Day: March 8, 2024

FortiOS/FortiProxy の脆弱性 CVE-2024-21762:150,000 台のデバイスが危険に晒されている

Critical Fortinet flaw may impact 150,000 exposed devices

2024/03/08 BleepingComputer — 約 150,000 台の Fortinet FortiOS/FortiProxy が、深刻なセキュリティ脆弱性 CVE-2024-21762 の危険に晒されていることが、Shadowserver のスキャンにより判明した。この脆弱性の悪用に成功した攻撃者は、認証なしでコード実行を行う可能性がある。2024年2月に、米国のサイバー防衛局である CISA (Cybersecurity and Infrastructure Security Agency) は、この脆弱性を KEV (Known Exploited Vulnerabilities Catalog) カタログに追加し、この脆弱性が攻撃者たちにより積極的に悪用されていることを警告している。

Continue reading “FortiOS/FortiProxy の脆弱性 CVE-2024-21762:150,000 台のデバイスが危険に晒されている”

QNAP NAS の脆弱性 CVE-2024-21899 などが FIX:直ちにアップデートを!

QNAP warns of critical auth bypass flaw in its NAS devices

2024/03/08 BleepingComputer — 台湾の NAS (Network Attached Storage) 機器メーカーである QNAP の NAS ソフトウェア製品に、3つの脆弱性が発見された。これらの脆弱性は、同社の QTS/QuTS hero/QuTScloud/myQNAPcloud などに影響を及ぼすものであり、攻撃者にデバイスへのアクセスをゆるし、認証バイパス/コマンド・インジェクション/SQL インジェクションの可能性を生じるものだ。

Continue reading “QNAP NAS の脆弱性 CVE-2024-21899 などが FIX:直ちにアップデートを!”

CISA が OSS セキュリティ・サミットを開催:Principles for Package Repository Security とは?

CISA Outlines Efforts to Secure Open Source Software

2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、2日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。

Continue reading “CISA が OSS セキュリティ・サミットを開催:Principles for Package Repository Security とは?”

Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた

Microsoft Says Russian Gov Hackers Stole Source Code After Spying on Executive Emails

2024/03/08 SecurityWeek — Microsoft の発表によると、同社の企業ネットワークに侵入して上級幹部に対するスパイ活動を展開した、ロシア政府に支援されたハッキング・チームは、ソースコードも盗んでいたという。さらに、現在も同社内のコンピューター・システムに、粘着している可能性があるという。Microsoft は、「現在進行中の攻撃として、あるハッキング・グループが当社の企業電子メール・システムから流出した情報を使って、不正アクセスを獲得している可能性もしくは、獲得しようと施行している可能性の証拠を掴んだ」と述べている。

Continue reading “Microsoft の警告:ロシアン・ハッカーの侵入によりソースコードが盗まれた”

E メール攻撃の現状:Secure Email Gateways を毎分1通のペースで迂回

100% Surge In Malicious Emails Bypassing Secure Email Gateways

2024/03/08 GBHackers — SEG (Secure Email Gateways) の回避に成功する悪意のメールの頻度は、過去1年間で倍増している。この急増が浮き彫りにするのは、サイバー脅威の高度化と、組織が直面するデジタル資産の保護という課題である。Cofense の分析によると、SEG を迂回する悪質な電子メールは毎分1通に達し、企業の防御に対する執拗な攻撃が示唆されている。

Continue reading “E メール攻撃の現状:Secure Email Gateways を毎分1通のペースで迂回”