Amazon Cloud Cam Flaw Allows Attackers to Intercept and Modify Network Traffic
2025/06/13 gbhackers — 2022年12月にサポート終了 (EOL) となったAmazon Cloud Camデバイスに、深刻なセキュリティ脆弱性 CVE-2025-6031 の存在が確認された。この脆弱性を悪用する攻撃者は、デバイスのペアリング時に SSL Pinning を回避し、中間者 (MitM) 攻撃やネットワーク・トラフィックの操作を可能にするという。
Continue reading “Amazon Cloud Cam の脆弱性 CVE-2025-6031:EOL ゆえのデバイス廃棄の推奨”Microsoft Defender Spoofing Vulnerability Allows Privilege Escalation and AD Access
2025/06/13 CyberSecurityNews — Microsoft Defender for Identity (MDI) に存在する重大なスプーフィング脆弱性により、未認証の攻撃者が権限を昇格し、Active Directory (AD) 環境への不正アクセスを可能にするという。この脆弱性は CVE-2025-26685 として追跡されており、MDI センサーの Lateral Movement Paths (LMPs) 機能を悪用する攻撃者は、認証情報を取得し、組織全体のネットワークに対する侵害を引き起こす可能性を手にする。
Continue reading “Microsoft Defender のスプーフィング脆弱性 CVE-2025-26685:AD への不正アクセスや権限昇格のリスク”HashiCorp Nomad ACL Lookup Flaw Allows Privilege Escalation
2025/06/13 gbhackers — ワークロード・オーケストレーション・ツールである HashiCorp Nomad に、深刻なセキュリティ脆弱性 CVE-2025-4922 が発見された。この脆弱性は、ACL ポリシーの不適切な適用に起因するものであり、クラスタを特権昇格のリスクにさらす可能性がある。この脆弱性の深刻度は CVSS 値 8.1 と評価されており、悪用に成功した攻撃者は、戦略的なジョブ命名により、ネームスペース制限を回避する機会を手にする。
Continue reading “HashiCorp Nomad の脆弱性 CVE-2025-4922 が FIX:特権昇格の可能性”PoC Exploit Unveiled for Windows Disk Cleanup Elevation Vulnerability
2025/06/13 gbhackers — Microsoft Windows Disk Cleanup Utility (cleanmgr.exe) に存在する特権昇格の脆弱性 CVE-2025-21420 (CVSS:7.8) が、2025年2月の Patch Tuesday で修正された。この脆弱性の悪用に成功した攻撃者は、DLL サイドローディングとディレクトリ・トラバーサルにより、SYSTEM 権限で悪意のコードを実行する可能性を手にする。
Continue reading “Windows Disk Cleanup の権限昇格の脆弱性 CVE-2025-21420:PoC が提供”SAML vs. OAuth 2.0: Mastering the Key Differences
2025/06/13 SecurityBoulevard — 月曜日の朝の、こんな状況を想像してほしい。コーヒーを飲み、デスクに座り、PC を開く。まずはメールにログイン。次にプロジェクト管理ツールを起動する。最初のタスクに取り掛かる前に、迷路のようなログイン画面をくぐり抜け、何度もパスワードを入力していく。こんな日常があるはずだ。
デジタル化が進む現代社会で、私たちは、数え切れないほど多くのアプリケーションにアクセスしている。膨大な認証情報の管理は面倒なだけではなく、セキュリティ・リスクにもつながる。そこで、Single Sign-On (SSO) のようなテクノロジーが役に立つ。SSO は、1回のログインを介することで、複数の承認済みアプリケーションへのアクセスが許可されるという、心地よい世界を実現してくれる。こうした、SSO とセキュア・アクセスの文脈でよく話題に上がるのは、2つの主要な技術 SAML と OAuth 2.0 である。
Continue reading “SAML vs. OAuth 2.0:認証と認可における2つのスタンダードを理解して比較する”NIST Publishes New Zero Trust Implementation Guidance
2025/06/12 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) が公開したのは、ZTA (Zero Trust Architecture) の実装に関する、新たな実践的なガイダンスである。2020年に NISTが 公開した以前の ZTA ガイダンスでは、このアプローチが概念レベルで説明されていたが、今回の新しいガイダンスは、ユーザー組織における実装上の課題を克服するようデザインされている。なお、一部の組織に対する規制要件の結果として、ZTA の採用が増加していると、NIST は指摘している。
