12,000+ API Keys and Passwords Found in Public Datasets Used for LLM Training
2025/02/28 TheHackerNews — LLM のトレーニングに使用されるデータセットに、認証を成功させるライブ・シークレットが約 12,000 個も取り込まれていることが判明した。
Continue reading “LLM トレーニングに用いられるデータセットの問題:約 12,000 個の API キーの発見”Day: February 28, 2025
Nakivo Backup & Replication の脆弱性 CVE-2024-48248 が FIX:悪用が容易な任意のファイル読み取り
Nakivo Fixes Critical Flaw in Backup & Replication Tool
2025/02/28 DarkReading — データ保護/バックアップを提供する Nakivo は、2024年9月の時点でセキュリティ・ベンダーからセキュリティ問題について通知を受けた後に、自社製品に潜む深刻な脆弱性を秘密裏に修正したようだ。
Continue reading “Nakivo Backup & Replication の脆弱性 CVE-2024-48248 が FIX:悪用が容易な任意のファイル読み取り”Krpano 360° の脆弱性 CVE-2020-24901 を悪用:検索結果を操作する大規模な XSS キャンペーン
Over 350 High-Profile Websites Hit by 360XSS Attack
2025/02/28 HackRead — 360XSS と呼ばれるキャンペーンは、Krpano の XSS の脆弱性を悪用することで検索結果を乗っ取り、政府/大学/報道などの 350 以上の Web サイトでスパム広告を配信するものだ。
Continue reading “Krpano 360° の脆弱性 CVE-2020-24901 を悪用:検索結果を操作する大規模な XSS キャンペーン”LLMjacking という新しいサイバー犯罪:Azure AI Abuse スキームを操る脅威アクターを追跡
Microsoft Exposes LLMjacking Cybercriminals Behind Azure AI Abuse Scheme
2025/02/28 TheHackerNews — Microsoft は 2025年2月27日 (木) に、GenAI サービスへの不正アクセスにより不快かつ有害なコンテンツを作成する、Azure Abuse Enterprise スキームを背後で操る4人の人物の正体を明かした。この LLMjacking と呼ばれるキャンペーンは、Microsoft Azure OpenAI サービスなどの各種 AI サービスを標的にするものである。Microsoft は、このサイバー犯罪ネットワークを Storm-2139 として追跡している。
Continue reading “LLMjacking という新しいサイバー犯罪:Azure AI Abuse スキームを操る脅威アクターを追跡”ModSecurity の脆弱性 CVE-2025-27110 が FIX:難読化された攻撃が可能に?
CVE-2025-27110: ModSecurity Vulnerability Leaves Web Applications Exposed
2025/02/28 SecurityOnline — 人気のオープンソース WAF (Web Application Firewall) である ModSecurity に、新たな脆弱性 CVE-2025-27110 (CVSSv4:7.9) が発見された。この脆弱性が影響を及ぼす範囲は、libmodsecurity3 バージョン 3.0.13 であり、無数の Web アプリケーションが、攻撃に対して脆弱になる可能性が生じる。具体的に言うと、HTML エンティティの先頭にゼロを埋め込んだ、悪意のあるペイロードをエンコードさせることで、攻撃者はセキュリティ・ルールを回避できるという。
Continue reading “ModSecurity の脆弱性 CVE-2025-27110 が FIX:難読化された攻撃が可能に?”RDP は諸刃の刃:利便性を損なうことなく安全に使用するには
RDP: a Double-Edged Sword for IT Teams – Essential Yet Exploitable
2025/02/28 TheHackerNews — Remote Desktop Protocol (RDP) は、Microsoft が開発した素晴らしいテクノロジーであり、ネットワーク経由で他のコンピューターにアクセスし、それを制御できる。オフィスに置かれたコンピューターを、どこへでも持ち歩けるようなものだ。企業側から見ると、IT スタッフによるシステムのリモート管理が達成され、自宅にいる従業員であっても、作業が可能になる。つまり、RDP は、いまの仕事の環境における、真のゲーム・チェンジャーである。
Continue reading “RDP は諸刃の刃:利便性を損なうことなく安全に使用するには”BeyondTrust の権限昇格の脆弱性 CVE-2025-0889 が FIX:COM オブジェクトに関連する不適切な処理
BeyondTrust Privilege Management for Windows Vulnerability Allows Local Privilege Escalation
2025/02/28 SecurityOnline — 特権アクセス管理ソリューションのプロバイダーである BeyondTrust が公表したのは、Privilege Management for Windows ソフトウェアに存在する、深刻な脆弱性に対処するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-0889 (CVSSv4:7.2) の悪用に成功したローカルの認証済の攻撃者は、侵害したシステム上で権限昇格の可能性を得る。
Continue reading “BeyondTrust の権限昇格の脆弱性 CVE-2025-0889 が FIX:COM オブジェクトに関連する不適切な処理”
IoT OT Security News 