February 13, 2025 – IoT OT Security News

Palo Alto Firewall の脆弱性 CVE-2025-0108 が FIX：PoC のリリースと積極的な悪用の試行

Palo Alto Firewall Flaw (CVE-2025-0108): Active Exploits in the Wild, PoC Released

2025/02/13 SecurityOnline — Palo Alto Networks が公表したのは、同社の Next-Generation Firewalls の管理 Web インターフェースに存在する、深刻度の高い認証バイパス脆弱性 CVE-2025-0108 への対処である。Palo Alto は、悪用の試行は確認されていないと述べているが、脅威インテリジェンス企業 GreyNoise は、実際の悪用を検出しており、PAN-OS を使用する組織に、大きな懸念が生じている。

Fortinet FortiOS の深刻な脆弱性 CVE-2024-40591 が FIX：Super-Admin の不正取得にいたる可能性

FortiOS Vulnerability Allows Super-Admin Privilege Escalation – Patch Now!

2025/02/13 HackRead — Fortinet が公表したのは、各種のセキュリティ製品とテクノロジーを接続／統合する、同社の統合プラットフォーム FortiOS Security Fabric に存在する、深刻度の高い脆弱性に対処するセキュリティ・アップデートのリリースである。この脆弱性 CVE-2024-40591 (CVSSv3：8.0) を悪用する、Security Fabric 権限を持つ認証済みの管理者は、その権限を Super-Admin レベルへと昇格させる可能性を手にする。

WinZip の脆弱性 CVE-2025-1240 が FIX：7Z ファイルの解析中のエラーと RCE

CVE-2025-1240: WinZip Vulnerability Opens Door to Remote Code Execution

2025/02/13 SecurityOnline — WinZip に発見された懸念すべき脆弱性を悪用するリモートの攻撃者が、影響を受けるシステムで任意のコードを実行できる可能性があるという。この脆弱性 CVE-2025-1240 は、WinZip が 7Z ファイルを解析する方法に存在し、悪意のファイルや Web ページを、ユーザーが操作することで攻撃がトリガーされる。

PostgreSQL ゼロデイ脆弱性 CVE-2025-1094：BeyondTrust を介した米財務省侵害の原因か？

Rapid7 Flags New PostgreSQL Zero-Day Connected to BeyondTrust Exploitation

2025/02/13 SecurityWeek — 2月13日 (木) に Rapid7 のセキュリティ研究者たちにより、PostgreSQL に新たなゼロデイ脆弱性が発見されたが、BeyondTrust リモート・サポート製品に対する一連の攻撃において、この欠陥は重要な構成要素だったようだ。

Lexmark Print Management の脆弱性 CVE-2025-1126 が FIX：システムへの不正アクセスの恐れ

CVE-2025-1126: Critical Lexmark Print Management Client Bug Puts Systems at Risk

2025/02/13 SecurityOnline — Lexmark が発行したのは、Lexmark Print Management Client (LPMC) に存在する、深刻な脆弱性に対処するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-1126 (CVSSv3：9.3) の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコードを実行し、機密ファイルを削除できるという。

Apache Fineract の脆弱性 CVE-2024-32838 (CVSS 9.4) が FIX：深刻な SQLi の恐れ

CVE-2024-32838 (CVSS 9.4): Critical SQL Injection Flaw Threatens Apache Fineract Users

2025/02/13 SecurityOnline — デジタル金融サービスのコア・バンキング・システムの構築に使用される、人気の OSS プラットフォーム Apache Fineract に、深刻なセキュリティ脆弱性が発見された。その脆弱性 CVE-2024-32838 は、金融機関とユーザーに深刻なリスクをもたらすが、Fineract サービスの重要なユーザーである、銀行口座を持たない人々や、銀行口座を十分に利用できない人々に対して、顕著な影響が生じることになる。

DeepSeek をベースに考える：サイバー・セキュリティの大きな盲点

DeepSeek Exposes Major Cybersecurity Blind Spot

2025/02/13 SecurityWeek — 今月の流行語は DeepSeek である。この中国の AI 企業は、OpenAI ChatGPT や Google Gemini などの競合他社の数分の１のコストで R1 チャットボットを開発したと報じられており、米国のハイテク株式市場に波紋を広げ、AI インフラのコストと競争力に関する議論を引き起こした。しかし、より憂慮すべき問題も浮上している。米政府職員を含む何百万人もの無知なユーザーが、DeepSeek の Web サイトに殺到し、セキュリティやプライバシーのリスクを考慮せずに、個人情報を登録して共有したのだ。

Amazon EC2 インスタンスでの不正なコード実行：名前混乱による whoAMI 攻撃に御用心

whoAMI attacks give hackers code execution on Amazon EC2 instances

2025/02/13 BleepingComputer — 特定の名前を用いて、Amazon Machine Image (AMI) を公開する誰もが、Amazon Web Services アカウントにアクセスできてしまうという名前混乱の攻撃方法を、セキュリティ研究者たちが発見した。この “whoAMI” と呼ばれる攻撃の手法は、2024年8月に DataDog の研究者たちにより考案／作成されたものであり、ソフトウェア・プロジェクトによる AMI ID 取得の方式を悪用する攻撃者が、AWS アカウント内でコード実行を可能することを実証している。

AMD Ryzen Master Utility の脆弱性 CVE-2024-21966 が FIX：DLL ハイジャックの恐れ

AMD Ryzen Master Utility Vulnerable to DLL Hijacking (CVE-2024-21966)

2025/02/13 SecurityOnline — AMD Ryzen Master Utility で新たに発見された、脆弱性 CVE-2024-21966 (CVSS：7.3) の悪用に成功した攻撃者は、影響を受けるシステムで権限を昇格を達成し、任意のコード実行の可能性を手にする。この脆弱性は、Ryzen Master Utility において、DLL の動的ロードを防止できないことに起因している。

Apache Atlas の XSS 脆弱性 CVE-2024-46910 が FIX：データ・ガバナンス弱体化の恐れ

XSS Flaw in Apache Atlas (CVE-2024-46910) Puts Data Governance at Risk

2025/02/13 SecurityOnline — Hadoop などのエンタープライズ・データ・エコシステムで広く使用される、OSS のガバナンス／メタデータ管理ツール Apache Atlas に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2024-46910 を悪用する攻撃者は、クロス・サイト・スクリプティング (XSS) 攻撃を仕掛け、他のユーザーになりすます可能性があるため、データ・ガバナンスとセキュリティに重大なリスクをもたらすという。

AI と Security の組み合わせ：この新しいパズルを解いていこう

AI and Security – A New Puzzle to Figure Out

2025/02/13 TheHackerNews — いまや、あらゆるところに存在するのが AI であり、企業の運営方法を変革し、それぞれのユーザーがアプリ／デバイス／サービスと関わる方法を置き換えている。チャット・インターフェイスのサポートや、インテリジェントなデータ分析、ユーザーの好みとのマッチングといった領域で、数多くのアプリケーションに、何らかの AI が組み込まれている。ユーザーにとってのメリットを、AI がもたらすことに間違いはないだろうが、新たなセキュリティ上の課題、特に ID 関連のセキュリティ上の課題が浮かび上がってきている。それらの課題とは何なのだろうか？そのために、Okta で何ができるかを考えていこう。