March 10, 2025 – IoT OT Security News

Apache Tomcat の脆弱性 CVE-2025-24813 が FIX：RCE／情報漏洩／データ破損などの恐れ

CVE-2025-24813 Flaw in Apache Tomcat Exposes Servers to RCE, Data Leaks: Update Immediately

2025/03/10 SecurityOnline — Apache Tomcat に、深刻な脆弱性 CVE-2025-24813 が発見された。この脆弱性の悪用に成功した攻撃者は、リモート・コード実行／機密情報の漏洩／データの破損などを引き起こす機会を手にする。Apache Software Foundation は、緊急のセキュリティ・アドバイザリを発行し、影響を受けるバージョンのユーザーに対して速やかな更新を促している。

Veritas InfoScale の脆弱性 CVE-2025-27816 (CVSS 9.8)：パッチが提供されるまでの緩和策は？

CVE-2025-27816 (CVSS 9.8): Critical Vulnerability in Veritas InfoScale Could Allow RCE

2025/03/10 SecurityOnline — Veritas が発行したのは、Arctera InfoScale に存在する、脆弱性 CVE-2025-27816 (CVSS：9.8) に関する重要なセキュリティ・アドバイザリである。この欠陥を悪用する攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を手にする。この脆弱性は、.NET リモート・エンドポイントにおける、信頼できないデータへの安全が確保されないデシリアライゼーションに起因する。

Apache Pinot の脆弱性 CVE-2024-56325 (CVSS 9.8) が FIX：深刻な認証バイパスの恐れ

CVE-2024-56325 (CVSS 9.8): Authentication Bypass Vulnerability Discovered in Apache Pinot

2025/03/10 SecurityOnline — LinkedIn と Uber により開発が始まった、高性能リアルタイム OLAP データストア Apache Pinot は、低レイテンシ分析に依存する組織にとって重要なツールとなっている。その Pinot で、新たに発見された認証バイパス脆弱性 CVE-2024-56325 (CVSS：9.8) により、認証を必要としないリモート攻撃者が、影響を受けるシステムに不正アクセスするという、深刻なセキュリティ上の懸念が生じている。

Cobalt Strike の無許可コピーが 80% も減少：Fortra の２年間にわたる努力が報われてきた

Cobalt Strike Abuse Dropped 80% in Two Years

2025/03/10 SecurityWeek — Cobalt Strike の開発元である Fortra によると、この敵対者シミュレーション・ツールの悪用が、直近の２年間で大幅に減少しているという。Cobalt Strike は、敵対者シミュレーション用に設計された正規のポスト・エクスプロイト・ツールだが、悪意の活動に活用できるクラック版のコピー (通常は旧バージョン) を作成する方法を、脅威アクターたちは見つけ出した。このツールは、利益を追求するサイバー犯罪者と、国家に支援される APT グループにより悪用されている。

Axios JavaScript Library の深刻な脆弱性 CVE-2025-27152 が FIX：SSRF と PoC エクスプロイト

2025/03/10 SecurityOnline — 広く使用されている JavaScript ライブラリ Axios に、新たな脆弱性が発見された。この脆弱性 CVE-2025-27152 (CVSSv4：7.7) の悪用により、サーバサイド・リクエスト・フォージェリ (SSRF) や認証情報漏洩のリスクに、何百万ものユーザーがさらされるという。

Chrome の５件の脆弱性が FIX：メモリ破損や任意のコード実行にいたる恐れ

Chrome Update: 5 Security Fixes, High-Risk Flaws Addressed ASAP

2025/03/10 SecurityOnline — Chrome Stable チャンネル向けに重要なセキュリティ・アップデートがリリースされ、５つの脆弱性が深刻な修正されたが、その中の３つは、攻撃者が任意のコード実行を許す可能性を持つものだ。Windows／Mac／Linux の Chrome ユーザーに強く推奨されるのは、このブラウザの速やかな更新である。

Fleet の脆弱性 CVE-2025-27509 (CVSS 9.3) が FIX：SAML レスポンスに関する不適切な検証

CVE-2025-27509 (CVSS 9.3): Fleet Patches Critical SAML Authentication Vulnerability

2025/03/10 SecurityOnline — IT／Security の運用で広く使用される、OSS プラットフォームの Fleet が公表したのは、SAML 認証に深刻な影響を及ぼす脆弱性 CVE-2025-27509 (CVSSv4：9.3) に対処するための、重要なセキュリティ・アップデートのリリースである。この欠陥の悪用に成功した攻撃者は、認証アサーションの偽造を達成し、システム管理上の侵害を引き起こす可能性を得る。

Laravel の深刻な XSS の脆弱性 CVE-2024-13918 が FIX：PoC も公開

Laravel Framework Flaw Allows Attackers to Execute Malicious JavaScript

2025/03/10 gbhackers — Laravel フレームワークで発見された深刻な脆弱性 CVE-2024-13918 は、バージョン 11.9.0 〜11.35.1 に影響を及ぼすものだ。アプリケーションがデバッグ・モードで実行されているときに、エラー・ページでリクエスト・パラメータが適切にエンコードされないことに起因する問題であり、反射型クロスサイト・スクリプティング (XSS) を引き起こす可能性があるという。Github のレポートによると、この脆弱性 CVE-2024-13918 の CVSS スコアは 8.0 であり、高深刻度だと評価されている。

悪意の OSS パッケージを分析：1,000件以上に共通する特徴／戦術／手口とは？ – Fortinet

Over 1000 Malicious Packages Found Exploiting Open-Source Platforms

2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。

Microsoft WinDbg の脆弱性 CVE-2025-24043 が FIX：暗号署名の不適切な検証と RCE の可能性

WinDbg Vulnerability Allows Attackers to Execute Remote Code

2025/03/10 gbhackers — 先日に Microsoft が公開したのは、デバッグ・ツール WinDbg および、それに関連する .NET パッケージに影響を及ぼす、深刻な脆弱性に関する情報である。その脆弱性 CVE-2025-24043 は、SOS デバッグ・エクステンションにおける暗号署名の不適切な検証に起因し、リモート・コード実行 (RCE) の可能性を引き起こすものだ。

Chrome エクステンションに新たな脅威：ポリモーフィック手法で機密情報を盗み出す

New Polymorphic Chrome extensions fake others to steal your data

2025/03/10 ghacks — Chrome の最初のバージョンがリリースされてから、17 年ほどが経つが、その間に私たちが目にしてきたものに、悪意のエクステンションがある。そのラインナップには、偽の VPN エクステンションから、洗練されたセッション・リプレイ・マルウェア・エクステンションにいたるまで、あらゆるものが揃っている。そして、この記事で説明するのは、ポリモーフィック・エクステンションと呼ばれる、新しい悪意の拡張機能のことだが、それが、いま、ユーザーを攻撃するために使用されている。