wizSafe Security Signal 2022年10月 観測レポート

2022年10月観測レポートサマリ

本レポートでは、2022年10月中に発生した観測情報と事案についてまとめています。

当月はDDoS攻撃の総攻撃検出件数及び1日あたりの平均件数に大きな変化はなく、最大規模を観測した攻撃はDNSやNTPなどの複数プロトコルを用いたUDP Amplificationで2022年8月と同程度の規模を観測しています。また、当月最も長く継続した攻撃は58分にわたるもので、主にDNSプロトコルを用いたUDP Amplificationであることを確認しています。

IPS/IDSにおいて検出したインターネットからの攻撃について、当月もSQLインジェクションが最も多く観測されています。次点はNetis社及びNetcore社製ルータの脆弱性を狙った攻撃で、特定の日のみ攻撃が増加していることを確認しています。

Webサイト閲覧時における検出では、当月も難読化されたJavaScriptが多く観測されています。不審なメールの分析では、金銭を要求するメールを最も多く観測しており、次点では情報窃取型マルウェアへの感染を狙ったメールを観測しています。

DDoS攻撃の観測情報

本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。

攻撃の検出件数

以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。

図-1 DDoS攻撃の検出件数(2022年10月)
図-1 DDoS攻撃の検出件数(2022年10月)

今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は409件であり、1日あたりの平均件数は13.19件でした。期間中に観測された最も規模の大きな攻撃では、最大で約28万ppsのパケットによって2.42Gbpsの通信が発生しました。この攻撃は主にDNSやNTPなど複数のプロトコルを用いたUDP Amplificationでした。また、当月最も長く継続した攻撃は58分にわたるもので、最大で1.40Gbpsの通信が発生しました。この攻撃は主にDNSプロトコルを用いたUDP Amplificationでした。

IIJマネージドセキュリティサービスの観測情報

以下に、今回の対象期間に検出した1サイト当たりの攻撃検出件数(図-2)と攻撃種別トップ10の割合(図-3)を示します。

図-2 1サイト当たりの攻撃検出件数(2022年10月)
図-3 攻撃種別トップ10の割合(2022年10月)

対象期間内に最も多く検出したのはSQL Injection ‒ Exploitで、先⽉よりも2.27ポイント減の19.62%を占めていました。当該シグネチャではWebアプリケーションに対する攻撃を検出しており、先⽉と同様にブラインドSQLインジェクションを観測しています。通信内容からも悪意のあるSQLを注⼊することにより、サーバの応答の差異を観察していることを確認しています。

次点で多く検出したのはNetis Netcore Router Default Credential Remote Code Executionで、先⽉の全検出における割合は1%未満でしたが、今⽉は10.24%を占めていました。当該シグネチャの検出数の増加は、10⽉15⽇、30⽇、及び31⽇に突発的に検出数が増加していることに起因しており、図-2からもそのことが分かります。検出した通信は2022年8月の観測レポートと同様に、外部のマルウェア配布サーバからスクリプトをダウンロードし実行させるものでした。本記事作成時における調査ではスクリプトはダウンロードできない状態でしたが、接続先のURLからダウンロードされるスクリプトはMiraiのダウンローダ配布に利用されていたことを確認しています。

Web/メールのマルウェア脅威の観測情報

Webアクセス時におけるマルウェア検出

今回の対象期間において、Webアクセス時に検出したマルウェア種別の割合を図-4に示します。

図-4 Webアクセス時に検出したマルウェア種別の割合(2022年10月)

先⽉に引き続き、対象期間内に最も多く検出したのはHEUR:Trojan.Script.Genericで、87.96%を占めていました。当該シグネチャでは、先月と同様にコードの⼀部が難読化されたJavaScriptファイルを多く検出しています。
検出した攻撃の大半は正規のJavaScriptファイルが改ざんされたもので、正規コードの下部へ「if(ndsj === undefined)」または「if(ndsw === undefined)」で始まるコードを挿⼊し、悪性ドメインへ通信するものでした。

この攻撃ではXMLHttpRequestインスタンスを作成した後、ユーザのサイト参照情報やユーザエージェント情報を付加し、悪性ドメインへHTTPを用いて通信します。悪性ドメインから読み込まれるJavaScriptファイルは図-5の通り「var ndsx = true;」から始まる特徴があり、Cookieのパスを「/」に変更し、有効期限を1年後の⽇時に変更する処理が含まれています。

