今週気になったIT関連のニュース

2021年3月1日～2021年3月7日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• Microsoft Exchange Serverのゼロデイ攻撃
• SITAに関連する航空会社利用者の情報漏洩
• ソーシャルネットワーキングサービスへの攻撃
• 最後に

Microsoft Exchange Serverのゼロデイ攻撃

今週一番大騒動だったのは、おそらくこのニュース。

What

• MSのExchange Serverにゼロデイ脆弱性があり、WebShellが埋め込まれる事例が多数発生
• 被害を受けた米国組織は、少なくとも30,000、世界中で100,000
• これによりリモートから任意コード実行ができる
• オンプレ環境で動作し、インターネットに公開されているExchange Serverが攻撃対象
• ターゲットは、アメリカの政府関連の組織
  • 銀行、信用組合、非営利団体、電気通信プロバイダー、公益事業、警察、消防、救助隊など
• 既に世界中の数十万のサーバが制御下にあるらしい
• Microsoftの発表
  • New nation-state cyberattacks
  • 影響を受けたのは自分でExchange Serverをホストしている場合のみで、MSの提供しているExchangeサービスを利用している人は攻撃の影響はない。
• 当初はHafniumによる攻撃だと考えられていたが、どうやら他のグループからの攻撃も増えているらしい
  • 2019年に見つかったDLTminerというマルウェアを実行した事例が見つかった
  • これはHafniumによる攻撃ではない可能性が高いらしい
• Microsoftは、今回のゼロデイを使った攻撃が実行された痕跡を見つけるための情報を公開している
  • HAFNIUM targeting Exchange Servers with 0-day exploits
  • チェックするためのスクリプトも公開している
  • CSS-Exchange

Who

• Hafnium
  • 中国のサイバースパイ部隊?

When

• 2021年02月26から2021年03月03日ごろ
• 2021年3月2日に緊急アップデート公開（この更新前に、既に多くの攻撃が成功しているはず）
• https://krebsonsecurity.com/2021/03/microsoft-chinese-cyberspies-used-4-exchange-server-flaws-to-plunder-emails/
  • その後3日間で攻撃が劇的に増加

How

• メールとスケジュール機能を持つWebアプリ（Outlook Web Access）のゼロデイ脆弱性を突いた
• 脆弱性を突いて、管理者権限の取得やバックドアを設置した
• Microsoftの公開した情報によると、今回使われた脆弱性は下記
  • CVE-2021-26855
  • CVE-2021-26857
  • CVE-2021-26858
  • CVE-2021-27065
  • HAFNIUM targeting Exchange Servers with 0-day exploits

関連記事

• Tens of thousands of US organizations hit in ongoing Microsoft Exchange hack | Ars Technica
• At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software
• New nation-state cyberattacks
• HAFNIUM targeting Exchange Servers with 0-day exploits
• Microsoft: Chinese Cyberspies Used 4 Exchange Server Flaws to Plunder Emails
• CSS-Exchange

SITAに関連する航空会社利用者の情報漏洩

What

• 世界の航空会社の90%を扱うITベンダーSITAが攻撃を受けた
• 数百万人の利用者データが危険にさらされた可能性がある
• 影響を受けたサーバはSITA Passenger Service System（SITA PSS）のもの
• SITA PSSは複数航空会社のシステムと繋がっており、会社をまたがったサービスを提供している
• サードパーティのサプライチェーンプロバイダーを狙ったサプライチェーン攻撃
• ANAとJALで影響を受けたのは下記の情報
  • アルファベット表記の名前
  • 会員番号
  • ステイタス（JAL: エメラルド、サファイア、ルビー、ANA: ダイヤモンド、プラチナ、ブロンズならびにスーパーフライヤーズ会員）

Why

• 利用者のデータを狙った？
  • JALとANAは利用していないようだが、今回攻撃されたシステムが住所、パスポートデータなどの情報を持っている場合もある？
  • Massive Supply-Chain Cyberattack Breaches Several Airlines
  • これらの情報は攻撃者にとって魅力的なデータ

関連記事

• Massive Supply-Chain Cyberattack Breaches Several Airlines
• JAL Web Page SITA社セキュリティ事故によるJALマイレージバンク会員情報の漏洩について
• ANA Web Page SITA社システムへの不正アクセスによるANAマイレージクラブ会員情報の漏洩について

ソーシャルネットワーキングサービスへの攻撃

What

• アメリカで右派の意見を持つ人が使っているGabというSNSが攻撃された
• 攻撃により、70GBのデータが盗まれた
• SQLiの脆弱性を悪用された
  • GabのソースコードはGitHubで公開されてい
  • 今回の脆弱性を作り込んでしまったと考えられるCommitのアーカイブが残されている
    • archive.today
  • 悪用された脆弱性は、Railsの機能を適切に使っていなかった

Why

• 政治的な理由？
  • つい先日はParlerも騒動になっていた

関連記事

• Passwords, Private Posts Exposed in Hack of Gab Social Network
• Trump’s is one of 15,000 Gab accounts that just got hacked
• Gab’s CTO Introduced a Critical Vulnerability to the Site

最後に

MicrosoftのExchange Serverの問題はかなり影響が大きそう。

Microsoftが公開している情報を参考に攻撃が実行された痕跡を見つけることはできるが、その後は何を仕込まれているかわからないので各環境の管理者がチェックしないといけない。

どうやって収束に向かわせるのか気になるので、継続して発表をチェックしたい。