PHPMailerの脆弱性(CVE-2020-36326) まとめ

脆弱性番号

CVE-2020-36326

■報告日

2021/04/29

■概要
  • PHPMailerはフィルタリングされていない"phar://"のPathをaddAttachment関数および他の関数に渡します。これによりオブジェクト注入攻撃に対して脆弱性を持ち、RCEにつながる可能性があります。
  • 今回の脆弱性(CVE-2020-36326)は、以前の脆弱性(CVE-2018-19296)の再発です。
  • CVE-2018-19296の修正バージョンとして、PHPMailer 6.0.6 および 5.2.27 が公開されたが、6.1.8 の公開の際に脆弱性が再発しました。

PHPMailer - Security Advisories - CVE-2020-36326
https://github.com/PHPMailer/PHPMailer/security/advisories/GHSA-m298-fh5c-jc66 PHPMailer - Security Advisories - CVE-2018-19296
https://github.com/advisories/GHSA-7w4p-72j7-v7c2

■影響バージョン

PHPMailer 6.1.8 から 6.4.0 までのバージョン

■回避策

PHPMailer 6.4.1 へのアップデート

■注意点
■その他参考サイト

www.security-next.com

Pulse Connect Secure の脆弱性(CVE-2021-22893) まとめ

脆弱性概要

Pulse Connect Secure RCE Vulnerability (CVE-2021-22893)

kb.pulsesecure.net

■どのような脆弱性

認証されていないリモートの攻撃者が不特定のベクターを介して任意のコードを実行する可能性があります。 CVSS 3.1 スコア 10(クリティカル)

■対象バージョン

PCS9.0R3以降

■対応策

①Pulse Connect Secure Integrity Tool の実行

  • 攻撃者は脆弱性の悪用に成功すると、アプライアンスにWebシェルを配置して永続的なアクセスを取得する可能性がある。
  • このツールはファイルシステムの整合性をチェックし、ハッシュ値の不一致を検出できる。(すでに攻撃が成功し、Webシェルなどの不正なファイルが置かれていた場合、検出できる。)
  • 検出された不一致ファイルは、暗号化されたzipアーカイブとしてダウンロードできる。

Pulse Connect Secure Integrity Tool

https://kb.pulsesecure.net/pkb_mobile#article/l:en_US/KB44755/s

②回避策の実行

  • Workaround-2104.xmlファイルをインポートすることで軽減できる。
  • 影響: XMLファイルは、PCSアプライアンスで次の機能を無効にする。
  • Windowsファイル共有ブラウザ
  • パルスセキュアコラボレーション

③アップデートの実施

  • まだ提供されていない。5月上旬提供見込み。

【参考】 CISA - Emergency Directive 21-03 cyber.dhs.gov

■日本語参考記事(セキュリティネクスト)

www.security-next.com www.security-next.com

2021年4月 Microsoft Security Update まとめ

社内のMS製品にセキュリティパッチを適用するかの判断材料として、2021年4月の Microsoft Security Update について情報収集をしました。 注意すべき脆弱性/更新内容を洗い出します。

■2021年4月のアップデート・公開された脆弱性一覧

Security Update Guide - Microsoft Security Response Center

・releaseNote 2021/04

msrc.microsoft.com

今月のリリースには、オンプレミスのExchange Serverの新しい脆弱性から保護するための更新など、優先することをお勧めするいくつかの重大な脆弱性が含まれています。これらの新しい脆弱性は、セキュリティパートナーによって標準の調整された脆弱性の開示を通じて報告され、マイクロソフトによって内部的に発見されました。お客様に対する攻撃で使用される脆弱性は確認されていません。ただし、最近の攻撃者がExchangeに注目していることを考えると、これらの脅威やその他の脅威から保護された状態を維持するために、できるだけ早く更新をインストールすることをお勧めします。

■セキュリティニュースサイト

ZDNET www.zdnet.com ・TalosBlog blog.talosintelligence.com ・セキュリティネクスwww.security-next.com

今月はExchange Server脆弱性が1番騒がれています。 リモートコード実行の脆弱性で以下の4つのCVEです。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28480

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28481

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28482

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28483

またWin32k における権限昇格の脆弱性も注目されています。 こちらは一般に公開されていないものの、すでに悪用が確認されているため。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28310

Exchange Server脆弱性について

Microsoft Security Response Center msrc-blog.microsoft.com ・Released: April 2021 Exchange Server Security Updates techcommunity.microsoft.com

2020年02月セキュリティ記事1

Iranian Hackers Exploiting VPN Flawsto Backdoor Organizations Worldwide

概要

  • イラン政府の支援を受けたハッカーイスラエルや世界中の企業をターゲットとした攻撃を展開している
  • この攻撃キャンペーンは"Foxkitten"と呼ばれている
  • 主な攻撃ターゲットはIT、通信、ガス、石油、航空、政府、セキュリティ企業 

破壊活動に使われるマルウェア

攻撃ベクター

  • The exploitation of unpatched VPNvulnerabilities
    • Pulse Secure Connect (CVE-2019-11510)
    • Palo Alto Networks' Global Protect (CVE-2019-1579)
    • Fortinet FortiOS (CVE-2018-13379)
    • Citrix (CVE-2019-19781)

攻撃フロー

  • VPN製品を乗っ取り
  • C2サーバからバックドアとして動作するVBScriptをDLする
  • バックドアのコードはチャンクとしてDLされるので、AVでの検知を回避する
  • DLされた個々のファイルを結合して実行ファイルを作成する
  • 最終的にデータの持ち出し

攻撃ツール

  • Juicy Potato
    • windowsの権限昇格脆弱性(RottenPotato)のexploitをツール化したもの
  • Invoke the Hash
  • STSRCheck
    • A tool for mapping databases, servers, and open ports in the targeted networkand brute-force them by logging with default credentials.
  • Port.exe
    • A tool to scan predefined ports and servers.