図-5 悪性なドメインから読み込まれたJavaScriptコード(コードを整形済み)

上記の悪性ドメインから読み込まれるJavaScriptコードにおいて、本記事作成における調査ではCookieのパスと有効期限を変更する以上の脅威性を確認できませんでした。しかしながら、攻撃者が使⽤している通信先サーバではユーザフィルタリングによって読み込まれるJavaScriptファイルを変更し、Windows環境を狙うケースが報告されています 1

メール受信時におけるマルウェア検出

対象期間における、メール受信時に検出したマルウェアの割合を図-6に示します。

図-6 メール受信時に検出したマルウェア種別の割合(2022年10月)

前月に引き続き、今月もHEUR:Hoax.Script.Scaremailを多く検知しています。全体に占める割合は前月から7.66ポイント減少し60.04%でした。当該シグネチャで検知したメールの件名は、「Settle your debt in order to avoid additional fees.」など架空の借金返済を要求するものや、「Undelivered Mail Returned to Sender」などメールの配送エラーを装うものを多数観測しています。

次点で多く検出したHEUR:Trojan.Win32.Genericは、前月から2.16ポイント増加し9.15%でした。当該シグネチャでは、「Order PO-<数字>」など架空の注文に関する内容を装う件名のメールを多く観測しています。また、AgentTesla、SnakeKeylogger、Formbookなどの情報窃取型マルウェアに感染させることを狙ったISO形式のファイルが添付されていることを確認しています。

そのほか、HEUR:Exploit.MSOffice.CVE-2018-0802は、前月から4.29ポイント増加し7.10%でした。当該シグネチャでは、架空の契約や送金に関する内容を装うメールを多く観測しています。具体例として、件名に「CONTRACT No. <数字>」、「Remittance Advice From <企業名>」など、また添付ファイル名に「Admended_Contract.doc」、「PAYMENT COPY.doc」などを確認しています。添付ファイルの形式としてはMicrosoft Word 97-2003(doc)を多く検出しており、ファイルを開くことで、Microsoft Office製品の数式エディタにおける脆弱性(CVE-2018-0802)が悪用され、AZORult、Formbook、Lokibotなどの情報窃取型マルウェアに感染することを確認しています。

以下に、対象期間においてSOCで検出した、件名が日本語で脅威を含むメールに関する情報を示します。なお、以下は情報の一部であり、すべての脅威メールを網羅しているものではない点にご注意ください。

件名 添付ファイル名 感染するマルウェア
見積依頼 (<大学名>) 見積依頼-<日付(日-月-年)>-<数字>.xls Lokibot
メール送信エラー通知 Admended_Contract.doc AZORult

今月は情報窃取型マルウェアであるAZORultやLokibotへの感染を狙った日本語のメールを観測しています。上記に示した例は、いずれも前述のHEUR:Exploit.MSOffice.CVE-2018-0802のシグネチャで検出しています。

