eSecurity Planetは6月3日(米国時間)、「Vulnerability Recap 6/3/24: Check Point, Fortinet & Okta」において、5月27日から6月2日までに発表された主要な脆弱性の概要を伝えた。

Vulnerability Recap 6/3/24: Check Point, Fortinet & Okta

○脆弱性の概要

eSecurity Planetが概要を伝えた先週の主要な脆弱性は次のとおり。

○Check Point VPNの脆弱性

2024年5月28日(米国時間)、Check PointのSecurity Gatewayからゼロデイの脆弱性が発見された。脆弱性は「CVE-2024-24919」として追跡されており、リモートアクセスVPNまたはモバイルアクセスソフトウェアブレード(Mobile Access Software Blades)を有効にしている場合、攻撃者に特定の情報を窃取される可能性がある。

Check Pointは脆弱性の情報を「Preventative Hotfix for CVE-2024-24919 - Quantum Gateway Information Disclosure」にて公開しており、次の製品を運用している管理者に修正パッチとなる「Jumbo Hotfix Accumulator」をインストールするか、または指示に従い「Security Gateway Hotfix」をインストールすることを推奨している。

CloudGuard Network

Quantum Maestro

Quantum Scalable Chassis

Quantum Security Gateways

Quantum Spark Appliances

○FortiSIEMの脆弱性に対するPoCコード公開

2024年2月に発見されたFortinet FortiSIEMの緊急の脆弱性に対する概念実証(PoC: Proof of Concept)コードが公開された。脆弱性は「CVE-2024-23108」にて追跡されている。公開された概念実証コードを使用されると、リモートの認証されていない攻撃者により管理者権限で任意のコマンドを実行される可能性がある(参考:「FortiSIEMの緊急脆弱性のPoCが公開、ただちに更新を | TECH+(テックプラス)」)。

○Okta Customer Identity Cloudへの攻撃

2024年5月29日(米国時間)、OktaはCustomer Identity Cloudのクロスオリジン認証機能が、流出した認証情報を使用するクレデンシャルスタッフィング攻撃(Credential Stuffing)の標的になりやすいと警告した。攻撃を確認したことを受けて、4月15日以降の次のログイベントを確認することを推奨している。

fcoa - Failed cross-origin authentication

scoa - Successful cross-origin authentication

pwd_leak - Someone attempted to login with a leaked password

クロスオリジン認証機能の有効無効にかかわらずログイベントを確認し、上記イベントの急増が確認された場合は速やかに次の対策を実施することが推奨されている。

弱いパスワードを設定できないようにする

パスワードにユーザー名の一部を含まないようにする

パスワードは12文字以上にする

流出した既知のパスワード一覧に掲載されているすべてのパスワードを拒否する

○Linuxカーネルの脆弱性悪用

米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はLinuxの既知の脆弱性が悪用されていると警告した。悪用が確認された脆弱性は「CVE-2024-1086」として追跡される解放後使用(UAF: use-after-free)の脆弱性。攻撃者はローカルの特権昇格が可能とされる。2024年2月に修正パッチが公開され、3月には概念実証コードが公開されている。

○Hugging FaceのSpacesプラットフォームに不正アクセス

Hugging Faceは2024年5月31日(米国時間)、「Space secrets security update」において、Spacesプラットフォームへの不正アクセスを検出したと発表した。この不正アクセスによりプラットフォームの機密情報を流出した可能性があるため、組織トークンを削除し、Spacesシークレットのキー管理サービス(KMS: Key Management Service)を実装したとしている。

また、流出した可能性のあるシークレットに存在するいくつかのトークンを取り消している。トークンの取消対象となったユーザーにはメールにて通知が送信されており、キーまたはトークンを更新することが推奨されている。