セキュリティ脆弱性 – デジタル未来 (Dejitaru Mirai) https://dejitarumirai.com Fri, 13 Dec 2024 01:41:06 +0000 ja hourly 1 https://wordpress.org/?v=6.8.1 ワードプレスプラグインの脆弱性が8000以上のサイトに影響 https://dejitarumirai.com/archives/2688 https://dejitarumirai.com/archives/2688#respond Fri, 13 Dec 2024 01:41:06 +0000 https://dejitarumirai.com/archives/2688 セキュリティ研究者によると、ワードプレスを利用するサイトの中で、悪意のあるコードを認証なしに実行できる重大な脆弱性が未修正のまま残っているものが8000以上あることが明らかになりました。今回の脆弱性はCVE-2024-11972として特定されており、Hunk Companionというプラグインに存在します。このプラグインは1万以上のWordPressサイトで使用されており、深刻度は10点中9.8とされています。今週の初めにパッチが公開されましたが、この記事が公開された時点では、Hunk Companionを使用しているユーザーのうち12%未満しかパッチを適用していない状況でした。このため、約9000サイトがさらなる攻撃の標的になり得るとされています。

]]> https://dejitarumirai.com/archives/2688/feed 0 旧Avastドライバーを悪用した最新のマルウェア攻撃 https://dejitarumirai.com/archives/2503 https://dejitarumirai.com/archives/2503#respond Mon, 25 Nov 2024 02:11:41 +0000 https://dejitarumirai.com/archives/2503 最新のマルウェア攻撃が、正当化された古いAvastのアンチルートキットドライバーを悪用し、ターゲットシステムのセキュリティコンポーネントを無効化することによって、検出を回避し、制御を奪取しています。このマルウェアは特定のファミリーに属さないAVキラーのバリアントで、142件の異なるベンダーのセキュリティプロセスの名前がハードコードされています。

ドライバーはカーネルレベルで動作できるため、オペレーティングシステムの重要な部分にアクセスでき、マルウェアはプロセスを終了させることが可能です。サイバーセキュリティ企業Trellixの研究者が最近発見した攻撃では、古いアンチルートキットドライバーの脆弱性を利用した「Bring Your Own Vulnerable Driver(BYOVD)」手法が利用されています。具体的には、kill-floor.exeというファイル名のマルウェアがntfs.binという脆弱なドライバーをWindowsのデフォルトユーザーフォルダーにドロップしていました。

その後、マルウェアはService Control(sc.exe)を使用して‘aswArPot.sys’というサービスを作成し、ドライバーを登録します。続いて、142件のセキュリティツールに関連するプロセスのリストを使用して、システム上のアクティブなプロセスのスナップショットをチェックします。Trellixの研究者トリシャーン・カルラ氏によると、一致が見つかると、「マルウェアはインストールされたAvastドライバーを参照するためのハンドルを作成します」とのことです。

次に、‘DeviceIoControl’ APIを利用して、必要なIOCTLコマンドを発行し、プロセスを終了させます。上記のスクリーンショットに示されているように、このマルウェアはMcAfee、Symantec(Broadcom)、Sophos、Avast、Trend Micro、Microsoft Defender、SentinelOne、ESET、BlackBerryなど、さまざまなセキュリティソリューションからのプロセスを標的にしています。セキュリティが無効化された状態で、マルウェアはユーザーに通知することなく悪質な活動を行うことができます。

このドライバーとその手法は、2022年初めにTrend Microの研究者によって、AvosLockerランサムウェア攻撃の調査中に観察されました。2021年12月に、Stroz Friedbergのインシデントレスポンスサービスチームは、キューバランサムウェアがAvastのアンチルートキットカーネルドライバーの機能を悪用して、被害者のシステム上のセキュリティソリューションを無効化するスクリプトを利用していることを発見しました。また、同時期にSentinelLabsの研究者は、2016年から存在していた高危険度の脆弱性(CVE-2022-26522およびCVE-2022-26523)を発見し、これらを悪用することでセキュリティ製品の無効化を可能にしていました。これら2つの問題は2021年12月にAvastに報告され、同社はセキュリティアップデートによって静かに対処しました。

脆弱なドライバーに依存する攻撃から保護するためには、Trellixが推奨するように、シグネチャやハッシュに基づいてコンポーネントを特定してブロックできるルールを使用することが可能です。マイクロソフトもまた、主要なWindowsリリースごとに更新される脆弱なドライバーブロックリストポリシーファイルなどの解決策を提供しています。Windows 11 2022以降、すべてのデバイスでこのリストがデフォルトでアクティブになっています。

]]> https://dejitarumirai.com/archives/2503/feed 0 LiteSpeed Cache プラグインに深刻な脆弱性が発見される https://dejitarumirai.com/archives/2290 https://dejitarumirai.com/archives/2290#respond Thu, 31 Oct 2024 15:22:42 +0000 https://dejitarumirai.com/archives/2290 LiteSpeed Cache プラグインのセキュリティに関する深刻な脆弱性が報告されました。この脆弱性は、CVE-2024-50550(CVSS スコア: 8.1)として追跡されており、未認証の攻撃者が権限を昇格させ、悪意のある行動を実行できる可能性があります。セキュリティ研究者のラフィー・ムハンマド氏によれば、「このプラグインは未認証の権限昇格の脆弱性を抱えており、未認証の訪問者が管理者レベルのアクセス権を取得できてしまう」とのことです。この状況により、悪意のあるプラグインがアップロードされ、インストールされるのが容易になります。

LiteSpeed Cache は、WordPress 用の人気のサイトアクセラレーションプラグインであり、先進的なキャッシング機能と最適化機能を提供しています。現在、600 万以上のサイトにインストールされています。Patchstack によれば、新たに特定された問題は、is_role_simulation という関数に起因しており、2024 年 8 月に公に文書化された以前の脆弱性(CVE-2024-28000、CVSS スコア: 9.8)に類似しているとのことです。この脆弱性は、弱いセキュリティハッシュのチェックが原因で、悪意のある攻撃者によってブルートフォース攻撃が容易になり、クローラ機能を悪用してログインユーザーをシミュレートできるようになっています。

LiteSpeed による修正により、役割シミュレーションプロセスが削除され、ハッシュ生成の手順がランダム値生成器を使用して更新され、ハッシュを 100 万の可能性に制限することを回避しています。ムハンマド氏は、「この脆弱性は、セキュリティハッシュや nonce として使用される値の強さと予測不可能性を確保することの重要性を示しています」と述べています。

今回のCV-2024-50550は、過去 2 ヶ月間に発表された LiteSpeed における 3 番目の脆弱性であり、他の 2 つは CVE-2024-44000(CVSS スコア: 7.5)および CVE-2024-47374(CVSS スコア: 7.2)です。これに関連して、Patchstack が最近発表した情報では、Ultimate Membership Pro にも権限昇格とコード実行の脆弱性が存在しており、これらはバージョン 12.8 以降で修正されています。

]]> https://dejitarumirai.com/archives/2290/feed 0