Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた

Bug bounty platforms handling thousands of Log4j vulnerability reports

2021/12/22 DailySwig — 世界のソフトウェア・エコシステムに衝撃を与え続けている、Apache Log4j のバグに関連する脆弱性報告が、バグバウンティ・ハンターにより何千件も提出されている。このバグは、オープンソースの Java ロギング・ライブラリ Log4j に存在する、CVSS 値 10 という深刻な欠陥であり、これまでにない数の潜在的な標的に対して、サイバー犯罪者によるリモートコード実行 (RCE) 攻撃を許してしまうものとなる。

Continue reading “Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた”

Log4Shell を最初に中国政府に報告しなかった Alibaba:これでペナルティは可哀想

China disciplines Alibaba Cloud for handling of Log4j bug

2021/12/22 SCMP — 中国のインターネット・セキュリティ当局が、Alibaba Group Holding のクラウド・コンピューティング・サービス部門を懲戒処分にした。水曜日に中国メディアが報じたところによると、サイバー・セキュリティ業界を震撼させた Apache Log4j ソフトウェアの深刻な脆弱性を、最初に政府に報告しなかったことが原因のようだ。

Continue reading “Log4Shell を最初に中国政府に報告しなかった Alibaba:これでペナルティは可哀想”

Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩

4-Year-Old Bug in Azure App Service Exposed Hundreds of Source Code Repositories

202/12/22 TheHackerNews — Microsoft の Azure App Service におけるセキュリティ上の欠陥により、2017年9月から少なくとも4年間に渡り、Java/Node/PHP/Python/Ruby で書かれた、顧客アプリケーションのソースコードが公開されていたことが明らかになった。

Continue reading “Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩”

CISA の Apache Log4j スキャナー:CVE-2021-44228 と CVE-2021-45046 に対応

CISA releases Apache Log4j scanner to find vulnerable apps

2021/12/22 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Log4j のリモートコード実行に関する2つの脆弱性 (CVE-2021-44228/CVE-2021-45046) の影響を受ける、Web サービスを特定するためのスキャナのリリースを発表した。

Continue reading “CISA の Apache Log4j スキャナー:CVE-2021-44228 と CVE-2021-45046 に対応”

CISA/FBI/NSA と Five Eyes の共同勧告:Log4Shell 攻撃を遅らせるためのガイダンス

CISA, Five Eyes issue guidance meant to slow Log4Shell attacks

2021/12/22 CyberScoop — 米国の国土安全保障省 (Department of Homeland Security) 傘下の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache の Log4j ソフトウェア・ライブラリに存在する脆弱性により引き起こされる、IT およびクラウド・サービスでの潜在的なリスクに対処する方法について、ベンダーやユーザー組織に対して詳細なガイドを提供するという勧告を発表した。

Continue reading “CISA/FBI/NSA と Five Eyes の共同勧告:Log4Shell 攻撃を遅らせるためのガイダンス”

Microsoft Teams のバグ:3月からフィッシングの脅威にさらされている?

Microsoft Teams bug allowing phishing unpatched since March

2021/12/22 BleepingComputer — Microsoft の発表は、2021年3月以降に報告された Microsoft Teams のリンクプレビュー機能に影響をおよぼす、複数のセキュリティ欠陥について、修正しないか、パッチを延期するというものだった。ドイツの IT セキュリティ・コンサルタント会社 Positive Security の Fabian Bräunlein が発見した4つの脆弱性は、Server-Side Request Forgery (SSRF)、URLプレビューの偽装、IP アドレスの漏洩 (Android) と、Message of Death (Android)と名付けられたサービス拒否 (DoS) につながるものだった。

Continue reading “Microsoft Teams のバグ:3月からフィッシングの脅威にさらされている?”

IoT ハニーポット実験:脅威アクターが特定のデバイスを狙う理由は?

Honeypot experiment reveals what hackers want from IoT devices

2021/12/22 BleepingComputer — さまざまな場所に設置された、さまざまなタイプの low-interaction IoT デバイスをシミュレートする3年間のハニーポット実験により、脅威アクターが特定のデバイスを狙う理由が明確になった。より具体的に言うと、このハニーポットは、十分に多様なエコシステムを作り出し、生成されたデータにより敵対者の目標を決定するために、クラスター化することを目的とした。

Continue reading “IoT ハニーポット実験:脅威アクターが特定のデバイスを狙う理由は?”

米国の国土安全保障省:Hack DHS バグバウンティ・プログラムを Log4j に拡大

‘Hack DHS’ bug bounty program expands to Log4j security flaws

2021/12/22 BleepingComputer — 米国の国土安全保障省 (Department of Homeland Security : DHS) は、Log4j の脆弱性の影響を受けた DHSシステムを追跡してくれるバグバウンティ・ハンターにも、Hack DHS プログラムを開放することを発表した。

Continue reading “米国の国土安全保障省:Hack DHS バグバウンティ・プログラムを Log4j に拡大”

ETH Zurich フィッシング大規模調査:従業員に対するトレーニングには効果が無い

Research: Simulated Phishing Tests Make Organizations Less Secure

2021/12/22 SecurityWeek — 56,000人の従業員を抱える組織で行われた、大規模かつ長期的なフィッシング実験の結果、驚くべき結論が得られた。企業のユーザー教育キャンペーンにおいて、よく見られるフィッシングの模擬テストは、実際には事態をさらに悪化させているというのだ。チューリッヒ工科大学 (ETH Zurich) の研究者たちは、無名のグローバル上場企業と共同で 15ヶ月間のフィッシング実験を行った。

Continue reading “ETH Zurich フィッシング大規模調査:従業員に対するトレーニングには効果が無い”