Day: March 30, 2022

Lapsus$ の犯行声明:IT 企業 Globant のデータ 70GB を流出させた

LAPSUS$ Claims to Have Breached IT Firm Globant; Leaks 70GB of Data

2022/03/30 TheHackerNews — データ強奪組織である Lapsus$ は、1週間の休暇後に Telegram で復帰を発表し、ソフトウェア・サービス企業の Globant のデータだと主張するものを流出させた。このグループは、54,000人のメンバーを有する Telegram チャンネルに、「我々は正式に休暇から戻ってきた」と書き込み、Globant の DevOps インフラに属するとされる、抽出されたデータと認証情報の画像を掲載した。

Continue reading “Lapsus$ の犯行声明:IT 企業 Globant のデータ 70GB を流出させた”

Spring Java Framework のゼロデイ脆弱性 CVE-2022-22963:RCE 防御のための緩和策

New Spring Java framework zero-day allows remote code execution

2022/03/30 BleepingComputer — Framework Spring Core の新たなゼロデイ脆弱性 Spring4Shell が公開され、それを利用するアプリケーション上で、未認証のリモートコード実行が可能になることが明らかにされた。Spring は、エンタープライズ・レベルの機能を持つ Java アプリケーションを、迅速かつ容易に開発できるようにするため、ソフトウェア開発者にとって極めて人気の高いアプリケーション・フレームワークである。それらのアプリケーションは、必要な依存関係をすべて備えたスタンドアロン・パッケージとして、Apache Tomcat などのサーバーにディプロイできる。

Continue reading “Spring Java Framework のゼロデイ脆弱性 CVE-2022-22963:RCE 防御のための緩和策”

QNAP 警告:NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX

QNAP Warns of OpenSSL Infinite Loop Vulnerability Affecting NAS Devices

2022/03/30 TheHackerNews — 今週に台湾の QNAP は、同社の NAS アプライアンスの一部が、先日に公開されたオープンソース OpenSSL Cryptographic Library の影響を受けることを明らかにした。同社は、2022年3月29日に発表したアドバイザリーで、「OpenSSL における無限ループの脆弱性が、特定の QNAP NAS に影響を及ぼすことが報告されている。この脆弱性が悪用された場合、攻撃者はサービス拒否攻撃を行うことが可能になる」と述べている。

Continue reading “QNAP 警告:NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX”

VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している

Log4j Attacks Continue Unabated Against VMware Horizon Servers

2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。

今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。

Continue reading “VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している”

Mazda のインフォテインメントに発生した障害:セキュア・コーディングだけで防げるのか?

Mazda Infotainment Crash Shows How Fragile Car Security Really Is

2022/03/30 BleepingComputer — 今日もまた、車載デバイス・ソフトウェアのクラッシュが発生した。今回、不具合が見つかったのは、2014年〜2017年の Mazda インフォテインメント・システムである。複数のドライバーたちが、ローカルラジオ局に接続する際に、HD ラジオ受信機がクラッシュしたと報告している。具体的に言うと、ラジオとディスプレイ、ブルートゥース、内蔵地図、デジタル時計などが、すべて焼けてしまったとのことだ。報告によると、システム障害は、ラジオ局がファイル名に必要な拡張子を付けずに画像を送信した際に起こった、単純なコーディング・エラーにより発生したようだ。

Continue reading “Mazda のインフォテインメントに発生した障害:セキュア・コーディングだけで防げるのか?”