Continue reading “NIST の Zero Trust ガイダンス実装編:市販テクノロジーで構築する 19種類の事例”Palo Alto Networks PAN-OS Vulnerability Let Attacker Run Arbitrary Commands as Root User
2025/06/12 CyberSecurityNews — Palo Alto Networks の PAN-OS に発見されたコマンド・インジェクションの脆弱性は、世界中の企業のファイアウォール・インフラに対して、重大なセキュリティ・リスクをもたらすものだ。この脆弱性 CVE-2025-4230 により、CLI にアクセスできる認証済みの管理者であれば、ルート・レベル権限で任意のコマンド実行が可能になるため、ネットワーク・セキュリティ全体が侵害される恐れが生じる。
Continue reading “Palo Alto Networks PAN-OS の脆弱性 CVE-2025-4230 が FIX:コマンド・インジェクションと root 実行”OpenPGP.js Vulnerability Let Attackers Spoof Message Signature Verification
2025/06/12 CyberSecurityNews — 広く使用されている OpenPGP.js ライブラリに、深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者は、悪意のコンテンツのデジタル署名を偽造することで、信頼できるソースによる正当な署名を装い、ユーザーを欺くことが可能になる。この脆弱性 CVE-2025-47934 は、暗号の信頼性を根本的に侵害するものであり、一般的な JavaScript 実装において OpenPGP 標準に依存する、多数の Web ベース・アプリケーションやメール・クライアントとの間の、安全な通信が損なわれる可能性が生じている。
Continue reading “OpenPGP.js の脆弱性 CVE-2025-47934 が FIX:デジタル署名の偽造と悪意のコンテンツ注入”Trend Micro fixes critical vulnerabilities in multiple products
2025/96/12 BleepingComputer — Trend Micro が公表したのは、Endpoint Encryption PolicyServer および Apex Central に影響を及ぼす、深刻度 Critical のリモート・コード実行および認証バイパスの脆弱性に対処する、セキュリティ・アップデートのリリースである。これらの脆弱性が、実際に悪用されたという証拠は確認されていないと、Trend Micro は強調しているが、セキュリティ・アップデートの速やかな適用と、リスクへの対処が推奨される。
Continue reading “Trend Micro の EE PolicyServer/Apex Central の深刻な脆弱性が FIX:RCE や認証バイパスの恐れ”GitLab patches high severity account takeover, missing auth issues
2025/06/12 BleepingComputer — GitLab が公表したのは、同社の DevSecOps プラットフォームに存在する複数の脆弱性に対処するための、セキュリティ更新プログラムのリリースである。これらの脆弱性を悪用する攻撃者は、アカウントを乗っ取った後に、悪意のジョブのパイプラインへの注入を可能にするという。すでに GitLab は、GitLab Community/Enterprise のバージョン 18.0.2/17.11.4/17.10.8 をリリースし、これらのセキュリティ欠陥に対処している。すべての管理者に対して強く推奨されるのは、早急なアップグレードの実施である。
Continue reading “GitLab Community/Enterprise の複数の脆弱性が FIX:アカウントを乗っ取りなどの恐れ”U.S. CISA adds Wazuh, and WebDAV flaws to its Known Exploited Vulnerabilities catalog
2025/06/12 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、以下の2件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。
OneLogin AD Connector Vulnerabilities Exposes Authentication Credentials
2025/06/12 CyberSecurityNews — OneLogin の Active Directory (AD) Connector サービスに、複数の深刻な脆弱性が発見された。これらの脆弱性が悪用されると、認証情報の漏洩や、攻撃者による正規ユーザーへの成りすましなどの可能性が生じる。これらの脆弱性が影響を及ぼす範囲は、広く利用されている OneLogin の IAM (Identity and Access Management) プラットフォームである。これらの脆弱性を悪用する攻撃者は、漏洩した認証情報を悪用して有効な JSON Web Token (JWT) を生成し、顧客システムへの不正アクセスの可能性を手にする。
