技術関連記事
セキュリティ

2024年6月 セキュリティ情報(Microsoft Message Queuing (MSMQ) のリモートでコードが実行される脆弱性[CVE-2024-30080]など)

目次

ご挨拶

インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。

2024年6月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。

注目した脆弱性(Microsoft Message Queuing (MSMQ) のリモートでコードが実行される脆弱性[CVE-2024-30080])

情報公開日:2024/6/11(現地時間)

一次情報元(引用元) "Microsoft"Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability
"Microsoft"Microsoft Message Queuing (MSMQ) のリモートでコードが実行される脆弱性
その他、情報ソース "NVD" CVE-2024-30080 Detail
"Cybersecurity Help s.r.o." Remote code execution in Microsoft Message Queuing (MSMQ)
"JVN iPedia" JVNDB-2024-003475 マイクロソフトの複数の Microsoft Windows 製品におけるリモートでコードを実行される脆弱性
CVE番号及び深刻度 CVE番号:CVE-2024-30080
深刻度:Critical (CVSSスコア 9.8) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
脆弱性内容 Microsoft 社はMicrosoft Message Queuing (以降、MSMQと略称) の脆弱性「CVE-2024-30080」を公開した。当該脆弱性はリモートから悪用可能で、攻撃が成立すると、任意コードが実行される恐れがあります。 想定される攻撃手口は細工したMSMQパケットをHTTP経由で送付することになります。
想定される影響 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。
影響を受ける製品 Microsoft Windows 10 for 32-bit Systems
Microsoft Windows 10 for x64-based Systems
Microsoft Windows 10 Version 1607 for 32-bit Systems
Microsoft Windows 10 Version 1607 for x64-based Systems
Microsoft Windows 10 Version 1809 for 32-bit Systems
Microsoft Windows 10 Version 1809 for ARM64-based Systems
Microsoft Windows 10 Version 1809 for x64-based Systems
Microsoft Windows 10 Version 21H2 for 32-bit Systems
Microsoft Windows 10 Version 21H2 for ARM64-based Systems
Microsoft Windows 10 Version 21H2 for x64-based Systems
Microsoft Windows 10 Version 22H2 for 32-bit Systems
Microsoft Windows 10 Version 22H2 for ARM64-based Systems
Microsoft Windows 10 Version 22H2 for x64-based Systems
Microsoft Windows 11 version 21H2 for ARM64-based Systems
Microsoft Windows 11 version 21H2 for x64-based Systems
Microsoft Windows 11 Version 22H2 for ARM64-based Systems
Microsoft Windows 11 Version 22H2 for x64-based Systems
Microsoft Windows 11 Version 23H2 for ARM64-based Systems
Microsoft Windows 11 Version 23H2 for x64-based Systems
Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core installation)
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core installation)
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core installation)
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2012 (Server Core installation)
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2 (Server Core installation)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016 (Server Core installation)
Microsoft Windows Server 2016
Microsoft Windows Server 2019 (Server Core installation)
Microsoft Windows Server 2019
Microsoft Windows Server 2022 (Server Core installation)
Microsoft Windows Server 2022 , 23H2 Edition (Server Core installation)
Microsoft Windows Server 2022

システムが影響を受けるかどうかを判断するには、MSMQ HTTP サポート機能が有効になっているかどうか、およびマシン上で Message Queuing というサービスが実行されているかどうかを確認することになります。
解決策 ・当該脆弱性に対応したバージョンへのUpdate
 ⇒詳細については「一次情報元(引用元)」でご確認ください。

コメント 本脆弱性は内部ネットワークに侵入された後に悪用される可能性が高いもので、致命的な被害が発生する恐れがあります。
インターネット経由でMSMQのポート1801/tcpにアクセスできないこと、社内ネットワークや社内サーバが問題ないか確認することをお勧めいたします。

その他、注目した脆弱性/ソフトウェアUpdate情報

2024年5月下旬の脆弱性/ソフトウェアUpdate情報も含まれております。
日付 ソフトウエア 情報/コメント
2024/5/29 Nginx Nginx 社は、HTTP/3実装箇所に存在した複数の脆弱性を修正したセキュリティUpdateを公開。

"nginx-announce mailing list(Wed May 29 15:12:07 UTC 2024)"
https://mailman.nginx.org/pipermail/nginx-announce/2024/GMY32CSHFH6VFTN76HJNX7WNEX4RLHF6.html
"Changes with nginx 1.26.1"
https://nginx.org/en/CHANGES-1.26
"Changes with nginx 1.27.0"
https://nginx.org/en/CHANGES
2024/6/3 Oracle WebLogic Server アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称)は2017年に公開されたOracle WebLogic Server 脆弱性「CVE-2017-3506」の悪用確認を公表した。

"CISA Adds One Known Exploited Vulnerability to Catalog (Release DateJune 03, 2024)"
https://www.cisa.gov/news-events/alerts/2024/06/03/cisa-adds-one-known-exploited-vulnerability-catalog
2024/6/9 PHPの複数バージョン PHPの複数バージョン「8.1.29」「8.2.20」「8.3.8」をリリース。CVE番号が付与された複数の脆弱性も対応されている。なお、修正された脆弱性「CVE-2024-4577」の悪用確認が6/10にCISAから公表された。

