Three Ways To Supercharge Your Software Supply Chain Security
2024/01/04 TheHackerNews — “Executive Order on Improving the Nation’s Cybersecurity” の第4節で紹介されているのは、技術業界の人々のための、ソフトウェア・サプライ・チェーンと安全性確保の概念である。もし、あなたがソフトウェアを作り、それを連邦政府機関に売りたいと考えているのであれば、ソフトウェア・サプライ・チェーンについて注意を払う必要がある。もし、政府機関に販売する計画がないとしても、ソフトウェア・サプライ・チェーンを理解し、その安全性を確保する方法を学ぶことで、より強固なセキュリティの足場とメリットという配当が得られる。この記事では、ソフトウェア・サプライチェーンのセキュリティを強化するための、3つの方法について説明していく。
Continue reading “ソフトウェア・サプライ・チェーンの安全性:三本柱の実践で改善できるはず”Ivanti warns critical EPM bug lets hackers hijack enrolled devices
2024/01/04 BleepingComputer — Ivanti の EPM (Endpoint Management Software) に存在する、深刻なリモートコード実行 (RCE) の脆弱性が修正された。この脆弱性が、未認証の攻撃者に悪用されると、登録されたデバイスまたはコアサーバの乗っ取りの可能性が生じる。Ivanti EPM は、Windows/macOS/Chrome OS から、IoT オペレーティング・システムにいたるまでの、幅広いプラットフォームで実行される、クライアント・デバイスの管理を支援するものだ。
Continue reading “Ivanti EPM の脆弱性 CVE-2023-39336 が FIX:登録デバイスの乗っ取りにいたる”‘everything’ blocks devs from removing their own npm packages
2024/01/04 BleepingComputer — 年末年始の連休中に、npm パッケージのレジストリは 3,000以上のパッケージで溢れかえった。この、”everything” をダウンロードするように命名されたパッケージは、すべての npm パッケージを徐々に取り込む。それらは、コンピュータ上の npmjs.com レジストリに公開されものであり、ストレージが不足する可能性がある。 しかし、このような問題は、氷山の一角にすぎない。つまり、誰が “everything をインストールするのかという疑問は、このパッケージが持っている、もっと大きな副作用を無視している。
Continue reading “npm で発生した “依存性地獄”:パッケージ削除を禁止する最悪の連鎖が発生”Hacked Mandiant X Account Abused for Cryptocurrency Theft
2024/01/04 SecurityWeek — 2024年1月3日に、Mandiant の X (旧 Twitter) アカウントがハッキングされ、暗号通貨詐欺を目的とした Web サイトへと、ユーザーを誘い込むために悪用されていたことが判明した。Google Cloud の一部である Mandiant のアカウントは、”Phantom” により改名され、プロフィール画像と説明文が変更されており、正規の暗号通貨ウォレットである Phantom Wallet と関連があるかのように改ざんされていた。
Continue reading “Mandiant の X (旧 Twitter) アカウント乗っ取りが発生:Phantom 暗号通貨詐欺に悪用”
IoT OT Security News 