NIST Publishes New Zero Trust Implementation Guidance
2025/06/12 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) が公開したのは、ZTA (Zero Trust Architecture) の実装に関する、新たな実践的なガイダンスである。2020年に NISTが 公開した以前の ZTA ガイダンスでは、このアプローチが概念レベルで説明されていたが、今回の新しいガイダンスは、ユーザー組織における実装上の課題を克服するようデザインされている。なお、一部の組織に対する規制要件の結果として、ZTA の採用が増加していると、NIST は指摘している。
Continue reading “NIST の Zero Trust ガイダンス実装編:市販テクノロジーで構築する 19種類の事例”Palo Alto Networks PAN-OS Vulnerability Let Attacker Run Arbitrary Commands as Root User
2025/06/12 CyberSecurityNews — Palo Alto Networks の PAN-OS に発見されたコマンド・インジェクションの脆弱性は、世界中の企業のファイアウォール・インフラに対して、重大なセキュリティ・リスクをもたらすものだ。この脆弱性 CVE-2025-4230 により、CLI にアクセスできる認証済みの管理者であれば、ルート・レベル権限で任意のコマンド実行が可能になるため、ネットワーク・セキュリティ全体が侵害される恐れが生じる。
Continue reading “Palo Alto Networks PAN-OS の脆弱性 CVE-2025-4230 が FIX:コマンド・インジェクションと root 実行”OpenPGP.js Vulnerability Let Attackers Spoof Message Signature Verification
2025/06/12 CyberSecurityNews — 広く使用されている OpenPGP.js ライブラリに、深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者は、悪意のコンテンツのデジタル署名を偽造することで、信頼できるソースによる正当な署名を装い、ユーザーを欺くことが可能になる。この脆弱性 CVE-2025-47934 は、暗号の信頼性を根本的に侵害するものであり、一般的な JavaScript 実装において OpenPGP 標準に依存する、多数の Web ベース・アプリケーションやメール・クライアントとの間の、安全な通信が損なわれる可能性が生じている。
Continue reading “OpenPGP.js の脆弱性 CVE-2025-47934 が FIX:デジタル署名の偽造と悪意のコンテンツ注入”Trend Micro fixes critical vulnerabilities in multiple products
2025/96/12 BleepingComputer — Trend Micro が公表したのは、Endpoint Encryption PolicyServer および Apex Central に影響を及ぼす、深刻度 Critical のリモート・コード実行および認証バイパスの脆弱性に対処する、セキュリティ・アップデートのリリースである。これらの脆弱性が、実際に悪用されたという証拠は確認されていないと、Trend Micro は強調しているが、セキュリティ・アップデートの速やかな適用と、リスクへの対処が推奨される。
Continue reading “Trend Micro の EE PolicyServer/Apex Central の深刻な脆弱性が FIX:RCE や認証バイパスの恐れ”GitLab patches high severity account takeover, missing auth issues
2025/06/12 BleepingComputer — GitLab が公表したのは、同社の DevSecOps プラットフォームに存在する複数の脆弱性に対処するための、セキュリティ更新プログラムのリリースである。これらの脆弱性を悪用する攻撃者は、アカウントを乗っ取った後に、悪意のジョブのパイプラインへの注入を可能にするという。すでに GitLab は、GitLab Community/Enterprise のバージョン 18.0.2/17.11.4/17.10.8 をリリースし、これらのセキュリティ欠陥に対処している。すべての管理者に対して強く推奨されるのは、早急なアップグレードの実施である。
Continue reading “GitLab Community/Enterprise の複数の脆弱性が FIX:アカウントを乗っ取りなどの恐れ”U.S. CISA adds Wazuh, and WebDAV flaws to its Known Exploited Vulnerabilities catalog
2025/06/12 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、以下の2件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。
OneLogin AD Connector Vulnerabilities Exposes Authentication Credentials
2025/06/12 CyberSecurityNews — OneLogin の Active Directory (AD) Connector サービスに、複数の深刻な脆弱性が発見された。これらの脆弱性が悪用されると、認証情報の漏洩や、攻撃者による正規ユーザーへの成りすましなどの可能性が生じる。これらの脆弱性が影響を及ぼす範囲は、広く利用されている OneLogin の IAM (Identity and Access Management) プラットフォームである。これらの脆弱性を悪用する攻撃者は、漏洩した認証情報を悪用して有効な JSON Web Token (JWT) を生成し、顧客システムへの不正アクセスの可能性を手にする。
Continue reading “OneLogin AD コネクターに脆弱性:認証情報の漏洩とフェデレーション侵害の恐れ”Windows SMB Client Zero-Day Vulnerability Exploited via Reflective Kerberos Relay Attack
2025/06/12 gbhackers — 新たに公開された “Reflective Kerberos Relay Attack” と呼ばれる脆弱性 CVE-2025-33073 により、Windows のセキュリティ状況が揺らいでいる。この脆弱性は、 RedTeam Pentesting により発見され、Microsoft が2025年6月10日の Patch Tuesday で修正プログラムを公開したものだ。この脆弱性により、SMB 署名を強制しないドメイン参加 Windows システムにおいて、低権限の Active Directory ユーザーが、NT AUTHORITY\SYSTEM へと権限を昇格できることが判明した。
Continue reading “Windows SMB Client のゼロデイ脆弱性 CVE-2025-33073 が FIX:Kerberos リレー攻撃とは?”Palo Alto Networks PAN-OS Vulnerability Enables Admin to Execute Root User Actions
2025/06/12 CyberSecurityNews — Palo Alto Networks PAN-OS に存在する、深刻なコマンド・インジェクション脆弱性により、権限を昇格した認証済みの管理ユーザーが、ルート・ユーザーとしてコマンドを実行する可能性が生じている。この脆弱性 CVE-2025-4231 の深刻度は Medium レベルであるが、同社のファイアウォール OS の複数バージョンに影響を及ぼす。管理インターフェイスが、信頼できないネットワークに公開されている場合には、重大なセキュリティ・リスクがもたらされるという。
Continue reading “Palo Alto PAN-OS の脆弱性 CVE-2025-4231 が FIX:ルート権限によるコマンド・インジェクションの恐れ”
IoT OT Security News 