セキュリティインシデントカレンダー

カテゴリ凡例
セキュリティ事件 脅威情報 脆弱性情報 セキュリティ技術 観測情報 その他
日付 カテゴリ 概要
10月3日(月) セキュリティ事件 不動産会社は、同社のホームページ構築を行っている委託先会社がサイバー攻撃を受け、会員情報の住所、氏名、性別、電話番号、メールアドレス、会員番号などが暗号化される事象が発生したことを公表した。委託先会社の最終報告では、情報の漏えいは無かったとのこと。
10月3日(月) 脆弱性情報 海外の研究者は、Microsoft Exchange Serverに存在する2つのゼロディ脆弱性(CVE-2022-41040、CVE-2022-41082)に対するMicrosoft社の公表した緩和策が不十分であることを公表した。翌月、Microsoft社は緩和策の推奨を取りやめたうえで、更新プログラムを公開した
10月4日(火) セキュリティ事件 国内競技連盟は、同連盟のクラウド型会員管理サービスの会員情報が、閲覧権限がない会員により閲覧できる状態であったことを公表した。11,807件の会員番号、氏名、所属組織、会員区分などが閲覧可能となっていた。また、CSVファイルとしてダウンロード機能を利用した場合は、氏名、生年月日、性別、郵便番号、住所、電話番号、メールアドレス、所属組織、会員番号、登録競技名などがダウンロードできる状態であったとのこと。
10月6日(木) セキュリティ事件 アパレル会社は、同社クラウドサーバが第三者によるSQLインジェクション攻撃を受け、同社が保有する一部顧客、695名の個人情報が漏えいしたことを公表した。漏えいした個人情報は、氏名、読み仮名、住所、電話番号、メールアドレス、生年月日などを含む情報とのこと。
10月7日(金) セキュリティ事件 自動車メーカは、同社が提供する通信サポートサービスに登録されている利用者の296,019件の個⼈情報が漏えいした可能性があることを公表した。漏えいした会員情報は、メールアドレスと顧客管理番号とのこと。通信サポートサービスを提供するWebサイトの開発委託先会社が、顧客情報が格納されたデータサーバへのアクセスキーを含むソースコードの一部を誤って公開設定のままGitHubへアップロードしていたことによるものとのこと。
10月10日(月) 脆弱性情報 Fortinet社は、同社が提供する複数製品の管理インタフェースに存在する認証をバイパスできる脆弱性(CVE-2022-40684)を公表した。同製品の管理インタフェースに細工したHTTPまたはHTTPSリクエストを介して認証をバイパスすることで、任意に操作できる可能性があるとのこと。当該脆弱性を修正したバージョンがリリースされており、同社はアップデートを呼び掛けている
10月12日(水) セキュリティ事件 自治体は、同自治体の情報発信ホームページで使用しているメールマガジン管理サーバが外部から不正アクセスを受け、81,084件の迷惑メールが送信され、メールマガジン登録者198人の個人情報が外部へ流出したことを公表した。漏えいした個人情報は、メールアドレス、氏名、フリガナ、性別、生年月日、最終学歴、希望職種、電話番号、住所とのこと。
10月13日(木) 脅威情報 Cisco Talos Intelligence Groupは、新たなマルウェア攻撃フレームワークを発見したことを公表した。同攻撃フレームワークはコマンド&コントロールツール「Alchimist」とリモート管理機能を持つ新しいマルウェア「Insekt」によって構成されるとのこと。
10月14日(金) 脅威情報 警視庁は、Lazarus(ラザルス)と呼称されるサイバー攻撃グループによる暗号資産関係事業者などを標的としたサイバー攻撃についての注意喚起を公表した
10月18日(火) セキュリティ事件 専門学校は、同校のサーバがランサムウェアの攻撃を受けたことを公表した。不正アクセスを確認した時点で、当該サーバ及び職員のPCをネットワークから遮断したとのこと。公表時点では、個人情報などの持ち出しや不正利用などは確認されていないとのこと。
10月19日(水) 脆弱性情報 海外の研究者は、Apache Commons Textライブラリにリモートコード実行の脆弱性(CVE-2022-42889)が存在することを公表した。バージョン1.10.0へのアップデートが推奨されている。
10月19日(水) セキュリティ事件 海外のセキュリティ企業は、ソフトウェア開発企業が提供するオブジェクトストレージサービスの構成ミスにより65,000を超える企業データが公開されていたことを公表し、影響を受けた企業を確認するツールを公開した。ソフトウェア開発企業は、海外のセキュリティ企業からの通知を受け、構成の誤りを対処後、影響を受ける顧客へ通知を行ったとのこと。
10月20日(木) セキュリティ事件 システムソリューション会社は、同社のホームページが不正アクセスを受け、ホームページの改ざん及び個人情報の漏えいが発生した可能性について公表した。漏えいした情報は、氏名、住所、電話番号、メールアドレス、メール本文または添付ファイルに含まれる情報とのこと。ホームページは改ざんされ、フィッシング詐欺での利用を試みられていたとのこと。また、同社ホームページと同じサーバで運用しているメールサービスにも影響した可能性があり、同社メールアドレスでの送受信メールが漏えいした可能性があるとのこと。
10月20日(木) 脅威情報 情報通信研究機構は、FocusH&S社製DVRを狙ったDDoSボット感染が増加し、6月1日から8月31日までの期間で17,489件の攻撃を観測したことを発表した。同機構は、当該製品を解析したところ、任意のコマンドが実行できる脆弱性を発見したとのこと。
10月24日(月) 脆弱性情報 Zoom Video Communications社は、同社が提供するバージョン5.12.2以前のミーティング用Zoomクライアントにおいて、URL解析による脆弱性(CVE-2022-28763)が存在することを公表した。悪意のあるZoomミーティングURLが開かれると、ユーザが任意のネットワークアドレスに接続するように誘導され、セッションの乗っ取りが行われるとのこと。対策として、最新のセキュリティアップデートの適用を推奨している。
10月25日(火) セキュリティ事件 旅行会社は、行政機関の事業支援施策で使用するクラウドサービスにおいて、データのアクセス権限設定ミスにより、事業支援施策に応募、申請した事業者の申請書1,698件と個人情報が最大11,483人分が、ログイン権限を持つ利用者において相互に閲覧可能な状態であったことを公表した。閲覧可能な状態であった情報は、組織名、部署名、役職名、氏名、業務連絡用電話番号、メールアドレスとのこと。
10月25日(火) セキュリティ事件 ソフトウェア開発会社は、同社が提供するフォームの入力支援やサイト表示最適化などを行う複数サービスが不正アクセスにより書き換えられ、サービスを導入している一部のWebサイトにおいて入力された情報が外部へ流出した可能性があることを公表した。その後、同社サービスを利用する複数の企業からも公表が行われている。
10月25日(火) セキュリティ事件 酒造会社は、同社が管理運用するサーバを狙ったランサムウェアの攻撃を受け、同社システムに障害が発生したことを公表した。当該サーバ内に保存されていたデータが暗号化され使用できない状況となったとのこと。
10月27日(木) セキュリティ事件 印刷会社は、同社が運営するECサイトが不正アクセスを受け、利用者のクレジットカード情報2,426件が漏えいし、一部利用者のクレジットカード情報が不正利用された可能性があることを公表した。原因は決済アプリケーションの改ざんとのこと。
10月31日(月) セキュリティ事件 医療機関は、ランサムウェアと思われる攻撃を受けたことを公表した。公表時点では電子カルテシステムに障害が発生し通常診療ができず、一般外来も停止しているとのこと。

