フォーラム構築ソフト「vBulletin」の脆弱性(CVE-2019-16759)を突いたサイバー攻撃について

結構時間をかけて書いたので、割とボリュームが出てしまいました。 ただ、比較的まとまっているかと思うので、勉強のため、攻撃パケットの確認のため、幅広くご活用いただけると幸いです。 目次 注意喚起と攻撃の観測 vBulletinとは 今回の脆弱性CVE-2019-16759について 観測されている攻撃パケット 注意喚起と攻撃の観測 9/26(木)にLACから、本日9/27(金)にはIPAから、vBulletin の脆弱性(CVE-2019-16759)に係る注意喚起が発行されています。 www.lac.co.jp www.ipa.go.jp この攻撃により、vBulletinで作成されたWebサイ…

【まとめ】アマゾン(Amazon.co.jp)で他人の注文履歴や住所・氏名が見れてしまっている件

みなさんもニュース等でご覧になっているかと思いますが、Amazonがまた話題になっています。 別人の #Amazon 注文履歴・住所、丸見えか #アマゾン ジャパン「調査中」 https://t.co/CU4NkLdz4n pic.twitter.com/EWyClAfGyb— 産経ニュースWEST (@SankeiNews_WEST) September 26, 2019 産経さんのシンプルなツイート(笑) また、というのは先日AWSの件からという部分であり。。。 その件は、8月23日の午後に起きたものなので、このあたりを参考に。 www.itmedia.co.jp Amazonとは言ったも…

ランサムウェアNemtyの脅威～Paypalの偽サイト利用など～

目次 2018年から2019年9月までの流れ Nemtyの登場 Nemtyの活動活発化 GandCrabやsodinokibiとの関連性 まとめ 2018年から2019年9月までの流れ 2018年1月から急速に感染を広げ、2019年6月には終了宣言が行われたランサムウェアGandCrab。 終了宣言のタイミングで、本ブログでも取り上げました。 micro-keyword.hatenablog.com GandCrabは、国内の病院でも被害が確認されており、世界中で話題になりました。 tech.nikkeibp.co.jp そのGandCrabの後継と入れ替わるように登場したのが、sodinok…

Emotetの活動が活発化、Trickbotだけでなく今後ランサムウェアRyukへの感染も

Emotetの活動が活発化 先日のブログでもご紹介しましたが、8月21日頃よりEmotetボットネット活動が再開されています。 micro-keyword.hatenablog.com ブログでも紹介した通り、Emotetは他のマルウェアの配布に使われることもあり、結果として、感染機器および機器が接続されたネットワークにおいて大きな影響を与える可能性があります。 Emotetボットネットは、バンキングトロジャンであるTrickbotの配布やランサムウェアRyukの配布でも知られており、これらの検体が組織内で発見された場合、初期感染時にEmotetに感染している可能性があります。 それこそ、先日…

スマートフォンの遠隔操作を引き起こすSIMカードに係る脆弱性について

先日、スマートフォン関連のサイバーニュースとして、以下の記事を書きました。 micro-keyword.hatenablog.com 当該記事はAndroidに係る攻撃ケースでしたが、今度はSIMカードに係る脆弱性についての記事です。 立て続けにスマートフォン関連のサイバートピックが出てくると知識もどんどんシフトしていかなければ！と思いますね。 脆弱性の発表について 今回の脆弱性はほとんどのSIMカードにプリインストールされているS@T browserというソフトウェアに起因するものです。 simjacker.com AdaptiveMobile Security社が公開したもので、発表者はこ…

ランサムウェアRyukに機能拡張(情報窃取)

ランサムウェアRyukはこれまでランサムウェアとしての機能である、ファイルの暗号化および金銭の要求を行う機能でよく知られていました。 しかし、今回、ファイル検索を行ったのち機密情報を窃取する機能を備えたRyukが、セキュリティリサーチャであるVitali Kremezによって確認されました。 2019-09-11: 🆕Possible #Ryuk-Based FTP #Stealer/Uploader🔒Change: Encryption ➡️ File Searcher🔦Sensitive Document Searcher & Upload Looking for .docx & .xls…

みずほ銀行ATM計画停止の裏で～ITエンジニアの現場と本質的な課題～

本屋でこんなものを見つけてしまいました。 https://www.nikkeibpm.co.jp/item/nc/568/saishin.html 2019年7月13日未明から16日朝にかけて行われたシステム移行をもって完了した、 みずほ銀行の基幹システム完成についての特集です。 www.j-cast.com 2018年の9月から複数回に渡って全国のATMが停止し、当時は、「また止まるのかよー」みたいな会話を道端でたくさん耳にしました(笑) ちなみに、個人的にはこの動画が好きでした(笑) www.youtube.com 今回の日経コンピュータの特集を参考に、本件のまとめと、自身の見解をお話しで…

メール転送エージェントEximに深刻な脆弱性

2019年9月6日に、Eximに深刻な脆弱性CVE-2019-15846が公表されました。 https://lists.exim.org/lurker/message/20190906.102039.7eeb3210.en.html 本脆弱性は、TLSのコネクション形成に用いられる SNI(ServerName Indication)と呼ばれるデータに係るもので、攻撃者が加工したSNIデータをhandshakeの際に送ることで成立します。 Eximサーバにおいて、TLSコネクションを有効にしている場合影響を受けます。 Exim開発チームの提供バージョンでは、デフォルトで無効なようですが、いくつ…

Android製スマートフォンを狙った高度なフィッシング手法

Androidベースのスマートフォンを狙った、高度なフィッシング攻撃について、Checkpointが出した記事が話題になっています。 research.checkpoint.com 今回の手法はマルウェアを落としたり、接続先のサイトで認証情報を入れさせたりするものではありません。 SMSを使って、スマートフォンの設定を変更し、ネットワークのルーティングそのものを攻撃者の用意したサーバに向けてしまいます。 Checkpointのブログでは、Samsung, Huawei, LG,Sonyなどが例に挙げられていますが、Androidベースのスマートフォンはすべて対象だと思って間違いないかと思います…

SharePointを悪用して検知を回避するフィッシング攻撃

最近本ブログでもお馴染みになってきた、Cofenseのブログにて、興味深い攻撃が紹介されていました。 https://cofense.com/phishing-emails-using-sharepoint-slip-past-symantecs-gateway-attack-banks/ 本攻撃の最終目的はOffice365の認証情報獲得なのですが、そのフィッシングサイトまでの流れが、企業でよく実装されていそうなシステムの流れになっています。 まず、攻撃者は以下のようなフィッシングメールからユーザーにアクセスを誘います。 特徴的なのは、SymantecのATPというサービスを使っている際に変…