API ゲートウェイと API プロテクション:違いを理解して協調させるには?

API Gateway Security – What kind of security do API gateways offer?

2022/01/13 SecurityBoulevard — API は、最新のアプリケーションを構成する重要な要素であると同時に、企業の攻撃対象として最も急増している要素の1つでもある。当然のことながら、企業は、これらの資産が適切に管理され、プロビジョニングされ、脅威や攻撃者から保護されていることを確認する必要がある。API プロテクション・ソリューションと API ゲートウェイは、どちらも、この点で重要な役割を果たしており、場合によっては重複した機能を持つこともある。しかし、それは互換性があるということではなく、それぞれの技術を使用すべき場所とタイミングを正確に知ることで、余計な混乱を招く恐れもある。

Continue reading “API ゲートウェイと API プロテクション:違いを理解して協調させるには?”

Cisco の Unified CCMP/CCDM の深刻な脆弱性 CVE-2022-20658 が FIX

Cisco Releases Patch for Critical Bug Affecting Unified CCMP and Unified CCDM

2022/01/13 TheHackerNews — Cisco の Unified Contact Center Management Portal (Unified CCMP) および Unified Contact Center Domain Manager (Unified CCDM) に脆弱性があり、この脆弱性を悪用するリモートの攻撃者が、システムを制御する可能性があることが判明した。この脆弱性 CVE-2022-20658 は、CVSS 深刻度 9.6 と評価され、サーバー側でのユーザー権限の検証が行われていないことに起因する、特権昇格の問題を引き起こす可能性がある。

Continue reading “Cisco の Unified CCMP/CCDM の深刻な脆弱性 CVE-2022-20658 が FIX”

サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち

New Cyberattack Campaign Uses Public Cloud Infrastructure to Spread RATs

2022/01/13 DarkReading — 最近の攻撃キャンペーンには、パブリック・クラウドのインフラを利用して、コモディティ RAT である Nanocore/Netwire/AsyncRAT の亜種を配信し、ユーザーのデータを標的にするものが見られると、研究者たちが報告している。この、10月に発見された攻撃キャンペーンは、攻撃者が自身でインフラをホストせずに目的を達成するために、クラウド利用を増やしていることが明示されていると、Cisco Talos の研究者たちが報告している。

Continue reading “サイバー攻撃の最新動向:クラウドからトロイの木馬を振り撒く攻撃者たち”

AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが

AWS fixes security flaws that exposed AWS customer data

2022/01/13 BleepingComputer — Amazon Web Services (AWS) は、他の AWS 顧客アカウントにリンクされたデータへのアクセス/変更を許す、AWS Glue のセキュリティ問題に対処した。AWS Glue は、サーバーレスのクラウド・データ統合サービスであり、アプリ開発/機械学習/分析のための、データの発見/準備/結合を支援するものだ。

Continue reading “AWS 顧客データ流出のバグが FIX:発見した Orca と AWS の間で評価にズレが”

Microsoft RDP 脆弱性 CVE-2022-21893:データ窃取やスマートカード PIN 傍受が生じる

Microsoft RDP Bug Enables Data Theft, Smart-Card Hijacking

2022/01/13 DarkReading — 少なくとも、Microsoft Windows Server 2012 R2 以降のシステムは、Remote Desktop Services プロトコルの脆弱性の影響を受けるようだ。この脆弱性により、RDP 経由でリモートシステムに接続した攻撃者は、接続している正当なユーザーたちの、そのマシン上のファイル・システムにアクセスすることが可能になる。

Continue reading “Microsoft RDP 脆弱性 CVE-2022-21893:データ窃取やスマートカード PIN 傍受が生じる”