| 事件発生日 | 2023年5月 |
|---|---|
| 被害者名 | TP-Link Archer AX21 (AX1800) Wi-Fi routerの利用者 |
| 被害サマリ | CondiというDDoS-as-a-Serviceボットネットに感染 |
| 被害額 | 不明(予想) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | TP-Link Archer AX21 (AX1800) Wi-Fi routerの脆弱性であるCVE-2023-1389を悪用したCondiボットネットの感染 |
| マルウェア | Condiボットネット |
| 脆弱性 | CVE-2023-1389 |
| 事件発生日 | 2023年6月6日 |
|---|---|
| 被害者名 | University of Manchester(マンチェスター大学) |
| 被害サマリ | ランサムウェアの攻撃により、7TBの機密データ(学生や教職員の個人情報、研究データ、医療データ、警察レポート、薬物検査結果、HR文書、財務文書等)が盗まれ、データが漏えいすると脅された。 |
| 被害額 | 不明(予想:ランサムウェアの攻撃により、700万ドル) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | ランサムウェアの攻撃により、データを盗み、データの漏洩を脅迫した。 |
| マルウェア | 不明 |
| 脆弱性 | 不明 |
| 事件発生日 | 2023年6月20日 |
|---|---|
| 被害者名 | VMware社の顧客 |
| 被害サマリ | VMware Aria Operations for Networks(旧vRealize Network Insight)にある、遠隔からコマンド・インジェクションを引き起こす脆弱性(CVE-2023-20887)が攻撃され、リモートコードが実行されている |
| 被害額 | 不明(予想:数十万ドル以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | 遠隔からのコマンド・インジェクション攻撃 |
| マルウェア | 不明 |
| 脆弱性 | CVE-2023-20887 |
| 影響を受ける製品 | VMware Aria Operations for Networks (vRealize Network Insight) |
|---|---|
| 脆弱性名 | CVE-2023-20887 |
| 対策 | VMware Aria Operations Networks 6.xをアップデートすること |
| 脆弱性概要 | VMware Aria Operations Networks (vRealize Network Insight)には、コマンドインジェクションの脆弱性が存在します。未認証の攻撃者が、Apache Thrift RPCインターフェースを介してユーザー入力を受け入れると、攻撃者はrootユーザーとして基盤となるオペレーティングシステム上で任意のコマンドを実行できます。攻撃者は、Proof of Conceptと呼ばれるコードを使ってCVE-2023-20887を悪用する攻撃を既に行なっているとの報告があります。 |
| 重大度 | [高|中|低|なし|不明] |
| RCE | 有 |
| 攻撃観測 | 有 |
| PoC公開 | 有 |
| CVE | CVE-2022-46680、CVE-2023-1619、CVE-2023-1620 |
|---|---|
| 影響を受ける製品 | WagoおよびSchneider ElectricのOT製品 |
| 脆弱性サマリ | Wago 750コントローラには、特定の異常なパケットまたはログアウト後の特定のリクエストを送信することによって有効化できる、認証された攻撃者によるDoS攻撃が影響を与える。Schneider Electricの電力メーターで使用されるION/TCPプロトコルにおいて、資格情報の平文伝送に関するCVE-2022-46680があり、これにより脆弱なデバイスの制御が可能になる。 ※その他の59の脆弱性については不明 |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | 不明 |
| PoC公開 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Microsoft Outlook for Microsoft 365 |
| 脆弱性サマリ | Outlook for Microsoft 365において、キャッシュ再プライミング時にフリーズや遅延が発生する問題が報告されている。 |
| 重大度 | なし |
| RCE | 無 |
| 攻撃観測 | 不明 |
| PoC公開 | なし |
MicrosoftがReported by Sergiu Gatlanの記事で、Outlook for Microsoft 365においてキャッシュ再プライミング時にフリーズや遅延が発生する問題が報告されていると紹介した。また、影響を受けた顧客はアプリケーションイベントログに新しいエントリが追加されないこと、また新しいOSTファイルが作成されないことも報告した。同氏によると、顧客の多くは、アプリケーションを起動した後にキャンセルをクリックするとOutlookが直ちに起動することが報告されているという。Microsoftは問題を修正中であるとともに、顧客には別途ワークアラウンドを提供しており、Outlook RESTカレンダーシェアリングの更新を有効にすることで問題を回避できるとしている。
