Day: April 26, 2023

PrestaShop の深刻な脆弱性 CVE-2023-30839 が FIX:ロール権限を破壊する SQL インジェクション

PrestaShop fixes bug that lets any backend user delete databases

2023/04/16 BleepingComputer — Eコマース・プラットフォームの OSS である、PrestaShop がリリースした新バージョンは、バックオフィス・ユーザー権限の有無には関係なく、SQL データベースの書込/更新/削除が可能となる深刻な脆弱性に対処したものだ。バックオフィス・ユーザーとは、Web サイトの管理画面にアクセスできるユーザーのことであり、そこに含まれるのは Owner/Administrator/Sales Representative/Customer Support Agent/Order Processor/Data Entry Staff などとなる。

Continue reading “PrestaShop の深刻な脆弱性 CVE-2023-30839 が FIX:ロール権限を破壊する SQL インジェクション”

Cisco PCD に深刻な脆弱性 CVE-2023-20060:悪用は難しいがパッチも適用されない

Cisco discloses XSS zero-day flaw in server management tool

2023/04/26 BleepingComputer — 4月26日に Cisco は、Prime Collaboration Deployment (PCD) ソフトウェアに存在する、クロス・サイト・スクリプティング (XSS) のゼロデイ脆弱性と、攻撃の可能性について公表した。このサーバ管理ユーティリティは、組織のインベントリにあるサーバの移行やアップグレードのタスクを、管理者による実施を可能にするものだ。そして、脆弱性 CVE-2023-20060 は、Cisco PCD 14 以前の Web ベースの管理インターフェイスに存在するものであり、NATO Cyber Security Centre (NCSC) の Pierre Vivegnis により発見された。

Continue reading “Cisco PCD に深刻な脆弱性 CVE-2023-20060:悪用は難しいがパッチも適用されない”

Veeam Backup & Replication の脆弱性:ロシアの FIN7 サイバー犯罪組織が狙っている – WithSecure

FIN7 Hackers Caught Exploiting Recent Veeam Vulnerability

2023/04/26 SecurityWeek — ロシアのサイバー犯罪グループ FIN7 だが、パッチ未適用の Veeam Backup & Replication インスタンスを、最近の攻撃で悪用していることが確認されたと、サイバーセキュリティ企業 WithSecure が報告している。2015年頃から存在し、Anunak/Carbanak とも呼ばれる FIN7 は、主にクレジット・カード情報の窃盗にフォーカスする金銭的動機のあるグループだ。セキュリティ研究者たちは、多数のサブグループが、FIN7 傘下で活動していると考えている。これまでの数年間において、FIN7 の活動と重なる脅威アクターたちの中には、REVIL/DarkSide/BlackMatter/Alphv/Black Basta といったランサムウェアへ移行していった者も見られるという。

Continue reading “Veeam Backup & Replication の脆弱性:ロシアの FIN7 サイバー犯罪組織が狙っている – WithSecure”

Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET

Tencent QQ users hacked in mysterious malware attack, says ESET

2023/04/26 BleepingComputer — Tencent QQ メッセージング・アプリの自動アップデートの一部として、マルウェア MsgBot を配布するという謎の攻撃に、Evasive Panda と呼ばれる中国の APT ハッキング・グループが関与していることが判明した。Evasive Panda とは、2012年頃から活動しているサイバースパイ・グループであり、これまでに中国本土/香港/マカオ/ナイジェリア/東南アジア/東アジアなどの国々で、さまざまな組織や個人を標的としてきた。

Continue reading “Tencent QQ ユーザーをハッキング:中国 APT の Evasive Panda が関与 – ESET”

Apache Superset の脆弱性 CVE-2023-27524 が FIX:脆弱なインスタンスが散在している状況

Apache Superset Vulnerability: Insecure Default Configuration Exposes Servers to RCE Attacks

2023/04/26 TheHackerNews — OSS データ可視化ソフトウェア Apache Superset (BI Tool) のメンテナたちは、リモート・コード実行を許す可能性のある、安全性が担保されないデフォルト・コンフィグレーションの問題を修正するプログラムをリリースした。この脆弱性 CVE-2023-27524 (CVSS:8.9) は、Apache Superset バージョン 2.0.1 以下に影響を及ぼす。そして、デフォルトの SECRET_KEY の悪用に成功した攻撃者は、インターネットに露出したインスタンスに対して、不正な認証/リソース・アクセスを行っていく。

Continue reading “Apache Superset の脆弱性 CVE-2023-27524 が FIX:脆弱なインスタンスが散在している状況”