Day: September 20, 2022

MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落

MFA Fatigue: Hackers’ new favorite tactic in high-profile breaches

2022/09/20 BleepingComputer — 企業の認証情報へのアクセスを試みるハッカーたちは、大規模なネットワークに侵入するために、ソーシャル・エンジニアリング攻撃を多用し始めている。  多要素認証の普及に伴い、それらのを攻撃する際の構成要素の1つとして、MFA Fatigue (MFA 疲れ) と呼ばれる手法が一般的になってきた。企業ネットワークに侵入する際にハッカーたちは、盗み出した従業員のログイン認証情報を使って VPN や内部ネットワークに、アクセスするのが一般である。そしてハッカーたちにとっては、フィッシングやマルウェアで流出させた認証情報があり、また、ダークウェブ・マーケット・プレイスで購入した認証情報もありという具合に、さまざまな方法で企業の機密情報の入手が可能であり、それは難しいことではないというのが現実である。

Continue reading “MFA 疲れを狙う攻撃:フィッシングで根負けさせ Microsoft/Cisco/Uber などを陥落”

Oracle Cloud Infrastructure の脆弱性:特権昇格やクロステナント・アクセスを修正

Critical Vulnerability in Oracle Cloud Infrastructure Allowed Unauthorized Access

2022/09/20 InfoSecurity — Oracle Cloud Infrastructure (OCI) で発見された新たな脆弱性により、すべてのユーザーのクラウド・ストレージ・ボリュームへの不正アクセスが可能となり、その結果として、クラウドの分離が侵害されることになっている。この欠陥は、6月に Wiz のセキュア・クラウドの専門家が発見し、AttachMe と名付けられたものであり、今日の同社の最新アドバイザリで取り上げられている。

Continue reading “Oracle Cloud Infrastructure の脆弱性:特権昇格やクロステナント・アクセスを修正”