添付ファイルにはマクロが組み込まれたMicrosoft Publisherファイルまたはそのリンク、JavaScriptファイルへのリンクまたはJavaScriptファイルへのリンクを含んだPDFなどさまざまな形式が使われており、

There are six new vulnerabilities in the latest release of Netatalk (3.1.12) that could allow for Remote Code Execution as well as Out-of-bounds Read.

Netatalk の最新リリース (3.1.12) には、リモートでコードを実行されたり、境界外から読み取られる可能性のある、6 つの新しい脆弱性があります。

非ルートユーザーのみを許可
コンテナに対して定期的に脆弱性スキャンを実行
構成ファイルでハードコードされたクレデンシャルの代わりにKubernetes Secretsを使用
匿名ログインの無効
認証の強化
すべてのセキュリティパッチを更新して適用
「使われていない」または「使われなくなった」コンポーネントの削除

セキュリティ企業のGigasheetが「Log4ShellでAWSアカウントを乗っ取る方法」を公開しました。Gigasheetによると、この方法はあくまでAWSのセキュリティ設定がずさんな場合にのみ起こりえる現象であり、AWSがLog4Shellに関する固有の問題を抱えているということを意味しているわけではないとのこと。

世界最大級の小売＆電子商取引企業であるアリババグループが所有する日刊紙・South China Morning Postなどの報道によると、中国政府は「Apache Log4j」に関する重大な脆弱性を政府に最初に報告しなかったとして、アリババグループのクラウドコンピューティング部門・Alibaba Cloudと工業情報化部の取引を6カ月間停止する措置を取ったとのこと。

2021年11月24日に、Alibaba Cloudのセキュリティチームが、Apache Log4jのバージョン2.0-beta9からバージョン2.14.1までにリモートコード実行の脆弱性を発見したと、Apacheに報告しました。

　警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。

バージョン2.0-alpha1から2.14.16までにサービス妨害（DoS）状態を発生させる恐れのある脆弱性が存在し、最新版で修正された。

ASFよると、バージョン2.0-alpha1～2.14.16では、自己参照Lookupでの制御されない再起が保護されていない。このためロギング構成のコンテキストルックアップで「$$ {ctx：loginId}」などデフォルト以外のパターンレイアウトを使用している場合、攻撃者がスレッドコンテキストマップ（MDC）で再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうとしている。

Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列
から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用
されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録す
ることで、Log4jはLookupにより指定された通信先もしくは内部パスからjava
classファイルを読み込み実行し、結果として任意のコードが実行される可能性
があります。

** 更新: 2021年12月15日追記 ******************************************
The Apache Software Foundationは、Apache Log4jのバージョン2.16.0
（Java 8以降のユーザー向け）および2.12.2（Java 7のユーザー向け）を公開
しました。

主にLDAPのJNDIリソースを利用した攻撃が確認されていますが、RMIやDNSなど他のJNDIリソースに拡大する可能性があります。これらの文字列は、潜在的にログに記録されるあらゆる値に注入される可能性があります。可能性のあるフィールドは、ユーザーエージェント、ウェブフォーム、ウェブページ名、またはユーザーデータが送信される他の任意の場所です。これらの値は、もしログに記録されるために送られると、Log4j を使ってアプリケーションによって解析され、実行され ることができます。以下は、悪用されようとしていることを検知できる文字列です。

${jndi:ldap 
${jndi:dns 
${jndi:rmi 
${jndi:nis 
${jndi:nds 
${jndi:corba 
${jndi:iiop 

アップグレードされた Log4j ライブラリを使用する前にこの問題を軽減したい組織で、2.10 から 2.14.1 の間の Log4J バージョンを使用している場合、JVM 起動パラメーターに次のプロパティを適用し、Java プロセスを再起動することが可能です。

-DLog4j2.formatMsgNoLookups=true 

警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。

想定される影響は各脆弱性により異なりますが、当該製品のWeb GUIにログインした状態のユーザーが、攻撃者の作成した罠ページにアクセスすることで、次のような影響を受ける可能性があります。

$ python3 PoC.py www.ujp.jp
Server www.ujp.jp IS NOT VULNERABLE
[MacPro2013:server 16:51:46 ~/bin/CVE-2021-41773 ]
$

