Blog

バラクーダがアプリケーションセキュリティのAWSセキュリティコンピテンシーを取得

海外ブログ 2022.08.09

脅威のスポットライト悪質なHTML添付ファイル

June 28, 2022年6月28日、Olesia Klevchuk バラクーダのリサーチャーは最近、過去1カ月間にバラクーダシステムでスキャンされた数百万件の添付ファイルのデータを分析し、悪質である可能性が最も高いものを特定しました。このリサーチによると、他のタイプの添付ファイルと比較して、HTML添付ファイルは突出して悪意のある目的に使用されています。実際、バラクーダがスキャンしたすべてのHTML添付ファイルの21%は悪質でした。そこで、悪意のあるHTML添付ファイルについて、詳しく見ていきましょう。サイバー犯罪者はどのように利用しているのでしょうか。また、このような攻撃から身を守るにはどうすればよいのでしょうか。注目すべき脅威悪意のある HTML 添付ファイル: HTML 添付ファイルは、電子メールによるコミュニケーションで広く使用されています。とりわけ、システムが生成した電子メールレポートによく見られます。ユーザーが定期的に受け取る可能性のあるメールで、そのメッセージには実際のレポートへの URL リンクが含まれています。攻撃者は、週報を装った電子メールにHTML形式の添付ファイルを埋め込み、ユーザーを騙してフィッシング・リンクをクリックさせるという手口を取っています。ハッカーがメール本文に悪意のあるリンクを含める必要がなく、アンチスパムやアンチウィルスのポリシーを簡単に回避できるようになるという、非常に成功率の高い手法です。詳細ハッカーがHTMLの添付ファイルを利用する方法はいくつかあります。まず、クレデンシャルフィッシングです。悪質なHTML添付ファイルには、フィッシング・サイトへのリンクが含まれています。HTMLファイルを開くと、Javaスクリプトを使用してサードパーティのマシンにリダイレクトされ、情報へのアクセスやマルウェアを含む可能性のあるファイルのダウンロードのために、ユーザーに認証情報を入力するように要求します。しかし、ハッカーは、必ずしも偽のウェブサイトを作成する必要はありません。彼らは、添付ファイルに直接フィッシング・フォームを埋め込んで、最終的にフィッシング・サイトをリンクではなく、添付ファイルとして送信することができるのです。これらの攻撃は、HTMLの添付ファイル自体に悪意がないため、検出が困難です。攻撃者は、添付ファイル自体にマルウェアを含めるのではなく、別の場所でホストされているJavaスクリプトライブラリを使って複数のリダイレクトを行います。このような攻撃から身を守るには、HTMLファイルの添付されたメール全体を対象としてすべてのリダイレクトを確認し、悪意があるかどうかをメールの内容から分析する必要があります。悪意のあるHTML添付ファイルから身を守る方法電子メールのセキュリティ対策で悪意のあるHTML添付ファイルを確実にスキャンし、ブロックする。これらの添付ファイルを正確に特定することは難しく、検出には多くの場合、誤検出が含まれます。最適なソリューションとは、添付ファイルだけでなく、メールのコンテンツを評価する機械学習と静的コード解析が含まれていることです。悪意のある可能性の高い HTML 添付ファイルを特定し、報告するようユーザーを訓練する。この手の攻撃が多発していることを考えると、ユーザーはすべてのHTML添付ファイル、特に知らない送信元からのものを警戒する必要があります。このような攻撃の例をフィッシング・シミュレーションのキャンペーンに盛り込み、ログイン情報を共有する前に必ずダブルチェックするようユーザーに教育してください。悪意のあるメールが届いた場合に備え、配信後用修復ツールをいつでも使えるようにしておく。このツールを使って、すべてのユーザーの受信トレイから悪意のあるメールのインスタンスを迅速に特定し、削除しましょう。自動化されたインシデントレスポンスならば、攻撃が組織全体に広がる前にこの作業を迅速に行えます。また、アカウント乗っ取り防止は、ログイン認証が侵害された場合に疑わしいアカウントの活動を監視して警告することができます。無料レポート – スピアフィッシング：主要な攻撃と攻撃トレンド原文はこちらThreat Spotlight: Malicious HTML attachmentsJune 28, 2022　Olesia Klevchukhttps://blog.barracuda.com/2022/06/28/threat-spotlight-malicious-html-attachments/

海外ブログ 2022.08.04

Atlassian Confluence RCE 脆弱性: CVE-2022-26134

トピック: Attacks and Threat Actors2022年6月9日、Vishal Khandelwal 脆弱性の詳細 Atlassian Confluence は、共同作業をするためのワークスペースを提供するツールです。今ではCVE-2022-26134と呼ばれる脆弱性の情報が、6月2日に公表されました。その週末には、さまざまな脅威アクターがこの脆弱性を攻撃に利用し、その存在はすぐさま悪意あるアクターの間に知れわたりました。この脆弱性を利用すると、認証されていない遠隔の攻撃者が新しい管理者アカウントを作成したり、特権的なコマンドを実行したり、ひいてはサーバーを制御したりすることができるようになります。リバースシェルの構築、強制DNSリクエストの実行、データ収集、新しい管理者アカウントの作成など、さまざまな手法で多様なエクスプロイトが作成されました。脅威アクターは、HTTPリクエストのURIに悪意のあるペイロードを配置します。現状では、実際に使われている概念実証（PoC）のほとんどはGETメソッドを使用していますが、どのようなリクエストメソッドでも、たとえ無効なリクエストメソッドであっても、同じ効果が得られると思われます。 CVSS: 9.8 | クリティカル | 解析待ち CVE: CVE-2022-26134 攻撃の検知と防御この脆弱性の修正として、Confluence にパッチを当てます。Atlassianはその詳細な推奨事項を提供しています。バラクーダのOSコマンドインジェクションおよび他のコマンドインジェクションシグネチャのシグネチャパターンは、現在野生で見られるエクスプロイトの試みを阻止しています。Atlassianは当初、Barracuda Web Application Firewallの顧客が手動で適用できる基本パターンを提供していました。今ではWAFルールを提案していませんが、アップデートを適用できない場合の緩和策としては今なお安全かつ効果的であるといえます。当社のアプリケーションセキュリティチームは、上述の手動ステップを自動化する新しいシグネチャを展開しようとしているところです。このシグネチャはパターンが一般的であるため、アクティブモードでは自動的には適用されません。Atlassian Confluenceを使用中ならば誰でも、このシグネチャを有効にできます。また、そのためのバラクーダのサポートもあります。この緩和策に必要な新しいシグネチャと設定の詳細については、こちらのキャンパスドキュメントをご覧ください。設定に関するサポートや攻撃パターンに関するご質問は、バラクーダネットワークスのテクニカルサポートにお問い合わせください。原文はこちらAtlassian Confluence RCE vulnerability: CVE-2022-26134June 9, 2022　Vishal Khandelwalhttps://blog.barracuda.com/2022/06/09/atlassian-confluence-rce-vulnerability-what-you-need-to-know/

海外ブログ 2022.07.15