Continue reading “OneLogin AD コネクターに脆弱性:認証情報の漏洩とフェデレーション侵害の恐れ”Windows SMB Client Zero-Day Vulnerability Exploited via Reflective Kerberos Relay Attack
2025/06/12 gbhackers — 新たに公開された “Reflective Kerberos Relay Attack” と呼ばれる脆弱性 CVE-2025-33073 により、Windows のセキュリティ状況が揺らいでいる。この脆弱性は、 RedTeam Pentesting により発見され、Microsoft が2025年6月10日の Patch Tuesday で修正プログラムを公開したものだ。この脆弱性により、SMB 署名を強制しないドメイン参加 Windows システムにおいて、低権限の Active Directory ユーザーが、NT AUTHORITY\SYSTEM へと権限を昇格できることが判明した。
Continue reading “Windows SMB Client のゼロデイ脆弱性 CVE-2025-33073 が FIX:Kerberos リレー攻撃とは?”Palo Alto Networks PAN-OS Vulnerability Enables Admin to Execute Root User Actions
2025/06/12 CyberSecurityNews — Palo Alto Networks PAN-OS に存在する、深刻なコマンド・インジェクション脆弱性により、権限を昇格した認証済みの管理ユーザーが、ルート・ユーザーとしてコマンドを実行する可能性が生じている。この脆弱性 CVE-2025-4231 の深刻度は Medium レベルであるが、同社のファイアウォール OS の複数バージョンに影響を及ぼす。管理インターフェイスが、信頼できないネットワークに公開されている場合には、重大なセキュリティ・リスクがもたらされるという。
Continue reading “Palo Alto PAN-OS の脆弱性 CVE-2025-4231 が FIX:ルート権限によるコマンド・インジェクションの恐れ”Chrome, Firefox Updates Resolve High-Severity Memory Bugs
2025/06/11 SecurityWeek — 6月10日 (火) にリリースされた Chrome 137 と Firefox 139 のアップデートでは、それぞれ2件ずつ、合計で4件の、深刻度の高いメモリ・バグが修正されている。Chrome のアップデートでは、Media における解放後メモリ使用の脆弱性 CVE-2025-5958 と、V8 JavaScript エンジンのタイプ・コンヒュージョンの脆弱性 CVE-2025-5959 が修正されている。どちらも、外部の研究者により報告されたものである。
Continue reading “Chrome/Firefox の深刻な脆弱性4件が FIX:情報漏洩/リモート・コード実行などの恐れ”Brute-force attacks target Apache Tomcat management panels
2025/06/11 BleepingComputer — オンラインで公開されている Apache Tomcat Managerインターフェイスを標的として、数百の固有 IP アドレスを用いる組織的なブルートフォース攻撃キャンペーンが検出された。Tomcat は人気のオープンソース Web サーバであり、エンタープライズや SaaS プロバイダーで広く使用されている。その一方で、Tomcat Manager は、Tomcat サーバにバンドルされる Web ベースの管理ツールであり、GUI を介した Web アプリ管理を、Admin たちに提供するものだ。
Continue reading “Apache Tomcat Manager を標的とするブルートフォース攻撃を検出:約 400 の悪意の IP アドレスが関与”Windows Task Scheduler Vulnerability Let Attackers Escalate Privileges
2025/06/11 CyberSecurityNews — Windows Task Scheduler に存在する、深刻なセキュリティ脆弱性を悪用する攻撃者は、管理者権限を必要とすることなく、システム・レベルのアクセス権限へと昇格する可能性を手にする。この脆弱性 CVE-2025-33067 (CVSS:8.4:Important) は、Windows オペレーティング・システムの複数バージョンに影響を及ぼす。この脆弱性は、Windows カーネルの Task Scheduler コンポーネントにおける不適切な権限管理に起因し、権限のないローカル攻撃者に対して、システムの完全な制御を許す可能性がある。