ソフトウェアリリース情報

日付 ソフトウェア 概要
10月3日(月) Android Google社は、Androidにおける10月の月例セキュリティ情報を公開した。

「Android のセキュリティに関する公開情報 – 2022 年 10 月」
https://source.android.com/docs/security/bulletin/2022-10-01

10月4日(火) Django 4.1.2、4.0.8、3.2.16 Django Software Foundationは、Djangoに存在する脆弱性に対するセキュリティアップデートを公開した。

“Django security releases issued: 4.1.2, 4.0.8, and 3.2.16”
https://www.djangoproject.com/weblog/2022/oct/04/security-releases/

10月4日(火) ChromeOS 102.0.5005.182、106.0.5249.112、106.0.5249.134、107.0.5304.92 Google社は、10月4日、11日、19日、28日にChromeOSに存在する複数の脆弱性に対するセキュリティアップデートを公開した。

“Long Term Support Channel Update for ChromeOS”
https://chromereleases.googleblog.com/2022/10/long-term-support-channel-update-for.html

“Stable Channel Update for ChromeOS”
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-chromeos.html

“Stable Channel Update for ChromeOS”
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-chromeos_19.html

“Stable Channel Update for ChromeOS”
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-chromeos_28.html

10月5日(水) Cisco Systems社複数製品 Cisco Systems社は、10月5日及び19日に複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。

“Cisco Expressway Series and Cisco TelePresence Video Communication Server Vulnerabilities”
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-csrf-sqpsSfY6

“Cisco Enterprise NFV Infrastructure Software Improper Signature Verification Vulnerability”
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-ISV-BQrvEv2h

“Cisco Meraki MX and Z3 Teleworker Gateway VPN Denial of Service Vulnerability”
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-meraki-mx-vpn-dos-vnESbgBf

“Cisco Identity Services Engine Unauthorized File Access Vulnerability”
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-path-trav-Dz5dpzyM