"ChangeLog Version 8.1.29"
https://www.php.net/ChangeLog-8.php#8.1.29
"ChangeLog Version 8.2.20"
https://www.php.net/ChangeLog-8.php#8.2.20
"ChangeLog Version 8.3.8"
https://www.php.net/ChangeLog-8.php#8.3.8
"CISA Adds Two Known Exploited Vulnerabilities to Catalog (Release DateJune 12, 2024)"
https://www.cisa.gov/news-events/alerts/2024/06/12/cisa-adds-two-known-exploited-vulnerabilities-catalog
2024/6/11 Microsoft 社複数製品 Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用や第三者から情報公開された脆弱性はなかった。

"2024 年 6 月のセキュリティ更新プログラム"
https://msrc.microsoft.com/update-guide/releaseNote/2024-Jun
"2024 年 6 月のセキュリティ更新プログラム (月例)"
https://msrc.microsoft.com/blog/2024/06/202406-security-update/
2024/6/11 Mozilla Firefox /Firefox ESR Mozilla 社は、ブラウザFirefox /Firefox ESR のセキュリティアップデートを公開。影響度は全て「High」に設定されている。また、悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。

"Mozilla Foundation Security Advisory 2024-25 Security Vulnerabilities fixed in Firefox 127"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-25/
"Mozilla Foundation Security Advisory 2024-26 Security Vulnerabilities fixed in Firefox ESR 115.12"
https://www.mozilla.org/en-US/security/advisories/mfsa2024-26/
2024/6/24 WordPress WordPress 開発チームは、複数の脆弱性を解消した「WordPress 6.5.5」をリリース。

"WordPress 6.5.5"
https://wordpress.org/news/2024/06/wordpress-6-5-5/

注目したインシデント

2024年5月下旬のインシデント情報も含まれております。

公表日 発生組織/業種 インシデント内容 情報/コメント
2024/5/31 金融業 ビットコインの不正流出 原因については好評時点では非公開だが金融庁から原因究明を求められているとのこと。なお、流出分はグループ会社からの支援のもと調達を行うとのこと。
2024/5/31 証券 メールサービスへの不正アクセスによる個人情報漏えい及びスパムメール送信 特定社員のメールアカウントが不正アクセスを受け、サーバに保存されていた約2年分のメールを第三者によってダウンロードされた可能性があるという。
2024/6/3 衣料系通販 ドメインハイジャック 同社の公式ECサイトで使用していたドメインが第三者により海外のドメイン管理会社へ移管され、公式サイトが接続できない状況に陥った。
2024/6/3 学校 サポート詐欺による不正アクセス及び個人情報流出の可能性 不審に思いパソコンを強制シャットダウンしたところ、デスクトップ上にあった一部のデータが無くなっていたとのこと。
2024/6/3(第一報)
2024/6/5(第二報)
2024/6/13(第三報)
電力系 ランサムウェア感染 第一報報告時点において、被害拡大防止対応は実施済。現在、情報漏えいの可能性範囲など調査で明らかになった情報を逐次報告している。
2024/6/4 小売業 不正アクセスによる検索結果の改ざん 検索エンジンの検索結果改ざんにつながるファイルが設置され、第三者のECサイトに誘導される検索結果が表示されたとのこと。
2024/6/4 人材紹介 不正アクセスによる顧客情報漏えい 漏えいデータが海外サイトに掲載されている可能性があるとの情報を把握し調査した結果、不正ファイルが設置されサーバから情報が窃取された可能性があることが判明した。
2024/6/6 大学 個人情報が閲覧可能な状態に(個人情報漏えい) 学内イントラネット内でのインシデント。原因はシステムの設定変更とコメントしている。なお、学外への情報漏えいや悪用は確認されていないとのこと。
2024/6/9~ エンターテイメント企業 サイバー攻撃による業務停止 当該グループ企業のサーバの多くがサイバー攻撃によりダウン。その後、ランサムウェア被害やリモートで操作されたといった報道が行われた。
2024/6/11(続報) 医療センター ランサムウェアによる情報漏えい 5月に公表したランサムウェア被害に関する続報。県警本部にて同センターが保有していたデータが漏えいしていることを確認したとのこと。
2024/6/12 大学 詐欺サイトアクセスによる不正アクセス及び個人情報流出の可能性 業務中に偶然、詐欺サイトをクリックした結果、外部から不正なアクセスを受けるという事象が発生したとのこと。
2024/6/14 自治体 フォーム設定ミスによる個人情報漏えいの可能性 原因はフォームに登録されたすべてのユーザーに閲覧権限を付与したためとコメントしている。
2024/6/17 芸能 フォーム設定ミスによる個人情報漏えいの可能性 申し込んだ会員相互で閲覧可能だった可能性があるという。
2024/6/17 衣料通販 不正アクセスによる個人情報漏えい ウェブサイトに脆弱性が存在し、注文に見せかけた攻撃によって第三者によりシステムを改ざんされる被害に遭ったという。
2024/6/18 製菓 不正アクセスによる個人情報漏えいの可能性 既に侵入経路を特定・遮断したとコメント。なお、漏えいの可能性があるデータには社内システムIDとハッシュ化されたパスワードも含まれているとのこと。
2024/6/21(報道) 医療機関(海外) ランサムウェア被害による情報漏えい 犯罪グループと交渉した際、回答を引き延ばしたため交渉が決裂。ダークウェブ上に患者データが流出された。
2024/6/26 大学 フォーム設定ミス及び報告メール送信ミスによる個人情報漏えい 申込フォームの設定ミスが発生。その後の報告メールでもミスが発生したという。
TOP技術関連記事2024年6月 セキュリティ情報(Microsoft Message Queuing (MSMQ) のリモートでコードが実行される脆弱性[CVE-2024-30080]など)