セキュリティエンジニアが気になったニュースまとめ　2024/09/9～09/15

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。 

2024/9/10

Microsoft　セキュリティ更新プログラム (2024 年 9 月)

2024 年 9 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

2024 年 9 月 10 日 (米国時間) 、マイクロソフトは、マイクロソフト製品に影響する脆弱性を修正するために、セキュリティ更新プログラムを公開しました。影響を受ける製品をご利用のお客様は、できるだけ早期に、公開したセキュリティ更新プログラムを適用してください。なお、マイクロソフト製品では、一部の例外を除き既定で自動更新が有効になっており、自動的にセキュリティ更新プログラムが適用されます。最新の情報は、セキュリティ更新プログラム ガイド を確認してください。

なお、今月の「悪意のあるソフトウェアの削除ツール」では、新たに対応を追加したファミリはありません。

 

セキュリティ更新プログラム、セキュリティ アドバイザリに関する主な注意点

• 今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。
  • CVE-2024-43491 Microsoft Windows Update のリモートでコードが実行される脆弱性
  • CVE-2024-38014 Windows インストーラーの特権の昇格の脆弱性
  • CVE-2024-38217 Windows Mark Of The Web セキュリティ機能のバイパスの脆弱性
  • CVE-2024-38226 Microsoft Publisher のセキュリティ機能のバイパスの脆弱性
• 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2024-43491 Microsoft Windows Update のリモートでコードが実行される脆弱性は、CVSS 基本値が 9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能です。本脆弱性は、Windows 10 バージョン 1507 (Windows 10 Enterprise 2015 LTSB および Windows 10 IoT Enterprise 2015 LTSB) にのみ影響があります。その他のバージョンの Windows OS に影響はありません。なお、本脆弱性からシステムを保護するためには、2024 年 9 月 10 日にリリースされたサービス スタック更新プログラムをインストールしたうえで、2024 年 9 月 10 日にリリースされた Windows 用の更新プログラムをインストールする必要があります。
  本脆弱性は、セキュリティ更新プログラムが公開されるよりも前に、脆弱性の悪用を確認しています。脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨します。
• セキュリティ更新プログラムにおける既知の問題は、各セキュリティ更新プログラムのサポート技術情報を参照してください。既知の問題が確認されている各セキュリティ更新プログラムのサポート技術情報一覧は、2024 年 9 月セキュリティ更新プログラム リリースノートに掲載されています。

今回は「専門的なことがわからない」という一般ユーザーの方向けに、ご家庭で使われている率が高そうなアプリケーションやソフトのセキュリティ更新をピックアップし、端的にまとめようと思います。

Windowsのバージョンが以下に該当していたら、急ぎアップデートしましょう。
・Windows 11 の、v24H2, v23H2, v22H2, v21H2もしくはWindows 10のv22H2, 21H2。

以下のソフト・アプリケーションを使っていたら、急ぎアップデートしましょう。
・Microsoft Office
・Microsoft SharePoint
・Microsoft Dynamics 365（リモートワークされているのであれば使っているかもしれません）
・Power Automate for Desktop（ルーティン業務が面倒な方は自動化しているかもですね）

2024/9/10

CosmicBeetle が RansomHub と提携してカスタム ScRansom ランサムウェアを導入

CosmicBeetle が RansomHub と提携してカスタム ScRansom ランサムウェアを導入 (thehackernews-com.translate.goog)

The threat actor known as CosmicBeetle has debuted a new custom ransomware strain called ScRansom in attacks targeting small- and medium-sized businesses (SMBs) in Europe, Asia, Africa, and South America, while also likely working as an affiliate for RansomHub.

“CosmicBeetle replaced its previously deployed ransomware, Scarab, with ScRansom, which is continually improved,” ESET researcher Jakub Souček said in a new analysis published today. “While not being top notch, the threat actor is able to compromise interesting targets.”

Targets of ScRansom attacks span manufacturing, pharmaceuticals, legal, education, healthcare, technology, hospitality, leisure, financial services, and regional government sectors.

CosmicBeetle is best known for a malicious toolset called Spacecolon that was previously identified as used for delivering the Scarab ransomware across victim organizations globally.

Also known as NONAME, the adversary has a track record of experimenting with the leaked LockBit builder in an attempt to pass off as the infamous ransomware gang in its ransom notes and leak site as far back as November 2023.

It’s currently not clear who is behind the attack or where they are from, although an earlier hypothesis implied that they could be of Turkish origin due to the presence of a custom encryption scheme used in another tool named ScHackTool. ESET, however, suspects the attribution to no longer hold water.

“ScHackTool’s encryption scheme is used in the legitimate Disk Monitor Gadget,” Souček pointed out. “It is likely that this algorithm was adapted [from a Stack Overflow thread] by VOVSOFT [the Turkish software firm behind the tool] and, years later, CosmicBeetle stumbled upon it and used it for ScHackTool.”

Attack chains have been observed taking advantage of brute-force attacks and known security flaws (CVE-2017-0144, CVE-2020-1472, CVE-2021-42278, CVE-2021-42287, CVE-2022-42475, and CVE-2023-27532) to infiltrate target environments.

The intrusions further involve the use of various tools like Reaper, Darkside, and RealBlindingEDR to terminate security-related processes to sidestep detection prior to deploying the Delphi-based ScRansom ransomware, which comes with support for partial encryption to speed up the process and an “ERASE” mode to render the files unrecoverable by overwriting them with a constant value.