脆弱性の詳細について知りたい

今回パストラバーサル、RCEの脆弱性は10月4日以降に修正された3件の内、CVE-2021-41773、CVE-2021-42013の2つ。CVE-2021-42013はCVE-2021-41773の修正が不十分であったことに起因する脆弱性で、脆弱性の種類、影響は同様。

本サイトでは、Wi-Fi機器に影響を与える新たなセキュリティ脆弱性を集めた「FragAttacks（フラグメント・アグリゲーション・アタック）」を紹介しています。被害者のWi-Fiネットワークの範囲内にいる敵対者は、これらの脆弱性を悪用して、ユーザー情報を盗んだり、デバイスを攻撃したりすることができます。今回発見された脆弱性のうち3つは、Wi-Fi規格の設計上の欠陥であるため、ほとんどの機器に影響を及ぼします。これに加えて、Wi-Fi製品に広く存在するプログラミングミスに起因する脆弱性も複数発見されています。実験の結果、すべてのWi-Fi製品は少なくとも1つの脆弱性の影響を受けており、ほとんどの製品は複数の脆弱性の影響を受けていることがわかりました。

今回発見された脆弱性は、最新のWPA3仕様を含む、Wi-Fiのすべての最新セキュリティプロトコルに影響を与えます。また、Wi-FiのオリジナルセキュリティプロトコルであるWEPにも影響があります。つまり、今回発見された設計上の欠陥のいくつかは、1997年にリリースされたWi-Fiの一部だったということです。幸いなことに、これらの設計上の欠陥を悪用することは難しく、悪用するにはユーザーの操作が必要であったり、一般的でないネットワーク設定を使用した場合にのみ可能であったりします。そのため、実際には、Wi-Fi製品のプログラミング上のミスが最も懸念されます。

ユーザーを保護するために、Wi-Fi AllianceとICASIが監修した9ヶ月に及ぶ協調的な情報公開の中で、セキュリティアップデートが準備されました。お使いのデバイスのアップデートがまだ利用できない場合は、ウェブサイトがHTTPSを使用していることを確認し、デバイスが利用可能な他のすべてのアップデートを受け取っていることを確認することで、いくつかの攻撃を軽減することができます（すべてではありません）。

NETGEAR は、業界全体で Fragment および Forge と呼ばれる一連の WiFi プロトコルのセキュリティ脆弱性を認識しています。これらのWiFiセキュリティ脆弱性を利用するには、以下の両方の条件が必要です。
誰かがお客様の WiFi パスワードを知っているか、入手していること。
誰かがお客様のWiFiパスワードを知っている、または入手していること、そして誰かがお客様のWiFiネットワークに物理的に近い場所に、お客様のルーターとWiFiネットワーク上のデバイスとの間の通信を傍受できるデバイスを持っていること。
これらの脆弱性が悪用されると、知らないうちにデータを引き出されたり、他の悪用につながったりする可能性があります。NETGEAR は、以下のカテゴリーの製品の修正プログラムをリリースしました。リンクをクリックすると、利用可能なファームウェア修正プログラムを含む製品の表にジャンプします。

マイクロソフトから脆弱性を修正するためのアップデートが公開されています。マイクロソフトは、まず外部ネットワークに接続しているExchange Serverにて優先的に対策を実施することを推奨しています。早期の対策実施を検討してください。

- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013

クラウド会計ソフトを提供するfreeeは2月10日、メールアドレスなど2898件の個人情報が外部から閲覧可能な状態になっていたと発表した。

CiscoのSD-WAN、DNA Center、Smart Software Manager Satellite製品に複数の脆弱性が発見されており、そのうち最も深刻なものは、システム権限で任意のコードを実行できる可能性があります。
SD-WANは、クラウドベースのネットワークアーキテクチャに使用されている
DNA Centerは、Digital Network Architecture製品の管理プラットフォームです。
スマートソフトウェアマネージャーは、エンタープライズ製品のアクティベーションキー/ライセンスマネージャーです。
これらの脆弱性のうち最も深刻な脆弱性を悪用することに成功すると、攻撃者はシステム権限で任意のコードを実行することができ、攻撃者はデータの閲覧、変更、削除を行うことができます。

