JFrog Artifactory Vulnerabilities: Patch Now to Protect Your Software Supply Chain
2023/03/07 SecurityOnline — 数多くの開発チームが重要とするツール JFrog Artifactory に、いくつかのセキュリティ脆弱性が存在することが、最近になって判明した。これらの欠陥の深刻度は様々であり、それぞれのソフトウェア開発パイプラインを危険にさらす可能性がある。このリスクを理解し、システムを保護するためには、迅速な行動が重要となる。
Continue reading “JFrog Artifactory の複数の脆弱性が FIX:サプライチェーン保護のための迅速な行動とは?”CVE-2024-2044: pgAdmin Remote Code Execution Vulnerability
2024/03/07 SecurityOnline — 広範に利用されている PostgreSQL の管理ツール pgAdmin に存在する、脆弱性 CVE-2024-2044 に対して、先日にパッチが適用された。この脆弱性は、安全が保証されないデータに対するデシリアライズと、不十分な入力検証に起因するものであり、侵害のリスクが常に存在している状況を浮き彫りにしている。
Continue reading “PostgreSQL pgAdmin の脆弱性 CVE-2024-2044 が FIX:RCE にいたるおそれ”China-Linked Cyber Spies Blend Watering Hole, Supply Chain Attacks
2024/03/07 DarkReading — 中国の脅威グループによる標的型の水飲み場攻撃により、仏教フェスティバルの Web サイト訪問者とチベット語翻訳アプリのユーザーが、MgBot マルウェアなどに感染したことが判明した。ESET の新しい調査によると、ハッキング・チームである Evasive Panda のサイバー作戦キャンペーンが、2023年9月以前に開始されており、インド/台湾/オーストラリア/米国/香港などのシステムに影響を与えたという。
Continue reading “中国のハッカー Evasive Panda:水飲み場とサプライチェーンを組み合わせる戦術とは?”CVE-2024-28222 (CVSS 9.8): Veritas NetBackup Remote Code Execution Vulnerability
2024/03/07 SecurityOnline — エンタープライズ向けバックアップ・ソリューションとして広く利用されている Veritas NetBackup に、深刻なセキュリティ脆弱性 CVE-2024-28222 (CVSS:9.8) が発見された。この脆弱性の悪用に成功した、認証されていない攻撃者は、NetBackup サーバおよびクライアント上で、悪意のコードをリモートから実行する可能性を持つ。NetBackup BPCD プロセスで発見された CVE-2024-28222 は、不十分なファイル・パス検証に起因する。このバグにより、認証されていない攻撃者は、カスタム・ファイルのアップロードと実行が可能になる。
Continue reading “Veritas NetBackup の RCE 脆弱性 CVE-2024-28222 が FIX:直ちにアップデートを!”CVE-2024-27295: Directus Flaw Opens Door to Account Takeovers
2024/03/07 SecurityOnline — 多用途のオープンソース・コンテンツ管理プラットフォームである Directus に、脆弱性 CVE-2024-27295 が発見された。この脆弱性により、何千ものプロジェクトにおいて、アカウント乗っ取り攻撃の可能性が生じている。Directus は、その柔軟性と豊富なカスタマイズ・オプションにより、開発者たちに支持されている。具体的に言うと、Docker Pull 2,700 万以上/GitHub Star 約25,000/npm DL 49,000 件/月という状況であり、コンテンツ管理者たちの基盤としての地位を確立している。
Continue reading “Directus の脆弱性 CVE-2024-27295 が FIX:アカウント乗っ取りにつながる恐れ”FBI: US Ransomware Losses Surge 74% to $59.6 Million in 2023
2024/03/07 InfoSecurity — FBI の Internet Crime Report 2023 によると、2023年の米国におけるランサムウェアの被害額は $59.6 m に急増し、前年の $34.4 m から 74% 増加した。この数字は、昨年に FBI に対して報告された、2825件のランサムウェア・インシデントに算出されたものであり、2022年との比較で 18% 増加している。
Continue reading “FBI 調査 2023:米国のランサムウェア被害額は $59.6 M 前年比 74% 増”Cisco Patches High-Severity Vulnerabilities in VPN Product
2024/03/07 SecurityWeek — 3月6日に Cisco が発表したのは、Secure Client における2つの深刻度の高い脆弱性に対するパッチである。同製品は、セキュリティと監視機能を備えた、企業向けの VPN アプリケーションである。1つ目の脆弱性 CVE-2024-20337 は、Linux/macOS/Windows 版 のSecure Client に影響するものであり、認証されていない攻撃者に、リモートから改行コード (CRLF) インジェクション攻撃をゆるす可能性がある。
Continue reading “Cisco Secure Client の脆弱性 CVE-2024-20337/20338 などが FIX:ただちにパッチを!”Japan on Line Breach: Clean Up Post-Merger Tech Sprawl
2024/03/07 DarkReading — 日本の省庁は、2023年11月の大規模なデータ流出について、合併したテック企業 LINE と韓国の Naver を非難している。その対象となるのは、両社間で共有されている Active Directory の存在である。アジアで広く親しまれているメッセージング・アプリ LINE で、最近に発生したデータ流出について、日本政府が分析した。その結果として LINE は、親会社である Naver から、その技術を分離するよう指示されていたことが判明した。
Continue reading “LINE のデータ侵害を分析:総務省が求める Naver からのテクノロジー分離とは?”
IoT OT Security News 