セキュリティ専門家による脅威情報・ニュースをお届けしているトレンドマイクロ セキュリティブログの記事から、2019年3月に公開された記事の中から5本、ご紹介します。


リポジトリ管理ソフトウェア「Nexus Repository Manager」に遠隔からのコード実行が可能になる脆弱性

「Sonatype」が開発する「Nexus Repository Manager(NXRM)3」で重大な脆弱性「CVE-2019-7238」が確認されました。この脆弱性を利用すると、認証されていないユーザが細工したリクエストを送信することによって遠隔から任意のコードを実行することが可能になります。NXRMは、ソフトウェア開発、アプリケーションのデプロイ、ハードウェアの自動的な割り当てなどに必要なコンポーネントを管理することができるオープンソースのソフトウェアです。Sonatypeによると、NXRMは15万台以上のサーバで稼働しています。
…続きを読む

「Powload」の手口の変化:ファイルレスな活動からステガノグラフィまで

「Powload」はPowerShellを利用するマクロ型のダウンローダです。多くの場合、不正なマクロを含むOfficeの文書ファイルとしてメールに添付され、被害者のPCに感染します。感染PCに他のマルウェアをダウンロードし感染させる「Powload」は、脅威動向の中で存在感を示し続けています。

■Powloadの検出数および固有な検体数の増加
トレンドマイクロが2018年に検出したPowloadに関連する事例と固有の検体数は、2017年と比較して著しく増加しました。拡散手法としてスパムメールを利用する点には変化がないものの、ファイルを利用しない手口によって文書ファイルのプレビューモードのような緩和策を回避したり、メールアカウントを乗っ取って既存スレッドに返信するなど、さまざまな手口が確認されています。
…続きを読む

拡大する正規ツールによる隠蔽手口、マルウェアによる「Slack」の悪用を初確認

トレンドマイクロは、2019年2月下旬、新しいバックドア型マルウェア「SLUB」を送り込み感染PCから情報を窃取する攻撃を確認しました。この攻撃は、改ざんしたWebサイトに攻撃コードを仕込む「水飲み場型攻撃」によって対象PCを感染させ、リポジトリホスティングサービス「GitHub」およびコミュニケーションプラットフォーム「Slack」を利用してコマンド&コントロール(C&C)通信を行います。SLUBは、感染PCから収集したファイルを、ファイル共有サービス「file.io」を利用して攻撃者に送信します。トレンドマイクロがSLUBを確認した時点で、このマルウェアは一般的にはまだ存在を認識されていないようでした。チャットプラットフォームが悪用される可能性については以前から指摘していましたが、Slackの悪用が確認されたのは今回が初めてです。

調査によって判明した「戦略、技術、手法(Tactics, Techniques and Procedures、TTP)」から、今回の攻撃は、通常のサイバー攻撃ではなく、有能な攻撃者によって実行された隠ぺい性の高い標的型攻撃だと考えられます。トレンドマイクロは、問題の脅威についてすぐにカナダのCSIRT(Computer Security Incident Response Team)である「Canadian Centre for Cyber Security」に通知しました。同センターは水飲み場型攻撃に利用されたWebサイトの運営者に注意喚起し、この脅威への対処を支援しました。
…続きを読む

遠隔からのコード実行が可能になる「Drupal」の脆弱性「CVE-2019-6340」について解説

コンテンツ・マネジメント・システム「Drupal」は、2019年2月20日、認証無しに遠隔からのコード実行(Remote Code Execution、RCE)が可能になるDrupal coreの脆弱性「CVE-2019-6340」に対処するよう促すセキュリティ勧告「SA-CORE-2019-003」を公開しました。CVE-2019-6340の危険度は、Drupalのセキュリティチームが定義した5段階の中で最高の「Highly critical」に分類されています。この脆弱性は、広く利用されている「RESTful Web Services(rest)」モジュールに起因するため、かなりの割合のDrupalが影響を受けると考えられます。影響を受ける条件は以下の両方を満たしていることです。

・8.6.10より前のDrupal 8.6.Xまたは8.5.11より前のDrupal 8.5.Xを使用していること
・RESTful Web Servicesなどのモジュールを有効化していること
…続きを読む

「WordPress」の脆弱性「CVE-2019-8942」と「CVE-2019-8943」について解説

「WordPress」は、今日ではWebサイトの約33%で利用されていると言われる、豊富な機能と使いやすさを備えたオープンソースのコンテンツ・マネジメント・システム(CMS)です。人気があるということは、同時にサイバー犯罪者に狙われやすいということも意味します。

セキュリティ企業「RIPS Technologies」のリサーチャSimon Scannell氏は、2019年2月19日、遠隔からのコード実行(Remote Code Execution、RCE)が可能になるWordPressの脆弱性に関する知見を公開しました。発見された脆弱性にはそれぞれ「CVE-2019-8942」および「CVE-2019-8943」という「共通脆弱性識別子(Common Vulnerabilities and Exposures、CVE)」が割り当てられています。これらの脆弱性を利用すると、「author(投稿者)」以上の権限を持った攻撃者は任意のPHPコードを実行しシステムを完全に管理することが可能になります。影響を受けるWordPressのバージョンは5.0.1より前の5.Xおよび4.9.9より前のバージョンです。Scannell氏はこれらの脆弱性に関する情報をWordPressのセキュリティチームに情報公開していました。

本記事では、想定される攻撃の流れと脆弱性を利用するためのパラメータについて詳細に解説します。
…続きを読む