影響を受けるシステム

Cisco IOS XE SD-WAN バージョン 16.12.4 より前のバージョン
Cisco IOS XEユニバーサル17.2、17.3、17.4
Cisco SD-WAN 18.Xバージョン18.4.5以前のバージョン
Cisco SD-WAN 19.2.Xバージョン19.2.2以前のバージョン
Cisco SD-WAN 19.3.0 より前のバージョン
Cisco SD-WAN 20.1、20.3、20.4 より前のバージョン
Cisco SD-WAN vBond Orchestrator
Cisco SD-WAN vEdge クラウド ルーター
Cisco SD-WAN vEdge ルーター
Cisco SD-WAN vManage ソフトウェア
Cisco SD-WAN vSmart コントローラ
1.3.1以前のDNA Centerソフトウェアのバージョン
Cisco Smart Software Manager Satellite 6.3.0以前のバージョン

以下の対応をお勧めします。

適切なテストを行った後、直ちにCiscoが提供するアップデートをインストールしてください。
外部からのサービスが必要な場合を除き、ネットワーク境界で外部アクセスをブロックする。グローバルアクセスが必要ない場合は、ネットワーク境界で脆弱なホストへのアクセスをフィルタリングする。
すべてのシステムとサービスに最小特権の原則を適用し、すべてのソフトウェアを最小のアクセス権を持つ非特権ユーザとして実行する。

シスコはこれら脆弱性を修正したファームウェアをリリースしないと説明しているほか、問題を回避する方法も公開していない。
なぜなら、上記の製品はすでにサポート終了を迎えているためだ。サポートが終了した製品の情報は次のページにまとまっている。

SolarWindsのサプライチェーンに対するサイバー攻撃に関与したハッカーが、Microsoftの少数の社内アカウントにアクセスした可能性があり、このうちの1つを利用して同社のソースコードリポジトリーにアクセスし、コードを閲覧したという。Microsoftが米国時間12月31日に明らかにした。

SUNBURSTが接続するドメインavsvmcloud[.]comをMicrosoftが2020年12月13日頃に押収し、シンクホール化している。

最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。

Aterm SA3500Gの特長

日本に合った安全対策を提供

株式会社ラック※とパートナー契約を締結し同社が提供するシグネチャ（ウイルス等定義ファイル）を採用しています。同社は、グローバルにウイルス、不正プログラム、フィッシングサイトなどの情報を収集するだけでなく、日本の最新情報を加えて解析を行うことで、より日本のネットワーク環境に合ったシグネチャを提供しており、安全にネットワークを利用できます。SA3500Gは、この最新のシグネチャをライセンス期間（5年間/6年間/7年間）に合わせて提供します。

2020-166

DATE(S) ISSUED:
12/14/2020

SUBJECT:
Multiple Vulnerabilities in SolarWinds Orion Could Allow for Arbitrary Code Execution

OVERVIEW:
Multiple Vulnerabilities have been discovered in SolarWinds Orion, the most severe of which could allow for arbitrary code execution. SolarWinds Orion is an IT performance monitoring platform that manages and optimizes IT infrastructure. Successful exploitation of the most severe of these vulnerabilities could allow for arbitrary code execution. Depending on the privileges associated with the user an attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

THREAT INTELLIGENCE:
The Cybersecurity and Infrastructure Security Agency (CISA) released an alert detailing active exploitation of the SolarWinds Orion Platform software versions 2019.4 HF 5 through 2020.2.1 HF 1.

2020-166

発行日
12/14/2020

件名：SolarWinds Orion の複数の脆弱性は、任意のコード実行を許している。
SolarWinds Orionにおける複数の脆弱性により、任意のコード実行が可能になる可能性がある。

概要。
SolarWinds Orionには複数の脆弱性が発見されており、その中でも最も深刻なものは任意のコード実行を許してしまう可能性があります。SolarWinds Orionは、ITインフラストラクチャを管理・最適化するITパフォーマンス監視プラットフォームです。これらの最も深刻な脆弱性を悪用すると、任意のコードが実行される可能性があります。攻撃者は、ユーザーに関連付けられた権限に応じて、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成などを行うことができます。システム上でのユーザー権限が少ないアカウントに設定されているユーザーは、管理ユーザー権限で操作するユーザーよりも影響が少ない可能性があります。

脅威のインテリジェンス。
Cybersecurity and Infrastructure Security Agency (CISA)は、SolarWinds Orion Platformソフトウェアバージョン2019.4 HF 5から2020.2.1 HF 1までのアクティブな悪用を詳細に説明するアラートをリリースしました。

