The Final Count: Vulnerabilities Up Almost 10% in 2021
2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。
Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”Night Sky ransomware uses Log4j bug to hack VMware Horizon servers
2022/01/11 BleepingComputer — ランサムウェア Night Sky が、Log4j ロギング・ライブラリに存在する深刻な脆弱性 CVE-2021-44228 (Log4Shell) を悪用し、VMware Horizon システムへのアクセスを開始した。このランサムウェアは、正規の企業を装ったドメインから、Web 上に公開されている脆弱なマシンを標的としており、その中にはテクノロジーやサイバー・セキュリティ分野の企業も含まれている。
Continue reading “Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された”Microsoft: New critical Windows HTTP vulnerability is wormable
2022/01/11 BleepingComputer — Microsoft は、Windows 11 および Windows Server 2022 などの、最新の Windows デスクトップ/サーバーに影響を与えることが判明した、wormable と呼ばれる深刻な脆弱性にパッチを適用した。この脆弱性 CVE-2022-21907 (CVSS 値 7.8) には、今月の Patch Tuesday が適用されている。
Continue reading “Microsoft Windows の HTTP プロトコル・スタックに存在する脆弱性 wormable が FIX”CISA alerts federal agencies of ancient bugs still being exploited
2022/01/11 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、悪用が検知されている脆弱性のリストを更新し、米国企業への攻撃手段として頻繁に利用されている、15件のセキュリティ問題を新たに追加した。今回のリストに追加された脆弱性は、それぞれの深刻度と公開日を持ち、中程度のリスクと評価されているものもあれば、2013年に公開されたものもある。
Continue reading “CISA から連邦政府機関へ警告:活発に悪用されている既知の脆弱性 15件”State hackers use new PowerShell backdoor in Log4j attacks
2022/01/11 BleepingComputer — イランの国家支援グループ APT35 (Charming Kitten/Phosphorus) に属すると思われるハッカーが、Log4Shell 攻撃により新たな PowerShell バックドアを投下していることが確認されている。このモジュール型ペイロードは、C2 通信を処理し、システムの列挙を行い、最終的には追加モジュールの受信/復号化/ロードを行うことが可能とされる。Log4Shell は、12月に公開された Apache Log4j の深刻なリモートコード実行の脆弱性 CVE-2021-44228 を悪用するものである。
Continue reading “イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下”New KCodes NetUSB Bug Affect Millions of Routers from Different Vendors
2022/01/11 TheHackerNews — この、問題となるコンポーネントは、Netgear/TP-Link/Tenda/EDiMAX/D-Link/Western Digital などの、数百万台のエンドユーザー向けルーターに組み込まれている。KCodes NetUSB は、ローカル・ネットワーク上のデバイスが、USB ベースのサービスを IP 経由で提供できるようにするための Linux カーネル・モジュールである。
Continue reading “KCodes NetUSB に RCE 脆弱性:Netgear/TP-Link/Tenda などのルーターに影響”CISA Unaware of Any Significant Log4j Breaches in U.S.
2022/01/11 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) だが、先日に公開された Log4j の脆弱性に関連した深刻な侵害について、現在のところ検知していないと述べている。月曜日に行われたメディアへのブリーフィングで、CISA の Director である Jen Easterly と、Executive Assistant Director for Cybersecurity である Eric Goldstein は、深刻なインシデントは検知していないと述べている。これは、数多くの組織が迅速に対応した結果だと思われる。
Continue reading “CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い”Microsoft January 2022 Patch Tuesday fixes 6 zero-days, 97 flaws
2022/01/11 BleepingComputer — 今日は、Microsoft の January 2022 Patch Tuesday であり、それに伴い、6つのゼロデイ脆弱性を含む、合計で97件の脆弱性が修正された。Microsoft は、今日のアップデートで、97件の脆弱性 (29件の Microsoft Edge 脆弱性を除く) を修正し、9件を Critical に、88件を Important に分類している。
Continue reading “Microsoft 2022-01 月例アップデートは6件のゼロデイと 97件の脆弱性に対応”
IoT OT Security News 