ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • 奉行クラウドなど複数のサービスで DDoS 攻撃による障害が発生
  • Internet Archive からユーザ情報が漏洩。また DDoS 攻撃による障害も発生。
• 攻撃、脅威
  • CISA と FBI が共同で、イランの攻撃者グループによる米国の政党関係者などを狙う攻撃に関する注意喚起
  • Microsoft がファイルホスティングサービスを悪用する攻撃手法について報告
• 脆弱性
  • Qualcomm 製の複数のチップセットに脆弱性。すでに悪用を確認
  • Microsoft が 2024年 10月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。
  • Ivanti CSA などに複数の脆弱性。すでに悪用を確認
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+3 個の脆弱性を追加
  • Firefox に脆弱性。すでに悪用を確認
• その他
  • Microsoft が Windows におけるパスキーのサポートを拡大

事件、事故

奉行クラウドなど複数のサービスで DDoS 攻撃による障害が発生

(10/7) 重要なお知らせ20241007）【10月7日 17:40更新 復旧】『奉行クラウド』『奉行クラウドEdge』障害発生のお知らせ

『奉行クラウド』『奉行クラウドEdge』が稼働するクラウド基盤に対する外部からのサイバー攻撃（DDoS攻撃）が発生し、その影響を受けました。

(10/8) 重要なお知らせ20241008）【10月8日 10時35分 更新(復旧)】『奉行クラウド』『奉行クラウドEdge』障害発生のお知らせ

弊社の利用するファイアウォール（WAF＝Web Application Firewall）サービスの提供元において、　昨日10月7日（月）の事象への対策を講じておりましたが、その対応内容に一部問題がありました。

(10/9) 重要なお知らせ20241009）『奉行クラウド』『奉行クラウドEdge』2024年10月7日・8日の障害発生のお詫びとご報告

Internet Archive からユーザ情報が漏洩。また DDoS 攻撃による障害も発生。

(10/9) Internet Archive hacked, data breach impacts 31 million users

What we know: DDOS attack–fended off for now; defacement of our website via JS library; breach of usernames/email/salted-encrypted passwords.

What we’ve done: Disabled the JS library, scrubbing systems, upgrading security.

Will share more as we know it.

— Brewster Kahle (@brewster_kahle) October 10, 2024

攻撃、脅威

CISA と FBI が共同で、イランの攻撃者グループによる米国の政党関係者などを狙う攻撃に関する注意喚起

(10/8) CISA and FBI Release Fact Sheet on Protecting Against Iranian Targeting of Accounts Associated with National Political Organizations | CISA

Microsoft がファイルホスティングサービスを悪用する攻撃手法について報告

(10/8) File hosting services misused for identity phishing | Microsoft Security Blog

脆弱性

Qualcomm 製の複数のチップセットに脆弱性。すでに悪用を確認

(10/7) Security Bulletins | Qualcomm Documentation

There are indications from Google Threat Analysis Group that CVE-2024-43047 may be under limited, targeted exploitation. Patches for the issue affecting FASTRPC driver have been made available to OEMs together with a strong recommendation to deploy the update on affected devices as soon as possible. Please contact your device manufacturer for more information on the patch status about specific devices.

(10/9) Hackers targeted Android users by exploiting zero-day bug in Qualcomm chips | TechCrunch

Microsoft が 2024年 10月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。

(10/8) 2024 年 10 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に、悪用が行われていることや、脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

• CVE-2024-43583 Winlogon の特権の昇格の脆弱性
• CVE-2024-43572 Microsoft 管理コンソールのリモートでコードが実行される脆弱性
• CVE-2024-20659 Windows Hyper-V のセキュリティ機能のバイパスの脆弱性
• CVE-2024-6197 オープン ソース Curl のリモートでコードが実行される脆弱性
• CVE-2024-43573 Windows MSHTML プラットフォームのなりすましの脆弱性

(10/8) Zero Day Initiative — The October 2024 Security Update Review

Ivanti CSA などに複数の脆弱性。すでに悪用を確認

(10/8) October 2024 Security Update | Ivanti

(10/8) Security Advisory Ivanti CSA (Cloud Services Application) (CVE-2024-9379, CVE-2024-9380, CVE-2024-9381)

We have observed limited exploitation of CSA 4.6 when CVE-2024-9379 or CVE-2024-9380 are chained with CVE-2024-8963, present in CSA 4.6 patch 518 and below, it could lead to unauthenticated remote code execution. We have not observed these vulnerabilities being exploited in CSA 5.0.

It is important for customers to know, CVE-2024-8963 was incidentally addressed in previous versions of CSA 5.0 with the removal of unnecessary code. The vulnerabilities disclosed below were discovered during our investigation into the exploitation of CVE-2024-8963 and CVE-2024-8190 in CSA 4.6 and found to be present, although not exploited, in CSA 5.0.

CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+3 個の脆弱性を追加

(10/8) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-43047 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
• CVE-2024-43572 Microsoft Windows Management Console Remote Code Execution Vulnerability
• CVE-2024-43573 Microsoft Windows MSHTML Platform Spoofing Vulnerability

(10/9) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-23113 Fortinet Multiple Products Format String Vulnerability
• CVE-2024-9379 Ivanti Cloud Services Appliance (CSA) SQL Injection Vulnerability
• CVE-2024-9380 Ivanti Cloud Services Appliance (CSA) OS Command Injection Vulnerability

本日KEVに追加されたFortinet製品のCVE-2024-23113の調査メモです。FortiManagerによりForti製品を一括管理する際に使われるFGFMサービスに起因する脆弱性で、デフォルト無効のサービスのため影響範囲は限定的かと一瞬思いましたが、本サービスはCensysではグローバルで79万台、国内1.6万台が外部に露… pic.twitter.com/5xjXqHKteU

— nekono_nanomotoni (@nekono_naha) October 10, 2024

Firefox に脆弱性。すでに悪用を確認

(10/9) Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1 — Mozilla

An attacker was able to achieve code execution in the content process by exploiting a use-after-free in Animation timelines. We have had reports of this vulnerability being exploited in the wild.

(10/9) New Release: Tor Browser 13.5.7 | The Tor Project

(10/10) New Release: Tails 6.8.1 | The Tor Project

Update Tor Browser to 13.5.7, which fixes MFSA 2024-51, a major use-after-free vulnerability. Using this vulnerability, an attacker could take control of Tor Browser , but probably not deanonymize you in Tails.

Mozilla is aware of this attack being used in the wild against Tor Browser users.

その他

Microsoft が Windows におけるパスキーのサポートを拡大

(10/8) Passkeys on Windows: Authenticate seamlessly with passkey providers - Windows Developer Blog