米財務省と米商務省の国家通信情報管理局（NTIA）が不正侵入の被害を受けたと報じて

Orionは、集中監視および管理を提供するソフトウェアプラットフォームで、通常は大規模なネットワークに導入され、サーバーやワークステーション、モバイル端末、IoTデバイスなど、ITリソース全般の追跡に使われる。

推奨事項。
以下の措置をとることをお勧めします。
適切なテストを行った後、直ちにSolarWindsが提供する適切なアップデートを脆弱性のあるシステムに適用する。
すべてのソフトウェアを非特権ユーザー（管理者権限のないユーザー）で実行し、攻撃が成功した場合の影響を軽減する。
信頼されていないウェブサイトにアクセスしたり、不明な情報源や信頼されていない情報源から提供されたリンクをたどったりしないようにユーザーに注意を促します。
電子メールや添付ファイルに含まれるハイパーテキストリンク、特に信頼されていないソースからのリンクがもたらす脅威について、ユーザーに情報を提供し、教育する。
最小特権の原則をすべてのシステムおよびサービスに適用する。

JPCERT/CC は、2020年11月19日以降、Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性の影響を受けるホストに関する情報が、フォーラムなどで公開されている状況を確認しています。当該情報は、FortiOS の既知の脆弱性 (CVE-2018-13379) の影響を受けるとみられるホストの一覧です。

8日に終了した“天府杯 2020”では、ターゲットにされた16の製品のうち「Firefox」を含む以下の11の製品が攻略され、23の攻撃がデモンストレーションされた。

米国家安全保障局（NSA）が、連邦政府機関の情報システムや防衛産業基盤、国防総省などを標的とするサイバー攻撃に中国が関与したと名指しし、実際に悪用されたり、探索行為の対象となった脆弱性のリストを公表した。

yukの脅威行為者は、5時間でフィッシングメールからドメインワイドなランサムウェアへと変化しました。最初のフィッシングから2時間も経たないうちに、Zerologon (CVE-2020-1472) を使用して権限をエスカレートさせました。Cobalt Strike、AdFind、WMI、PowerShellなどのツールを使用して目的を達成しました。

1時間以内に行動できるように準備をしておかなければ、効果的に脅威のアクターを混乱させることはできません。

Zerologon の脆弱性は、いくつかのバージョンの QTS に影響を及ぼすことが報告されています。

悪用されると、この特権昇格脆弱性により、リモート攻撃者がネットワーク上の侵害された QTS デバイスを介してセキュリティ対策を迂回することが可能になります。ユーザーがコントロールパネル > ネットワークとファイルサービス > Win/Mac/NFS > Microsoft Networking でデバイスをドメインコントローラとして設定している場合、NAS がこの脆弱性にさらされる可能性があります。

QNAPは、以下のソフトウェアバージョンでこの問題を修正しました。

QTS 4.5.1.1456 ビルド 20201015 以降
QTS 4.4.4.3.1439 ビルド 20200925 以降
QTS 4.3.6.1446 ビルド 20200929 以降
QTS 4.3.4.4.1463 ビルド 20201006 以降
QTS 4.3.3.3.1432 ビルド 20201006 以降

QTS 2.xおよびQESはこの脆弱性の影響を受けません。

攻撃者が Netlogon Remote Protocol (MS-NRPC) を使用してドメイン コントローラーに対して脆弱な Netlogon セキュア チャネル接続を確立する場合に、特権の昇格の脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、特別に細工されたアプリケーションをネットワーク上のデバイスで実行する可能性があります。

本脆弱性が修正している Netlogon プロトコルは、Windows デバイスだけではなく、非 Windows のデバイスにおいても実装されています。このため非 Windows デバイスの Netlogon 実装への互換性を考慮し、本脆弱性への対処を 2 段階に分けて実施する予定です。

非 Windows OS の場合は、Netlogon 実装が Secure RPC に対応するよう更新する必要があります。詳細は、提供元にご確認ください。

2020 年 8 月 11 日の更新プログラムにて、強制モードを早期に有効にするために次のレジストリ設定が利用可能になります。この設定は 2021 年 2 月 9 日からの強制フェーズに関係なく有効になります。

早めの適用を!

この脆弱性はセキュリティ更新プログラムが公開されるよりも前に脆弱性の詳細や攻撃コードが公開される、いわゆる“ゼロデイ” の脆弱性ではありません。

定期的に、イベント 5827、5828、および5829 を監視して、脆弱なセキュア チャネル接続を使用しているアカウントを特定します。