🔖
2024/07/21 週 セキュリティニュースメモ
はじめに
- 自身なりに気になったセキュリティ情報の 私のメモ です
- 毎週日曜日起点で作成し、土曜日まで、その週の記事を更新し続けます
- zennでの公開は、翌週の記事を作成したタイミングで実施します。ただし、GitHub上では常にpublicです。そのため、zenn上で未公開でも、GitHub上では確認 はできます。
- あくまで、発見した週に記入します(タイトルが近い場合は、最初に見つけた週)
- 1週間以上前の出来事は、極力日付を入れる気持ちではいますが、確実性はありません
- 今週にhinoshibaが見つけたニュースである事に留意ください
- 実質的には、セキュリティは楽しいかね? Part 2 のような事ができるようになったらいいなと、個人的に真似をして、個人的に漏れチェック等に使います
事件事故
- Crowdstrike Falconの世界的な不具合、修正ツールをMicrosoftが配布
- https://techcommunity.microsoft.com/t5/intune-customer-success/new-recovery-tool-to-help-with-crowdstrike-issue-impacting/ba-p/4196959
- https://www.securityweek.com/microsoft-says-8-5-million-windows-devices-impacted-by-crowdstrike-incident-publishes-recovery-tool/
- https://securityboulevard.com/2024/07/new-microsoft-recovery-tool-for-crowdstrike-issue-on-windows-endpoints/
- GoogleChrome Passwordマネージャ、18時間認証情報が消える不具合。全体の2%のユーザ
- https://www.bleepingcomputer.com/news/google/google-fixes-chrome-password-manager-bug-that-hides-credentials/
- https://www.theregister.com/2024/07/29/google_password_manager_outage/
- https://securityonline.info/google-patches-chrome-password-manager-bug-after-mass-outage/
- https://news.mynavi.jp/techplus/article/20240729-2994038/
攻撃、脅威
- Crowdstrike FalconによるBSoDに関連する、マルウェア配布キャンペーン
- BreachForums v1 212,000名の情報が流出
- セキュリティ企業が誤って北朝鮮の工作員採用、ディープフェイクで潜り込む
- 損保ジャパン出向者、千葉銀行で1万超の情報漏洩
脆弱性
- CVE-2024-20416 Cisco RV340などに対する任意のコード実行
- CVE-2024-36455 Symantec PAM 任意のコード実行の脆弱性
- CVE-2024-38437 D-Link 認証bypassの脆弱性
- Telegram アンドロイドアプリケーション上で、悪意のあるヴィデオのより、APKファイルのインストールを促す脆弱性
- https://securityonline.info/evilvideo-vulnerability-zero-day-threat-targets-telegram-for-android/
- https://www.bleepingcomputer.com/news/security/telegram-zero-day-allowed-sending-malicious-android-apks-as-videos/
- https://www.securityweek.com/telegram-zero-day-enabled-malware-delivery/
- https://www.darkreading.com/cyberattacks-data-breaches/attackers-exploit-evilvideo-telegram-zero-day-malware
- CVE-2024-40075 Laravel XXE Injection
- CVE-2024-33352 BlueStacks 攻撃者により任意の操作を行われる脆弱性
- CVE-2024-0981 Okta ブラウザプラグイン XSS
- CVE-2024-41012 Linux kernel uaf
- CVE-2024-1737 BIND9 キャッシュ応答が遅延する脆弱性
- https://cvefeed.io/vuln/detail/CVE-2024-1737
- https://www.cisa.gov/news-events/alerts/2024/07/24/isc-releases-security-advisories-bind-9
- https://www.securityweek.com/bind-updates-resolve-high-severity-dos-vulnerabilities/
- https://thehackernews.com/2024/07/cisa-warns-of-exploitable.html
- https://securityonline.info/bind-security-updates-patch-your-dns-servers-now/
- CVE-2024-41110 Docker 権限昇格の可能性。Content-Length を0にすることでAuthZプラグインの認証検証に対して不正を行う脆弱性
- https://www.bleepingcomputer.com/news/security/docker-fixes-critical-5-year-old-authentication-bypass-flaw/
- https://securityonline.info/docker-users-beware-cve-2024-41110-cvss-10-could-lead-to-system-takeover/
- https://jp.inoreader.com/article/3a9c6e7473aadb37-critical-docker-engine-flaw-allows-attackers-to-bypass-authorization-plugins
- https://www.securityweek.com/docker-patches-critical-authz-plugin-bypass-vulnerability-dating-back-to-2018/
- CVE-2024-39700 JupyterLab 拡張テンプレートによる任意のコード実行
- CVE-2024-3246 WordPress Plugin LiteSpeed Cache CSRF脆弱性によるXSSの可能性
- CVE-2024-6327 Progress Telerik Report Server RCEの脆弱性
- CVE-2024-39671 HarmonyOS セキュリティ検証不備
- CVE-2024-37084 Spring Cloud Data Flow RCE
- CVE-2024-7047 GitLab XSS
- KEV
- CVE-2012-4792 Microsoft Internet Explorer Use-After-Free Vulnerability
- CVE-2024-39891 Twilio Authy Information Disclosure Vulnerability
その他
- Google 2025年8月にショートURLサービス
goo.gl
のサポートを終了。以降は、404になる予定 - Google サードパーティ製Cookieのblockを撤回
- https://www.bleepingcomputer.com/news/security/google-rolls-back-decision-to-kill-third-party-cookies-in-chrome/
- https://www.theregister.com/2024/07/23/google_cookies_third_party_continue/
- https://www.securityweek.com/google-will-keep-third-party-cookies-in-chrome/
- https://www.darkreading.com/data-privacy/google-will-not-remove-third-party-cookies-from-chrome
- Thunderbird システムトレイ通知対応
- DigitalStressをテイクダウン。NCA主導
- ソフトウェア等の脆弱性関連情報に関する届出状況[2024年第2四半期(4月~6月)]
- Cloudflare WARP を攻撃のGWとして利用される例
- https://securityonline.info/cloudflare-warp-abused-to-hijack-cloud-services-cado-security-report-reveals/
-
https://www.cadosecurity.com/news-and-events/warpscan-cloudflare-warp-abused-to-hijack-cloud-services
Cado Security has observed several threads on sysadmin forums, where network operators are advised to allowlist all of Cloudflare’s IP ranges instead of just those specific to a given service, which is a serious security risk that makes their infrastructure directly vulnerable to attackers using WARP to launch their attacks.
- memo: 以下のURLをみつつ、WARPをアクセスしてみた感じrangeは異なりそう
- https://www.cloudflare.com/ips/
- memo時点、
104[.]24[.]0[.]0/14
が最も近そうではあったが、今WARPを繋ぐと、104[.]28[.]..
だった
- 2024/07 のWindowsUpdate以降、bitlocker画面が表示されるケースがある
- Let's Encrypt OCSP のサービスを終了。2024/07/23
- Google Wizの買収、Wiz側が拒否との噂。Googleからの公式コメントは無し
- OpenAI SearchGPTをアナウンス。まだ利用はできない
- Windows11 バックアップが失敗する不具合を修正
- WindowsHelloに対する懸念。Micorosoftは3月に更新をリリース
- Windows Server 7月アップデート、RDP不具合。ワークアラウンドあり
- DNSキャッシュ汚染によるDoS攻撃、
TuDoor
- Meta社 恐喝詐欺に関わるインスタグラムアカウント 6万3千を削除
- ニコニコ動画 8/5 サービス再開
- 第2回フィッシングサイト撲滅チャレンジカップ 開催中
Discussion