DigiCert Forced to Revoke Thousands of Certificates Due to Domain Validation Error
2024/07/29 SecurityOnline — 大手デジタル認証局である DigiCert が発表したのは、DCV (Domain Control Verification) プロセスにおけるコンプライアンス違反の問題により、同社の SSL/TLS 証明書数千件を緊急で失効させるという決定だ。
Continue reading “DigiCert の DCV プロセスにコンプライアンス違反:数千の SSL/TLS 証明書が失効”Critical OpenSSH Vulnerability “regreSSHion” Threatens macOS Users
2024/07/29 SecurityOnline — Apple が認めたのは、regreSSHion (CVE-2024-6387) と呼ばれる深刻な OpenSSH の脆弱性が、macOS システムにも存在することだ。この、認証を必要としないリモートコード実行 (RCE) の脆弱性を悪用する攻撃者は、標的とするサーバへの完全なルート・アクセスを取得し、深刻なセキュリティ・リスクをもたらす可能性を手にする。
Continue reading “OpenSSH の脆弱性 regreSSHion CVE-2024-6387:macOS ユーザーにも危険が迫っている”ImageMagick AppImage Vulnerability Opens Door to Arbitrary Code Execution
2024/07/29 SecurityOnline — 幅広い業界で使用されているイメージ処理ライブラリ ImageMagick は、その AppImage バージョンで発見された脆弱性について、ユーザーにセキュリティ勧告を発している。この脆弱性の悪用に成功した攻撃者は、標的とするシステム上で任意のコード実行を可能にし、データ漏洩/システム侵害などの、悪意の行為を引き起こす可能性を得る。
Continue reading “ImageMagick AppImage の脆弱性が FIX:PoC エクスプロイトも提供”2024/07/29 SecurityOnline — 米国 CISA は、KEV (Known Exploited Vulnerabilities) カタログに、3件の脆弱性 (CVE-2024-4879/CVE-2024-5217/CVE-2023-45249) を追加した。これらの脆弱性は、ServiceNow Now Platform と Acronis Cyber Infrastructure (ACI) サーバに存在するものであり、政府機関と民間企業の両方に重大なリスクをもたらしている。
Continue reading “CISA KEV 警告 24/07/29:ServiceNow/Acronis Cyber Infrastructure の脆弱性を登録”Microsoft: Ransomware gangs exploit VMware ESXi auth bypass in attacks
2024/07/29 BleepingComputer — VMware ESXi の認証バイパスの脆弱性を悪用するランサムウェア集団が、積極的な攻撃を展開していると、Microsoft が警告している。この Medium レベルの脆弱性 CVE-2024-37085 は、Microsoft のセキュリティ研究者である Edan Zwick/Danielle Kuznets Nohi/Meitar Pinto により発見され、6月25日にリリースされた ESXi 8.0 U3 で修正されている。このバグを悪用する攻撃者は、ESX Admins グループを作成し、新規ユーザーの追加を可能にするものであり、それらのユーザーに対しては、ESXi ハイパーバイザー上の完全な管理者権限が自動的に割り当てられるという。
Continue reading “VMware ESXi への認証バイパスの攻撃:複数のランサムウェアが悪用 – Microsoft”Phishing Campaign Exploited Proofpoint Email Protections for Spoofing
2024/07/29 SecurityWeek — Proofpoint のメール保護サービスの脆弱性を悪用し、有名企業に成りすますフィッシング・キャンペーンが展開されていることが、Guardio Labs のレポートにより明らかになった。このキャンペーンでは、1日あたり数百万通のフィッシング・メッセージが配信されている。攻撃者たちは、Proofpoint を悪王することで、フィッシング・メッセージが本物であるように見せかけている。彼らは、過剰なアクセス許可を与えるという 、Proofpoint のミス・コンフィグを悪用することで、電子メールのセキュリティ保護を回避しているという。
Continue reading “Proofpoint の脆弱性 EchoSpoofing:フィッシング・キャンペーンに悪用されている”OAuth+XSS Attack Threatens Millions of Web Users With Account Takeover
2024/07/29 DarkReading — Web ユーザーの行動を追跡/記録するサービスの Hotjar と、人気のニュース・サイト Business Insider の API に、重大なセキュリティ欠陥が存在することが判明した。最新の認証規格が悪用され、長年の脆弱性が復活させられたことで、数百万人のユーザーがアカウント乗っ取りの危険にさらされている。API のセキュリティ会社である Salt Security の Salt Labs が、7月29日に公開したブログによると、認証規格の OAuth と、2つのサイトの XSS (cross-site scripting) の欠陥を組み合わせることで、攻撃者は機密データの窃取が可能になり、100万以上の Web サイトの正規ユーザーを装う悪質な活動の可能性が生じているという。
Continue reading “OAuth と XSS のコンボ攻撃:数百万人の Web ユーザーをアカウント乗っ取りで脅かす”Whitepaper: DevSecOps Blueprint
2024/07/29 HelpNetSecurity — GitGuardian による DevSecOps Blueprint ホワイトペーパー “Vulnerability Management and Security-by-Design to Pipeline Integrity” では、SDLC (Software Development Life Cycle) のあらゆる側面に対応する、自動化された技術主導の DevSecOps プログラムを、構築するための強固な基盤が概説されている。このホワイトペーパーでは、ツール/テクノロジー/プロセス (IR やセキュリティ・テストのような)/関係者などの、あらゆるレイヤーにセキュリティを組み込む方法が学ぶことが可能であり、セキュリティを維持しながら、開発者の作業時間を短縮できる。
Continue reading “DevSecOps Blueprint:脆弱性管理と Security-by-Design からパイプラインの完全性まで – GitGuardian”RaspAP Vulnerability: Root Access at Risk for Raspberry Pi Users
2024/07/29 SecurityOnline — Raspberry Pi デバイスを無線アクセス・ポイントにする人気のオープンソース・ツール RaspAP に、重大な脆弱性 CVE-2024-41637 が存在することが、セキュリティ研究者の Zonifer により発見された。この脆弱性の悪用に成功したローカルの攻撃者は、標準ユーザーから root ユーザーへの権限の昇格が可能になり、Raspberry Pi の完全な制御を奪う可能性を得る。
Continue reading “Raspberry Pi RaspAP の脆弱性 CVE-2024-41637 が FIX:PoC が提供”
IoT OT Security News 