10月5日(水) Chrome 106.0.5249.103(Windows/Mac)、106.0.5249.119(Windows/Mac/Linux)、106.0.5249.165(Windows/Mac)、106.0.5249.168(Windows/Mac)、107.0.5304.62(Mac)、107.0.5304.62/63(Windows)、107.0.5304.68(Linux)、107.0.5304.87(Mac/Linux)、107.0.5304.87/88(Windows) Google社は、10月5日、11日、25日、26日、27日にGoogle Chromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。

“Stable Channel Update for Desktop”
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop.html

“Extended Stable Channel Update for Desktop”
https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for.html

“Stable Channel Update for Desktop”
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_11.html

“Stable Channel Update for Desktop”
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_25.html

“Extended Stable Channel Update for Desktop”
https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for_26.html

“Extended Stable Channel Update for Desktop”
https://chromereleases.googleblog.com/2022/10/extended-stable-channel-update-for_27.html

“Stable Channel Update for Desktop”
https://chromereleases.googleblog.com/2022/10/stable-channel-update-for-desktop_27.html

10月7日(金) Apache Tomcat 9.0.68、10.0.27、8.5.83、10.1.1 Apache Software Foundationは、10月7日、10日、11日にApache Tomcatに存在する脆弱性に対するセキュリティアップデートを公開した。

“Fixed in Apache Tomcat 9.0.68”
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.68

“Fixed in Apache Tomcat 10.0.27”
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.27

“Fixed in Apache Tomcat 8.5.83”
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.83

“Fixed in Apache Tomcat 10.1.1”
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.1

10月10日(月) Apple社複数製品 Apple社は、10月10日、24日、27日に複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。

「iOS 16.0.3 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213480

「macOS Ventura 13 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213488

「iOS 16.1 および iPadOS 16 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213489

「watchOS 9.1 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213491

「tvOS 16.1 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213492

「macOS Big Sur 11.7.1 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213493

「macOS Monterey 12.6.1 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213494

「Safari 16.1 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213495

「iOS 15.7.1 および iPadOS 15.7.1 のセキュリティコンテンツについて」
https://support.apple.com/ja-jp/HT213490

10月10日(月) Fortinet社複数製品 Fortinet社は、10月10日及び28日に複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。

“FortiOS / FortiProxy – Access to NULL pointer in SSL VPN portal”
https://www.fortiguard.com/psirt/FG-IR-22-086

“FortiTester – Unauthenticated command injection”
https://www.fortiguard.com/psirt/FG-IR-22-237

“FortiOS – Privilege escalation via switch-control CLI command”
https://www.fortiguard.com/psirt/FG-IR-21-242

“FortiTester – Missing account lockout on telnet port”
https://www.fortiguard.com/psirt/FG-IR-22-244

“FortiTester – Authenticated command injection in certificate import feature”
https://www.fortiguard.com/psirt/FG-IR-22-247

“FortiOS / FortiProxy / FortiSwitchManager – Authentication bypass on administrative interface”
https://www.fortiguard.com/psirt/FG-IR-22-377

“Apache commons_text(CVE-2022-42889) and commons_configuration (CVE-2022-33980) vulnerability”
https://www.fortiguard.com/psirt/FG-IR-22-399

“OpenSSL3 critical vulnerability”
https://www.fortiguard.com/psirt/FG-IR-22-419

10月11日(火) Adobe社複数製品 Adobe社は、10月11日及び18日に複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。

「Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB22-46」
https://helpx.adobe.com/jp/security/products/acrobat/apsb22-46.html

「Adobe Illustrator に関するセキュリティアップデート公開 | APSB22-56」
https://helpx.adobe.com/jp/security/products/illustrator/apsb22-56.html

10月11日(火) Aruba Networks社複数製品 Aruba Networks社は、10月11日及び25日に複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。

“Multiple Vulnerabilities in Aruba EdgeConnect Enterprise Orchestrator”
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-015.txt

“ArubaOS Multiple Vulnerabilities”
https://www.arubanetworks.com/assets/alert/ARUBA-PSA-2022-016.txt

10月11日(火) Citrix Hypervisor 8.2 LTSR CU1 Citrix Systems社は、Citrix Hypervisorに存在する脆弱性に対するセキュリティアップデートを公開した。

“Hotfix XS82ECU1016 – For Citrix Hypervisor 8.2 Cumulative Update 1”
https://support.citrix.com/article/CTX465169/hotfix-xs82ecu1016-for-citrix-hypervisor-82-cumulative-update-1

