セキュリティエンジニアが気になったニュースまとめ 2024/7/22~7/28

セキュリティニュース

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2024/7/22

Okta ブラウザ プラグインの反射型XSS脆弱性

https://trust.okta.com/security-advisories/okta-browser-plugin-reflected-cross-site-scripting-cve-2024-0981/

Okta Browser Plugin versions 6.5.0 through 6.31.0 (Chrome/Edge/Firefox/Safari) are vulnerable to cross-site scripting.

要約:Okta Browser Pluginのバージョン 6.5.0~6.31.0 (Chrome/Edge/Firefox/Safari)においてクロスサイト・スクリプティング(XSS)脆弱性が明らかとなったものです。

クロスサイトスクリプティング(XSS)とは、悪意のある第三者が脆弱性のあるWebサイトに罠を仕掛け、アクセスしたユーザーに対し不正にスクリプトを実行させる攻撃手法です。
攻撃が成立した場合、Cookie値を詐取されたり、フィッシングの被害にあう可能性があります。
現在は脆弱性を修正した「Okta Browser Plugin 6.32.0」がリリースされています。

2024/7/23

Docker エンジンにおける AuthZ プラグイン バイパスの回帰

https://www.docker.com/blog/docker-security-advisory-docker-engine-authz-plugin/

In 2018, a security issue was discovered where an attacker could bypass AuthZ plugins using a specially crafted API request. This could lead to unauthorized actions, including privilege escalation. Although this issue was fixed in Docker Engine v18.09.1 in January 2019, the fix was not carried forward to later versions, resulting in a regression.

要約:2018 年、攻撃者が細工したAPIリクエストを送信し、「AuthZ」認証プラグインをバイパスできるという問題が発見されました。2019年1月、Docker Engine v18.09.1にてこの問題は修正されましたが、以降のバージョンには修正が含まれていませんでした。

一度対応したはずの認証バイパスの脆弱性への修正が、Docker Engine v19.03 以降のバージョンには含まれていなかったことが判明しました。
ソフトウェアが更新・修正される際、以前修正した不具合やバグが再発することを『リグレッション』といい、
更新・修正によって既存の機能に影響を与えていないかを確認するテストを『回帰テスト(リグレッションテスト)』といいます。
認証バイパスは、攻撃者がパスワード等の認証情報の入力を迂回・回避してシステムにアクセスする事で、機密情報の窃取や改ざんなど、あらゆるリスクが考えられる重大な脅威です。
プログラム更新の際はテストを行い、思わぬ影響が出ていないかに注意する必要があります。

2024/7/24

偽の CrowdStrike Crash Reporter インストーラーを配信する、出所不明のスピアフィッシング攻撃

https://www.crowdstrike.com/blog/malicious-inauthentic-falcon-crash-reporter-installer-spearphishing/

On July 24, 2024, CrowdStrike Intelligence identified an unattributed spearphishing attempt delivering an inauthentic CrowdStrike Crash Reporter installer via a website impersonating a German entity. The website was registered with a sub-domain registrar. Website artifacts indicate the domain was likely created on July 20, 2024, one day after an issue present in a single content update for CrowdStrike’s Falcon sensor — which impacted Windows operating systems — was identified and a fix was deployed.

要約:2024 年 7 月 24 日、CrowdStrike Intelligence は、ドイツの企業を装った Web サイト経由で偽の CrowdStrike Crash Reporter インストーラーを配信する、出所不明のスピアフィッシング攻撃を特定しました。
このWebサイトのドメインは登録事業者に登録されており、おそらく 2024年7月20日に作成されたと考えられます。これはWindows オペレーティングシステムに影響するCrowdStrike のFalconセンサーのコンテンツ更新に存在する問題が特定され、修正プログラムが展開された翌日です。

7/19に発生した「CrowdStrike」のEDR製品が導入されているWindows端末における大規模障害の影響を受けたユーザーが標的と思われる、Web サイトにて偽の修復ソフトを配信するスピアフィッシング攻撃を特定しました。
スピアフィッシング攻撃は、標的を絞った特定の個人や組織を狙うフィッシング攻撃の一種です。標的を絞って攻撃を行う為、ランダムに行われるメールフィッシングなどよりも騙されるリスクが高まります。
ソフトウェア不具合への対応は、くれぐれも公式の情報であることをよく確認したうえ行いましょう。

まとめのまとめ

「CrowdStrike」のEDR製品が導入されているWindows端末への大規模障害によって5000便以上の航空便の欠航など、様々なサービスに影響が及んだそうです。被害額を考えると恐ろしいですね。

担当:YA

 

 

タイトルとURLをコピーしました