Cyber Insights 2025: Open Source and Software Supply Chain Security
2025/01/15 SecurityWeek — RapidFort の CEO である Mehran Farimani は、「これまでの 10年間を経て、Open Source Software (OSS) は主要な脅威ベクターとなった。その理由は、500万を超える OSS パッケージが提供されているという、きわめて単純な数字にある」と説明する。Endor Labs の Chief Security Advisor である Chris Hughes は、「これまでの 10年間で、OSS の採用は飛躍的に増加しており、減速の兆候は見られない。現時点において OSS は、最新のコードベースの約 90% に存在し、それらのコードベースの 70~80% を占めている」と指摘する。
Continue reading “2025年のセキュリティを考える:OSS とソフトウェア・サプライチェーンに注目すべきだ”Microsoft Patches Outlook Zero-Click: CVE-2025-21298 Exploits RCE via Emails
2025/01/15 SecurityOnline — Microsoft は、最新のPatch Tuesday 2025 January で、Microsoft は Outlook の深刻な脆弱性 CVE-2025-21298 (CVSS:9.8) に対処した。この欠陥を悪用する攻撃者は、特別に細工した電子メールを介して、Windows デバイス上でリモート・コード実行 (RCE) を達成できる。この Microsoft Outlook の脆弱性は、電子メールのセキュリティに重大な影響を及ぼすものである。
Continue reading “Outlook の Zero-Click 脆弱性 CVE-2025-21298 に注意:2025/01 の月例で対応済み”Critical Vulnerability in Rasa Framework Enables Remote Code Execution (CVE-2024-49375)
2025/01/15 SecurityOnline — 人気のオープンソース・フレームワークである Rasa に、深刻な脆弱性 CVE-2024-49375 (CVSS:9.1) が発見された。この脆弱性を悪用する攻撃者は、悪意を持って細工したデルをリモートから読み込むことで、リモート・コード実行 (RCE:Remote Code Execution) の可能性を手にする。Rasa は、テキスト/音声ベースの会話型 AI アプリケーション開発に使用されており、そのダウンロード数は 2500万件以上を記録し、機械学習の導入における重要な基盤となっている。
Continue reading “Rasa フレームワークの脆弱性 CVE-2024-49375 が FIX:RCE の可能性”2025/01/15 SecurityOnline — 機械学習のデモや Web アプリ開発で人気を博す、Python ライブラリ Gradio において、深刻な脆弱性 CVE-2025-23042 (CVSS:9.1) に対するパッチが適用された。この脆弱性が悪用されると、Access Control List (ACL) のバイパスが生じ、機密ファイルが暴露する恐れがある。
Continue reading “Gradio の脆弱性 CVE-2025-23042 が FIX:機密ファイルの漏洩に至る可能性”CVE-2024-9042: Code Execution Vulnerability Found in Kubernetes Windows Nodes
2025/01/15 SecurityOnline — Kubernetes の Windows Worker Nodes に影響をおよぼす、新たな脆弱性 CVE-2024-9042 (CVSS:5.9) が発見された。この脆弱性の悪用に成功した攻撃者は、ノードの “/logs” エンドポイントの悪用を達成し、ホストマシン上での任意のコマンド実行の可能性を手にする。
Continue reading “Kubernetes の Windows Nodes の脆弱性 CVE-2024-9042:任意のコード実行の可能性”CVE-2024-7344: Howyar Reloader Vulnerability Exposes UEFI Systems to Unsigned Software Threats
2025/01/15 SecurityOnline — SysReturn バージョン 10.2.02320240919 未満に取り込まれる Howyar Reloader UEFI ブートローダーに、重大な脆弱性 CVE-2024-7344 が存在することが、CERT/CC の発表により明らかになった。この脆弱性を悪用する攻撃者は、UEFI Secure Boot を回避し、署名のないソフトウェアをブート・プロセス中に実行する可能性を手にする。その結果として、検出を回避する持続的な脅威が成立し得るという。
Continue reading “Howyar Reloader の脆弱性 CVE-2024-7344:UEFI Secure Boot 回避の可能性”CVE-2025-20055 (CVSS 9.8): Critical Vulnerability Threatens STEALTHONE Storage
2025/01/15 SecurityOnline — 2025年1月15日に JPCERT/CC が公開したセキュリティ・アドバイザリは、STEALTHONE D220/D340/D440 ネットワーク・ストレージ・サーバに影響を及ぼす、複数の脆弱性に関するものである。ユーザーに推奨されるのは、ファームウェアを速やかに更新することである。それらの脆弱性 CVE-2025-20016/CVE-2025-20055/CVE-2025-20620 の悪用に成功した攻撃者は、任意のコマンド実行/不正アクセス/管理パスワードの窃取などの可能性を手にする。
Continue reading “STEALTHONE の脆弱性 CVE-2025-20016/20055/20620 が FIX:直ちにアップデートを!”Salt Typhoon breach was first detected on federal networks, CISA head says
2025/01/15 NextGov — 中国政府が支援するスパイ集団による、米国のテレコムなどへの広範囲にわたる侵入だが、最初に検知されたのは政府のシステム内である、1月14日 (水) に政府高官が述べている。Foundation for Defense of Democracies での討論会で、CISA 長官である Jen Easterly は、「Salt Typhoon と呼ばれるハッキング集団は、連邦政府のネットワークで最初に確認され、その後に法執行機関が仮想プライベート・サーバで正体を解明したことで、追跡のための手続きの請求が可能になった」と述べている。
