China-Linked Silk Typhoon Expands Cyber Attacks to IT Supply Chains for Initial Access
2025/03/05 TheHackerNews — Microsoft Exchange サーバのセキュリティ欠陥を、2021年1月のゼロデイ攻撃で悪用していた中国由来の脅威アクターだが、企業ネットワークへのイニシャル・アクセスの手段を、IT サプライチェーンを標的とする戦術へと転換しているようだ。この情報は、Microsoft Threat Intelligence チームの新たな調査結果によるものであり、いまの Silk Typhoon (旧 Hafnium) ハッキング・グループは、攻撃の足がかりを得るためにリモート管理ツールやクラウド・アプリなどの、IT ソリューションを標的にしているという。
Continue reading “中国由来の Silk Typhoon の戦術:脆弱性悪用とパスワード・スプレーの採用”CVE-2025-25012 (CVSS 9.9): Critical Code Execution Vulnerability Patched in Elastic Kibana
2025/03/05 SecurityOnline — Elastic におけるデータの探索と視覚化のプラットフォーム Kibana の、深刻な脆弱性に対処するセキュリティ・アップデートがリリースされた。この脆弱性 CVE-2025-25012 (CVSS:9.9) の悪用に成功した攻撃者は、脆弱なシステム上で任意のコード実行の可能性を手にする。
Continue reading “Elastic Kibana の脆弱性 CVE-2025-25012 (CVSS 9.9) が FIX:任意のコード実行の可能性”CVE-2025-26776 (CVSS 10) in Chaty Pro Plugin Exposes Thousands of WordPress Sites to Takeover
2025/03/05 SecurityOnline — WordPress プラグイン Chaty Pro で発見された、深刻な脆弱性を悪用する攻撃者は、Web サイトの完全な乗っ取りの機会を手にする。このプラグインは、Web サイトへの訪問者が、WhatsApp や Facebook Messenger などの各種プラットフォーム経由で接続するための、チャット・ボタンを提供するものだ。その Chaty Pro に深刻なセキュリティ上の欠陥が確認され、推定で 18,000 件のアクティブ・インストールへの影響が懸念されている。
Continue reading “WordPress Chaty Pro の脆弱性 CVE-2025-26776 (CVSS:10) が FIX:数千のサイトに乗っ取りの可能性”Cisco Webex for BroadWorks Flaw Opens Door for Attackers to Access Credentials
2025/03/05 gbhackers — Cisco Systems が明らかにしたのは、Webex for BroadWorks 統合コミュニケーション・プラットフォームにセキュリティ上の脆弱性が存在することだ。この脆弱性を悪用する攻撃者は、特定のコンフィグ下において、認証情報や機密のユーザー・データなどを傍受する可能性を得る。
Continue reading “Cisco Webex for BroadWorks:暗号化が欠落した SIP コンフィグという深刻な問題”CVE-2025-27507 (CVSS 9.0): ZITADEL Users at Risk of Account Takeover
2025/03/05 SecurityOnline — OSS の ID/Access 管理ソリューションである ZITADEL プロジェクトが発行したのは、同プロジェクトの管理 API に存在する、複数の深刻な Insecure Direct Object Reference (IDOR) の脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-27507 (CVSS:9.0) の悪用に成功した認証済みのユーザーは、機密性の高い設定を変更することで、ユーザー・アカウントへの不正アクセスの可能性を手にする。
Continue reading “ZITADEL の脆弱性 CVE-2025-27507 (CVSS 9.0) が FIX:LDAP ログイン試行のリダイレクト”CVE-2025-1080: LibreOffice Patches Security Flaw Allowing Arbitrary Script Execution
2025/03/05 SecurityOnline — The Document Foundation が発表したのは、任意のスクリプトを実行する攻撃者に対して、LibreOffice の悪用を許す脆弱性に対処する、セキュリティ・アップデートのリリースである。この脆弱性 CVE-2025-1080 (CVSS:7.2) が影響を及ぼす範囲は、LibreOffice のバージョン 24.8.5/25.2.1 未満となる。
Continue reading “LibreOffice の脆弱性 CVE-2025-1080 が FIX:悪意のマクロ実行の可能性”Open-source tool ‘Rayhunter’ helps users detect Stingray attacks
2025/03/05 BleepingComputer — Electronic Frontier Foundation (EFF) は、IMSI Catchers/Stingrays とも呼ばれる CSS (cell-site simulators) の検出のために設計された、Rayhunter という無料の OSS Tool をリリースした。Stingray デバイスは、正規のセル・タワーを模倣することで、モバイル・デバイスを騙して接続させ、機密データの窃取/正確な位置情報の不正取得/通信の傍受などを達成するものだ。
Continue reading “Rayhunter は OSS Sec Tool:IMSI Catchers/Stingrays と呼ばれる CSS を検出”2025/03/05 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに、以下の脆弱性を登録した。
Fix Inventory: Open-source cloud asset inventory tool
2025/03/05 HelpNetSecurity — Fix Inventory は、クラウド・インフラ・アカウントの、コンプライアンスとセキュリティ・リスクを検出するための OSS だ。クラウド・ネイティブ環境向けにゼロから構築されており、AWS/Google Cloud/Azure/DigitalOcean/Hetzner/Kubernetes/GitHub などの、300 を超えるクラウド・サービスを幅広くサポートしている。
Continue reading “Fix Inventory は OSS のクラウド・アセット・インベントリ:断片化されたクラウド環境を統合する”CVE-2025-1723: Zoho Patches Account Takeover Vulnerability in ADSelfService Plus
2025/03/04 SecurityOnline — Zoho Corporation が発表したのは、ADSelfService Plus ID セキュリティ・ソリューションに存在し、アカウント乗っ取りの可能性のある、脆弱性に対処するセキュリティ・アドバイザリのリリースである。この脆弱性 CVE-2025-1723 の悪用に成功した攻撃者は、ADSelfService Plus ログインで MFA が有効化されていない場合に、ユーザー登録データへの不正アクセスの可能性を手にする。
Continue reading “Zoho ADSelfService Plus の脆弱性 CVE-2025-1723 が FIX:アカウント乗っ取りの恐れ”
IoT OT Security News 