイトスクリプティングの脆弱性を悪用された。
- 詳しくは: 志布志市リリース
- 注目ポイント:このような情報漏洩事件は自治体への信頼と評判に影響を及ぼし、納税額や寄付者数の減少を招きかねない。不正アクセスを早期発見するためには定期的な脆弱性スキャン、システム監視、そして脅威インテリジェンスの活用が必要である。
5. 米政府、脆弱性6件の悪用について注意喚起
CISAは、6つの脆弱性について、積極的な悪用が確認されたとしてKEVに追加し、警告した。
これらの脆弱性のうち、「CVE-2021-44026」および「CVE-2020-12641」は、オープンソースソフトウェアのWebメールソフトのRoundCubeにおけるSQLインジェクションおよびOS コマンド インジェクションに関する脆弱性で、「CVSSv3.1」ベーススコアがともに「9.8」、重要度は「クリティカル」と評価されている。さらに2016年に修正された「Firefox」および「Thunderbird」の「CVE-2016-9079」とWindowsカーネルの「CVE-2016-0165」も悪用が確認されている。
これらの脆弱性は、全ての組織において注意が必要であり、米行政機関において一定期間内に対応する義務が課されている。
- 詳しくは: CISA:Known Exploited Vulnerabilities Catalog
- 注目ポイント:これらの脆弱性はKEVに追加されており、セキュリティ担当者は優先度を上げて対処するべき事案である。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595