Continue reading “Salt Typhoon 侵害:最初に発見されたのは政府のネットワーク内だった – CISA”CVE-2024-12365: Popular WordPress Caching Plugin Exposes Millions of Sites to Attack
2025/01/15 SecurityOnline — 人気の W3 Total Cache プラグインで発見された深刻度の高い脆弱性により、100 万を超える WordPress Web サイトが危険にさらされている。W3 Total Cache は、Web サイトのパフォーマンスを向上させ、検索エンジンを最適化するためのプラグインである。このプラグインに存在する、脆弱性 CVE-2024-12365 (CVSS:8.5)を悪用する攻撃者は、機密データへの不正にアクセスを達成し、内部システムへ向けた攻撃を仕掛ける可能性を手にする。
Continue reading “WordPress W3 Total Cache の脆弱性 CVE-2024-12365 が FIX:ただちにパッチを!”Unveiling Zero-Day Behavior in PDF Samples: The Risk of NTLM Information Leaks
2025/01/15 SecurityOnline — EXPMON の最近の調査で検出されたのは、ローカル (ネット) NTLM 情報の漏洩につながる可能性がある、特定の PDF サンプルの “ゼロデイ振舞” である。それは、ゼロデイ攻撃とは異なるものであるが、観測された振舞が浮き彫りにするのは、Adobe Reader や Foxit Reader などの一般的な PDF アプリに生じる、重大なリスクである。
Continue reading “Adobe/Foxit PDF Reader の “ゼロデイ振舞”:NTLM 情報漏洩に至る恐れ”Veeam Releases Patch for High-Risk SSRF Vulnerability CVE-2025-23082 in Azure Backup Solution
2025/01/15 SecurityOnline — Veeam がリリースしたセキュリティ・アップデートは、Veeam Backup for Microsoft Azure 製品に存在する脆弱性 CVE-2025-23082 (CVSS:7.2) に対処するものだ。この SSRF (Server-Side Request Forgery) の脆弱性は、高深刻度カテゴリに分類されている。この脆弱性の悪用に成功した攻撃者は、影響を受けたシステムから不正なリクエストを送信することが可能になり、ネットワークの列挙などの悪意のアクティビティを実行できるという。
Continue reading “Veeam Backup for Microsoft Azure の SSRF 脆弱性 CVE-2025-23082 が FIX:直ちにパッチ適用を!”U.S. CISA adds Fortinet FortiOS to its Known Exploited Vulnerabilities catalog
2025/01/15 SecurityAffairs — 2025年1月14日 に米国の CISA は、Fortinet FortiOS に存在する認証バイパスの脆弱性 CVE-2024-55591 (CVSS:9.6) を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性の悪用に成功したリモートの攻撃者は、認証をバイパスし、細工した Node.js WebSocket リクエストを介して、管理者権限を取得する可能性を手にする。すでに Fortinet は、この脆弱性が実環境において悪用されていることを認めている。
Continue reading “CISA KEV 警告 25/01/14:Fortinet FortiOS の脆弱性 CVE-2024-55591 を登録”Microsoft fixes actively exploited Windows Hyper-V zero-day flaws
2025/01/15 HelpNetSecurity — Microsoft は、January 2025 Patch Tuesday において、様々な製品に影響をおよぼす 157件の脆弱性に対処した。そのうちの3件 (Hyper-V) の脆弱性は、積極的な悪用が確認されている。悪用が確認された3つのゼロデイ脆弱性は、CVE-2025-21333 (バッファ・オーバーフローの脆弱性) および、 CVE-2025-21334/CVE-2025-21335 (解放後メモリ使用の欠陥) である。
Continue reading “Windows Hyper-V のゼロデイ脆弱性 CVE-2025-21333 などが FIX:実環境での悪用を確認”CVE-2023-37936 (CVSS 9.6): Urgent Patch Needed for FortiSwitch Vulnerability
2025/01/15 SecurityOnline — Fortinet がリリースしたパッチは、FortiSwitch に影響を及ぼす深刻な脆弱性 CVE-2023-37936 (CVSS:9.6) に対処するものだ。この脆弱性を悪用する未認証の攻撃者は、脆弱なデバイス上でリモート・コード実行を行う可能性を手に入れ、ネットワーク全体が危険にさらす可能性を手にする。
Continue reading “Fortinet FortiSwitch の RCE 脆弱性 CVE-2023-37936 (CVSS 9.6) が FIX:直ちにパッチ適用を!”Google Ads Users Targeted in Malvertising Scam Stealing Credentials and 2FA Codes
2025/01/15 TheHackerNews — Google Ads で広告を出稿する企業や個人を装い、不正な広告を通じて認証情報を盗み取ろうとする、新たなマルバタイジング・キャンペーンについて、サイバー・セキュリティ研究者たちが警告している。Malwarebytes の senior director of threat intelligence である Jerome Segura は、「この悪意のオペレーションは、Google 広告を装うことで被害者のアカウントを盗み出し、偽のログイン・ページへとリダイレクトするものだ」と、The Hacker News に共有されたレポートで述べている。
Continue reading “Google Ads を舞台にしたマルバタイジング:ユーザーの認証情報や 2FA コードを盗み出していく”
IoT OT Security News 