Day: May 1, 2024

XML-Crypto の脆弱性 CVE-2024-32962 が FIX:CVSS 値は 10.0

CVE-2024-32962 (CVSS 10): Critical Vulnerability in XML-Crypto Affects Millions

2024/05/01 SecurityOnline — XML ドキュメントの暗号セキュリティにおいて、広く使用されている不可欠なツール XML-Crypto npm パッケージに、深刻なセキュリティ上の欠陥が発見された。この脆弱性には CVE-2024-32962 が採番され、その深刻度は CVSS 値 10.0 と評価されている。この脆弱性は、電子署名の真正性を適切に検証しないという、同パッケージのデフォルト設定における基本機能の欠陥に起因しており、悪用に成功した攻撃者に対して、なりすまし署名を許してしまう。

Continue reading “XML-Crypto の脆弱性 CVE-2024-32962 が FIX:CVSS 値は 10.0”

2024 Q1 のランサムウェア活動調査:LockBit/Black Basta/Play がトップに – ReliaQuest

LockBit, Black Basta, Play Dominate Ransomware in Q1 2024

2024/05/01 InfoSecurity — 2024 Q1 に最も活発に動き回ったランサムウェア・グループは、LockBit/Black Basta/Play であることが確認された。その中でも特筆すべきは、Black Basta の活動が 41% も増加したという点だ。このデータは、サイバーセキュリティ企業 ReliaQuest の最新レポートによるものだ。同レポートは、調査の対象期間中である2月に、LockBit が法執行機関によるテイクダウンを受け、大きく後退したことにも触れている。

Continue reading “2024 Q1 のランサムウェア活動調査:LockBit/Black Basta/Play がトップに – ReliaQuest”

HPE ArubaOS の 10件の脆弱性が FIX:RCE /DoS 攻撃が生じる恐れ

HPE Aruba Networking fixes four critical RCE flaws in ArubaOS

2024/05/01 BleepingComputer — 4月30日に HPE Aruba Networking が公開したセキュリティ・アドバイザリは、同社独自のネットワーク OS である ArubaOS の、複数のバージョンに影響を及ぼす脆弱性に関するものだ。このアドバイザリには、10件の脆弱性が記載されており、そのうちの4件は、リモート・コード実行につながる可能性のある、深刻度 (CVSS v3.1:9.8) の認証を必要とせずに悪用が可能なバッファ・オーバーフローの脆弱性である。

Continue reading “HPE ArubaOS の 10件の脆弱性が FIX:RCE /DoS 攻撃が生じる恐れ”

CISA KEV 警告 24/05/01:GitLab の脆弱性 CVE-2023-7028 を KEV に追加

CISA says GitLab account takeover bug is actively exploited in attacks

2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS:10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。

Continue reading “CISA KEV 警告 24/05/01:GitLab の脆弱性 CVE-2023-7028 を KEV に追加”

クラウドに CVE は 必要? 不要?:変容する脆弱性の管理について考える – Veracode

Why cloud vulnerabilities need CVEs

2024/05/01 HelpNetSecurity — いまの世界において、脆弱性の管理の目的を考えるとき、新しいテクノロジーへの大きな移行を認識する必要がある。たとえばクラウドなどの、各種のパラダイムや環境の中で、リスクを管理する方式を認識することが不可欠となる。ネットワーク・セキュリティの継ぎ接ぎは、同じようにクラウド環境に適用できないだろうし、脆弱性に CVE 識別子を割り当てるクラウド・プロバイダーもほとんどいないという状況である。

Continue reading “クラウドに CVE は 必要? 不要?:変容する脆弱性の管理について考える – Veracode”

侵害のイニシャル・アクセスとしての脆弱性悪用:2023年は 180% 増 – Verizon DBIR

DBIR: Vulnerability Exploits Triple as Initial Access Point for Data Breaches

2024/05/01 InfoSecurity — 侵害のイニシャル・アクセス・ステップとしての脆弱性の悪用は、2022年から 2023年の間に 180% も増加した。5月1日に Verizon が発表した 2024 Data Breach Investigations Report (DBIR) によると、この方式でネットワークに侵入する脅威アクターが 14% に達し、そこから不正アクセスや侵害につながっていった。1位のクレデンシャル窃取と、2位のフィッシングに続いて、脆弱性の悪用は3位となっている。この増加は、MOVEit の脆弱性の悪用や、2024年を通してランサムウェア・ギャングが用いた、いくつかのゼロデイ・エクスプロイトが要因になっていると、同レポートは指摘している。

Continue reading “侵害のイニシャル・アクセスとしての脆弱性悪用:2023年は 180% 増 – Verizon DBIR”