CosmicBeetleという、主にヨーロッパの組織を攻撃しているハッカーグループが、新しいカスタムランサムウェアであるScRansomを使い、ヨーロッパ、アジア、アフリカ、南米の中小企業・製造、製薬、法律、教育、ヘルスケア、テクノロジー、ホスピタリティ、レジャー、金融サービス、地方政府部門を主なターゲットとした攻撃を仕掛けているとのこと。

このランサムウェアは現時点ではブルートフォース攻撃やCVE-2017-0144、CVE-2020-1472、CVE-2021-42278、CVE-2021-42287、CVE-2022-42475、CVE-2023-27532を悪用しているそうです。

侵入にはさまざまなツールが使用され、Delphi ベースの ScRansom ランサムウェアを展開する前に、セキュリティ関連のプロセスを終了して検出を回避するようです。

以下はCVEと脆弱性名称です。

CVE-2017-0144（Windows SMBリモートコード実行の脆弱性）
CVE – CVE-2017-0144 (mitre.org)

CVE-2020-1472（Netlogon の特権の昇格の脆弱性）
Netlogon の特権の昇格の脆弱性 (CVE-2020-1472) への早急な対応を (jpcert.or.jp)

CVE-2021-42278（sAMAccountName スプーフィング　セキュリティ バイパスの脆弱性）
KB5008102 – Active Directory セキュリティ アカウント マネージャーの変更の強化 (CVE-2021-42278) – Microsoft サポート

CVE-2021-42287（Kerberos　セキュリティ バイパスの脆弱性）
KB5008380 – 認証の更新プログラム (CVE-2021-42287) – Microsoft サポート

CVE-2022-42475（FortiOSのSSL-VPN機能　ヒープバッファオーバーフローの脆弱性）
FortiOSのヒープベースのバッファーオーバーフローの脆弱性（CVE-2022-42475） (fortinet.com)

CVE-2023-27532（Veeam Backup & Replicationコンポーネントの脆弱性）
NVD – CVE-2023-27532 (nist.gov)

記事を執筆している2024/9/11時点では日本国内の攻撃報告は確認できていませんが、取り急ぎ上記に該当していると被害にあってもおかしくはないので、調査等してみてはいかがでしょうか。

2024/9/11

GitLab クリティカル パッチ リリース

GitLab Critical Patch Release: 17.3.2, 17.2.5, 17.1.7 | GitLab

Today we are releasing versions 17.3.2, 17.2.5, 17.1.7 for GitLab Community Edition (CE) and Enterprise Edition (EE).

These versions contain important bug and security fixes, and we strongly recommend that all self-managed GitLab installations be upgraded to one of these versions immediately. GitLab.com is already running the patched version. GitLab Dedicated customers do not need to take action.

重要なバグとセキュリティの修正をしたGitLab Community Edition (CE) および Enterprise Edition (EE) のバージョン 17.3.2、17.2.5、17.1.7 をリリースしました。

脆弱性については「クリティカル（Critical）」1件、「高（High）」3件、「中（Medium）」11件、「低（Low）」2件など、計17件の脆弱性に対応したものとなっています。

「クリティカル」の脆弱性は「CVE-2024-6678」で、弱い認証を悪用されることによって、特定の状況下で攻撃者が認証をバイパスして任意のパイプラインを実行、システムへの不正アクセスやデータ漏洩などにつながる可能性があるとのことです。
CVSSv3.1のベーススコアでは「9.9」と評価されています。

重要度「高」は「CVE-2024-8640」の「Cubeサーバ」にコマンドを挿入できる脆弱性や、「CVE-2024-8635」のサーバサイドリクエストフォージェリ（SSRF）の脆弱性、「CVE-2024-8124」のサービス拒否の脆弱性など。

以下はCVEと脆弱性名称です。

Exposure of protected and masked CI/CD variables by abusing on-demand DAST
CVE – CVE-2024-2743 (mitre.org)
Open redirect in repo/tree/:id endpoint can lead to account takeover through broken OAuth flow
CVE – CVE-2024-4283 (mitre.org)
Dependency Proxy Credentials are Logged in Plaintext in graphql Logs
CVE – CVE-2024-4472 (mitre.org)
Open redirect in release permanent links can lead to account takeover through broken OAuth flow
CVE – CVE-2024-4612 (mitre.org)
Guests can disclose the full source code of projects using custom group-level templates
CVE – CVE-2024-4660 (mitre.org)
Credentials disclosed when repository mirroring fails
CVE – CVE-2024-5435 (mitre.org)
Commit information visible through release atom endpoint for guest users
CVE – CVE-2024-6389 (mitre.org)
User Application can spoof the redirect url
CVE – CVE-2024-6446 (mitre.org)
Execute environment stop actions as the owner of the stop action job
CVE – CVE-2024-6678 (mitre.org)
Group Developers can view group runners information
CVE – CVE-2024-6685 (mitre.org)
Denial of Service via sending a large glm_source parameter
CVE – CVE-2024-8124 (mitre.org)
Variables from settings are not overwritten by PEP if a template is included
CVE – CVE-2024-8311 (mitre.org)
Guest user with Admin group member permission can edit custom role to gain other permissions
CVE – CVE-2024-8631 (mitre.org)
SSRF via Dependency Proxy
CVE – CVE-2024-8635 (mitre.org)
Prevent code injection in Product Analytics funnels YAML
CVE – CVE-2024-8640 (mitre.org)
CI_JOB_TOKEN can be used to obtain GitLab session token
CVE – CVE-2024-8641 (mitre.org)
IdentitiesController allows linking of arbitrary unclaimed provider identities
CVE未割当

「CVE-2024-6678」は「クリティカル」の脆弱性でありCVSSv3.1のベーススコアが高いため、早急に最新バージョンにアップグレードなどの対応をしなければなりません。