| 事件発生日 | 2023年6月20日 |
|---|---|
| 被害者名 | Linux SSHサーバーのオーナー(複数) |
| 被害サマリ | 不明な攻撃者がLinux SSHサーバーをブルートフォース攻撃し、Tsunami DDoSボット、ShellBot、ログクリーナー、特権エスカレーションツール、およびXMRig(Monero)コインマイナーなどのマルウェアをインストールしている。 |
| 被害額 | 不明(予想:数十万ドル程度) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | SSHサーバーに対するブルートフォース攻撃 |
| マルウェア | Tsunami DDoSボット、ShellBot、MIG Logcleaner v2.0、Shadow Log Cleaner、特権エスカレーションツール、XMRig(Monero)コインマイナー |
| 脆弱性 | 不明 |
| CVE | なし |
|---|---|
| 影響を受ける製品 | Azure Active Directory |
| 脆弱性サマリ | Azure ADのOAuthアプリケーションにおいて、特定条件下で悪意のある攻撃者が権限のエスカレーションを行い、アカウントを完全に奪取する可能性がある。 |
| 重大度 | 高 |
| RCE | 不明 |
| 攻撃観測 | なし |
| PoC公開 | なし |
| CVE | CVE-2023-27992 |
|---|---|
| 影響を受ける製品 | ZyxelのNASデバイス |
| 脆弱性サマリ | NASデバイスのファームウェアにある認証前のコマンドインジェクションにより、攻撃者が特別なHTTPリクエストを送信することによってOSコマンドを実行する可能性のある脆弱性 |
| 重大度 | 9.8 (critical) |
| RCE | 無 |
| 攻撃観測 | 不明 |
| PoC公開 | 公開されていない |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | 不明 |
| 被害サマリ | Ransomware種類のLockBit以降、Ransomwareが急増し進化し続けている。最新のRansomwareであるRorschachは、市場で最も速いRansomwareの1つであり、新しい暗号化手法である一時的な暗号化により、ファイルの一部だけを暗号化している。22,000ファイルを含む6コアマシンが4.5分で部分的に暗号化され、被害者はファイルにアクセスできなくなっている。攻撃者は、一度だけ攻撃を実行して、組織内のすべてのマシンでラスムワールを展開できるGroup Policyを作成することができる。 |
| 被害額 | 不明(予想される被害によっては数百万ドル以上) |
| 攻撃者名 | 不明 |
|---|---|
| 攻撃手法サマリ | Ransomware攻撃が進化し、速度を上げていることにより、セキュリティソフトウェアとセキュリティ担当者は攻撃を防止するための時間が限られている。攻撃者は一度だけ攻撃を実行して、組織内のすべてのマシンでラスムワールを展開できるGroup Policyを作成することができる。さらに、攻撃者は新しいRansomewareを開発・実装することにより、継続的に進化し続けている。 |
| マルウェア | LockBit、RorschachなどのRansomware、その他のマルウェアは記事からは特定できない |
| 脆弱性 | 記事には触れられていない |
| CVE | なし |
|---|---|
| 影響を受ける製品 | なし |
| 脆弱性サマリ | ランサムウェアの進化による暗号化速度の高速化に対抗するための6つの対策について |
| 重大度 | なし |
| RCE | 不明 |
| 攻撃観測 | 有 |
| PoC公開 | なし |
| 事件発生日 | 不明 |
|---|---|
| 被害者名 | ウクライナ政府機関など複数の組織 |
| 被害サマリ | ロシアのAPT28とされるハッカー集団が、ウクライナ政府機関などのRoundcubeメールサーバーに攻撃を行い、未パッチのサーバーに侵入するためにRoundcube Webmailの脆弱性を悪用する悪意のあるメールが届けられた。サーバーに侵入したハッカーは、ターゲットのメールを傍受するために悪意のあるスクリプトを配置し、ターゲットのラウンドキューブのアドレス帳、セッションのクッキー、ラウンドキューブのデータベースに格納されたその他の情報を盗んだ。 |
| 被害額 | 不明 |
| 攻撃者名 | ロシア政府の軍事情報機関であるGRUに結びつけられるAPT28と見られるハッカー集団 |
|---|---|
| 攻撃手法サマリ | 悪意のあるメールを送信してRoundcube Webmailの脆弱性を利用して未パッチのサーバーにアクセス |
| マルウェア | 不明 |
| 脆弱性 | Roundcube WebmailのCVE-2020-35730、CVE-2020-12641、CVE-2021-44026の脆弱性を悪用 |