10月11日(火) Microsoft社複数製品 Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開した。

「2022 年 10 月のセキュリティ更新プログラム (月例)」
https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/

「2022 年 10 月のセキュリティ更新プログラム」
https://msrc.microsoft.com/update-guide/releaseNote/2022-Oct

10月11日(火) Zoom On-Premise Meeting Connector MMR 4.8.20220916.131
Zoom 5.12.0(macOS)、5.12.2
Zoom Video Communications社は、10月11日及び24日にZoomの脆弱性を修正するセキュリティアップデートを公開した。

“ZSB-22022 Zoom On-Prem Deployments: Improper Access Control”
https://explore.zoom.us/en/trust/security/security-bulletin/?filter-cve=&filter=&keywords=ZSB-22022

“ZSB-22023 Debugging port misconfiguration in Zoom Apps in the Zoom Client for Meetings for macOS”
https://explore.zoom.us/en/trust/security/security-bulletin/?filter-cve=&filter=&keywords=ZSB-22023

“ZSB-22024 Improper URL parsing in Zoom Clients”
https://explore.zoom.us/en/trust/security/security-bulletin/?filter-cve=&filter=&keywords=ZSB-22024

10月11日(火) bingo!CMS v1.7.4.2 シフトテック社は、bingo!CMSに存在する脆弱性に対するセキュリティアップデートを公開した。

「【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします」
https://www.bingo-cms.jp/information/20221011.html

10月12日(水) Juniper Networks社複数製品 Juniper Networks社は、同社が提供する複数製品に存在する複数の脆弱性に対するセキュリティアップデートを公開した。

“2022-10 Security Bulletin: Junos Space: Multiple vulnerabilities resolved in 22.2R1 release”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Junos-Space-Multiple-vulnerabilities-resolved-in-22-2R1-release?language=en_US

“2022-10 Security Bulletin: Contrail Networking: Multiple Vulnerabilities have been resolved in Contrail Networking release 2011.L5”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Contrail-Networking-Multiple-Vulnerabilities-have-been-resolved-in-Contrail-Networking-release-2011-L5?language=en_US

“2022-10 Security Bulletin: SBR Carrier: Multiple Vulnerabilities resolved in version 8.6.0R16 64-bit Solaris and Linux editions”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-SBR-Carrier-Multiple-Vulnerabilities-resolved-in-version-8-6-0R16-64-bit-Solaris-and-Linux-editions?language=en_US

“2022-10 Security Bulletin: Session Smart Router: Multiple vulnerabilities resolved”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Session-Smart-Router-Multiple-vulnerabilities-resolved?language=en_US

“2022-10 Security Bulletin: cSRX Series: Storing Passwords in a Recoverable Format and software permissions issues allows a local attacker to elevate privileges (CVE-2022-22251)”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-cSRX-Series-Storing-Passwords-in-a-Recoverable-Format-and-software-permissions-issues-allows-a-local-attacker-to-elevate-privileges-CVE-2022-22251

“2022-10 Security Bulletin: Junos OS Evolved: The ssh CLI command always runs as root which can lead to privilege escalation (CVE-2022-22239)”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Junos-OS-Evolved-The-ssh-CLI-command-always-runs-as-root-which-can-lead-to-privilege-escalation-CVE-2022-22239

“2022-10 Security Bulletin: Junos OS Evolved: Incorrect file permissions can allow low-privileged user to cause another user to execute arbitrary commands (CVE-2022-22248)”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Junos-OS-Evolved-Incorrect-file-permissions-can-allow-low-privileged-user-to-cause-another-user-to-execute-arbitrary-commands-CVE-2022-22248

“2022-10 Security Bulletin: Paragon Active Assurance (Formerly Netrounds): Stored Cross-site Scripting (XSS) vulnerability in web administration (CVE-2022-22229)”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Paragon-Active-Assurance-Formerly-Netrounds-Stored-Cross-site-Scripting-XSS-vulnerability-in-web-administration-CVE-2022-22229

“2022-10 Security Bulletin: Junos OS: Multiple vulnerabilities in J-Web”
https://supportportal.juniper.net/s/article/2022-10-Security-Bulletin-Junos-OS-Multiple-vulnerabilities-in-J-Web

