March 28, 2024 – IoT OT Security News

Chrome の権限昇格の脆弱性 CVE-2024-0333：技術詳細が公開

CVE-2024-0333: Chrome Flaw Could Have Let Attackers Sneak in Malicious Extensions

2024/03/28 SecurityOnline — Google Chrome の深刻な脆弱性 CVE-2024-0333 に関する技術的詳細が、この脆弱性の発見者であるセキュリティ研究者 Malcolm Stagg により公開された。この脆弱性を Stagg が発見したのは、Google Chrome における Elevation Service の悪用方法について調査を実施している最中であったという。

Imperva SecureSphere WAF の深刻な脆弱性 CVE-2023-50969：PoC と技術的詳細が公開

CVE-2023-50969: Critical Flaw in Imperva SecureSphere WAF Could Lead to Devastating Breaches

2024/03/28 SecurityOnline —オンプレミスで広く利用されている WAF (Web Application Firewalls) である Imperva SecureSphere に、新たな脆弱性 CVE-2023-50969 (CVSS：9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、Web 攻撃を防ぐためのセキュリティ・ルールを回避し、SQL インジェクションや XSS (Cross-Site Scripting) などを実施できるようになるため、ユーザー組織においては壊滅的なセキュリティ侵害の可能性が生じる。

Kemp Loadmaster の脆弱性 CVE-2024-1212：積極的な悪用を SonicWall が検出？

‘In the Wild’ Attacks Target Critical Vulnerability (CVE-2024-1212) in Progress Kemp Loadmaster

2024/03/28 SecurityOnline — Progress Kemp Loadmaster アプリケーション・デリバリ・コントローラーに存在する、深刻な脆弱性 CVE-2024-1212 (CVSS：10) が積極的に悪用されていると、SonicWall の Capture Labs 脅威調査チームが警告している。この脆弱性は、認証を必要とせずにコマンド・インジェクションを可能にするものであり、影響を受けるシステムが、攻撃者により完全に制御される可能性を生じる。

PenTesting-as-a-Service について考える：従来からの方式と比べて時間とコストが圧縮できる？

How Pentesting-as-a-Service can Reduce Overall Security Costs

2024/03/28 BleepingComputer — アプリケーションやデータの安全性を維持する業務に携わっているなら、潜在的な弱点や脆弱性を特定する上での、ペネトレーション・テストの重要性を知っているだろう。しかし、古典的なペンテストにおいては、あなたの組織を不必要なリスクにさらす可能性があり、それと同時に、コストを押し上げる可能性があることは知らないかもしれない。その代わりとして、Web アプリケーション向けの PTaaS (Penetration Testing as a Service) が提供するのは、サイバー・セキュリティ向上と、保護強化と、コスト削減する方法となる。

Cisco IOS／IOS XE ソフトウェアに存在する複数の脆弱性が FIX：ただちにパッチを！

Cisco Addressed High-Severity Flaws In IOS and IOS XE Software

2024/02/28 SecurityAffairs — 今週に Cisco がリリースしたのは、複数の IOS／IOS XE ソフトウェアの脆弱性に対処するためのパッチである。それらの脆弱性を悪用する、未認証の攻撃者により、サービス拒否 (DoS) 状態が引き起こされる可能性がある。

Okta Verify for Windows の脆弱性 CVE-2024-0980 が FIX：ただちにパッチを！

CVE-2024-0980 Vulnerability in Okta Verify for Windows Demands Urgent Update

2024/03/28 SecurityOnline — 広く利用されている多要素認証 (MFA) アプリ Okta Verify for Windows に、深刻な脆弱性が存在していることを、セキュリティ研究者たちが報告している。この脆弱性 CVE-2024-0980 (CVSS：7.1：High) の悪用に成功した攻撃者は、影響を受けるシステム上で、リモートから任意のコードを実行する可能性を持つ。Okta Verify は、Okta が開発した多要素認証 (MFA) アプリである。つまり、Okta にサインインするユーザーに対して本人確認を行い、ユーザーになりすました人物が、アカウントにアクセスする可能性を低減するものである。

GitLab の脆弱性 CVE-2023-6371／CVE-2024-2818 が FIX：ただちにパッチを！

GitLab Patches Vulnerabilities, Users Urged to Update Immediately

2024/03/28 SecurityOnline — 人気の DevOps プラットフォームである GitLab において、 Git Management Software バージョン 16.10.1／16.9.3／16.8.5 用の重要なセキュリティ・アップデートがリリースされた。これらのパッチで対処された脆弱性は、悪意のコードの実行から、システムの停止にいたる攻撃を引き起こし、ユーザーを危険にさらす可能性を持つものだ。

Splunk Enterprise の脆弱性 CVE-2024-29946／29945 が FIX：ただちにパッチを！

Splunk Patches Vulnerabilities in Enterprise Product

2023/03/28 SecurityWeek —3月27日 (水) に Splunk は、Enterprise 製品向けのセキュリティ・パッチを発表したが、その中には深刻度 High の脆弱性も含まれる。Splunk Enterprise がパッチを適用した、２件の深刻度の高い脆弱性については、個別のアドバイザリが公開されている。そのうちの１つである、脆弱性 CVE-2024-29946 は、Splunk Dashboard Studio アプリの Dashboard Examples Hub に影響すものであり、リスクの高い SPL (Search Processing Language) コマンドの保護のバイパスのために悪用される可能性がある。

2023年の個人情報が漏えい：170億件で 34.5％増 – Flashpoint 調査

17 Billion Personal Records Exposed in Data Breaches in 2023

2024/03/28 InfoSecurity — Flashpoint の最新レポート 2024 Global Threat Intelligence Report によると、2023年に報告されたデータ漏えい事件は 34.5％増加し、年間を通じて漏えいした個人情報は、170億件以上にものぼるという。Flashpoint は、氏名／社会保障番号／財務データなどの機密情報を含む、2023年に公に報告された 6077 件のデータ漏えいを調査した。これらのインシデントの 70％以上が、被害を受けた組織に対する外部からの不正アクセスに起因するものだったという。

NIST NVD の新たなコンソーシアム設立が決定：FIRST カンファレンスでの発表とは？

NIST Unveils New Consortium to Operate its National Vulnerability Database

2024/03/28 InfoSecurity — NIST (National Institute of Standards and Technology) が提供してきた、世界で最も利用されているソフトウェア脆弱性リポジトリの管理の一部が、業界コンソーシアムに引き継がれることが正式に決定した。米国商務省の一機関である NIST は、2005年に NVD (National Vulnerability Database ) を立ち上げて以来、ずっと運営を続けてきた。しかし、このデータベースの運営は、早ければ 2024年4月初旬から、審査に合格した組織の手に委ねられることになるという。