10月13日(木) PAN-OS 8.1.24 Palo Alto Networks社は、PAN-OS 8.1.23以前に存在するWebインタフェースの認証回避の脆弱性に対するセキュリティアップデートを公開した。

“CVE-2022-0030 PAN-OS: Authentication Bypass in Web Interface”
https://security.paloaltonetworks.com/CVE-2022-0030

“PAN-OS 8.1.24 Addressed Issues”
https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-release-notes/pan-os-8-1-addressed-issues/pan-os-8-1-24-addressed-issues#panos-addressed-issues-8.1.24

10月13日(木) SonicWall社複数製品 SonicWall社は、10月12日及び13日に複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。

“SNWLID-2022-0021”
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0021

“SNWLID-2022-0022”
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0022

10月14日(金) Trend Micro Apex One Critical Patch 11110 トレンドマイクロ社は、Trend Micro Apex Oneに存在する複数の脆弱性に対するアップデートを公開した。

「アラート/アドバイザリ:Trend Micro Apex One およびTrend Micro Apex One SaaSで確認した複数の脆弱性について(2022年10月)」
https://success.trendmicro.com/jp/solution/000291648

10月17日(月) WordPress 6.0.3 WordPress Foundationは、WordPressに存在する脆弱性に対するセキュリティアップデートを公開した。

“WordPress 6.0.3 Security Release”
https://wordpress.org/news/2022/10/wordpress-6-0-3-security-release/

10月18日(火) Mozilla複数製品 Mozillaは、Firefox、Firefox ESR、Thunderbirdに存在する複数の脆弱性に対するセキュリティアップデートを公開した。

“Security Vulnerabilities fixed in Firefox 106”
https://www.mozilla.org/en-US/security/advisories/mfsa2022-44/

“Security Vulnerabilities fixed in Firefox ESR 102.4”
https://www.mozilla.org/en-US/security/advisories/mfsa2022-45/

“Security Vulnerabilities fixed in Thunderbird 102.4”
https://www.mozilla.org/en-US/security/advisories/mfsa2022-46/

10月18日(火) Oracle社複数製品 Oracle社は、複数製品に存在する脆弱性に対するクリティカルパッチアップデートを公開した。

“Oracle Critical Patch Update Advisory – October 2022”
https://www.oracle.com/security-alerts/cpuoct2022.html

10月19日(水) nginx 1.23.2、1.22.1 NGINXは、同組織が提供するnginxに存在する脆弱性に対するセキュリティアップデートを公開した。

“[nginx-announce] nginx security advisory (CVE-2022-41741, CVE-2022-41742)”
https://mailman.nginx.org/archives/list/nginx-announce@nginx.org/message/RBRRON6PYBJJM2XIAPQBFBVLR4Q6IHRA/

10月25日(火) Samba 4.17.2、4.16.6、4.15.11 Samba開発チームは、Sambaに存在する複数の脆弱性に対するセキュリティアップデートを公開した。

“Buffer overflow in Heimdal unwrap_des3()”
https://www.samba.org/samba/security/CVE-2022-3437.html

“Wide links protection broken”
https://www.samba.org/samba/security/CVE-2022-3592.html

10月25日(火) VMware Cloud Foundation VMware社は、VMware Cloud Foundationに存在する複数の脆弱性に対するセキュリティパッチを公開した。

“VMSA-2022-0027.1”
https://www.vmware.com/security/advisories/VMSA-2022-0027.html

10月28日(金) ConnectWise社複数製品 ConnectWise社は、複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。

“ConnectWise Recover and R1Soft Server Backup Manager Critical Security Release”
https://www.connectwise.com/company/trust/security-bulletins/r1soft-and-recover-security-bulletin

10月28日(金) PHP 8.1.12、8.0.25 PHP開発チームは、PHPに存在する複数の脆弱性に対するセキュリティアップデートを公開した。

“PHP Version 8.0.25 ChangeLog”
https://www.php.net/ChangeLog-8.php#8.0.25

“PHP Version 8.1.12 ChangeLog”
https://www.php.net/ChangeLog-8.php#8.1.12

おわりに

この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。

Notes:

  1. [1] Avast Threat Labs, ‘Parrot TDS takes over web servers and threatens millions‘, 2022/04/07公開