Continue reading “Windows Task Scheduler の脆弱性 CVE-2025-33067:ローカル権限昇格の可能性”Microsoft Office Vulnerabilities Let Attackers Execute Remote Code
2025/06/11 cybersecuritynews — Microsoft Office で発見された、複数の重大な脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を手にする。これらの脆弱性は、CVE-2025-47162/CVE-2025-47953/CVE-2025-47164/CVE-2025-47167 として追跡されており、CVSS スコアに関しては 8.4 と評価されている。その影響範囲は、Windows/macOS/Android プラットフォーム上の、多数の Office バージョンに及ぶという。
Continue reading “Microsoft Office の4件の脆弱性が FIX:ヒープバッファ・オーバーフローなどの恐れ”CoreDNS Vulnerability Let Attackers Exhaust Server Memory Via Amplification Attack
2025/06/11 CyberSecurityNews — クラウド・ネイティブ環境において、特に Kubernetes クラスタにおいて、広く使用される DNS サーバの1つである CoreDNS に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-47950 の悪用に成功したリモートの攻撃者は、DNS-over-QUIC (DoQ) ストリーム増幅攻撃を通じて、コンテナ化のための環境でサーバ・メモリを枯渇させ、サービス停止を引き起こす可能性を手にする。
Continue reading “CoreDNS の脆弱性 CVE-2025-47950 が FIX:メモリ枯渇に至る可能性”Outlook Vulnerability Allows Remote Execution of Arbitrary Code by Attackers
2025/06/11 gbhackers — Microsoft Office Outlook で発見された、深刻なセキュリティ脆弱性 CVE-2025-47176 の悪用に成功した攻撃者は、任意のコード実行の可能性を手にする。この脆弱性の攻撃ベクターはローカルであり、攻撃者によるコード実行は、被害者のマシン上から行われるものとなる。この脆弱性を悪用されると、データの機密性/完全性/可用性が侵害される可能性があるため、組織にとっての影響は深刻である。
Continue reading “Outlook の脆弱性 CVE-2025-47176:任意のコード実行の恐れとパッチ未適用の状況”HPE Aruba Network Vulnerability Exposes Sensitive Information to Hackers
2026/06/11 CyberSecurityNews — HPE Aruba の Networking Private 5G Core プラットフォームに、深刻度の高いセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、不正な操作を介して、機密システム・ファイルに関連するアクセスとダウンロードの可能性を手にする。この脆弱性 CVE-2025-37100 (CVSS:7.7) は、プライベート 5G ネットワークを展開する企業が用いる、重要なインフラ・コンポーネントに影響を及ぼす。このセキュリティ欠陥が影響を及ぼす範囲は、ソフトウェア・バージョン 1.24.1.0〜1.25.1.0 であり、API を悪用する攻撃者に対して、機密データの漏洩を許す可能性がある。
Continue reading “HPE Aruba Network の脆弱性 CVE-2025-37100 が FIX:機密データ漏洩の可能性”Apache CloudStack Flaw Allows Attackers to Execute Privileged Actions
2025/06/11 gbhackers — OSS のクラウド管理プラットフォームとして業界をリードする Apache CloudStack が発表したのは、複数の深刻なセキュリティ脆弱性に対処する、新たな Long-Term Support (LTS) リリースのバージョン 4.19.3.0/4.20.1.0 の緊急リリースである。2025年6月10日に、Apache PMC (Project Management Committee) メンバーである Pearl Dsilva が公開したアドバイザリでは、5つの脆弱性が指摘されており、そのうち2つは Crutical と評価され、ユーザー・データとインフラストラクチャの整合性に重大なリスクをもたらすという。
Continue reading “Apache CloudStack の脆弱性 CVE-2025-26521/47713 などが FIX:特権アクション実行とパスワード・リセット”Windows Common Log File System Driver Vulnerability Let Attackers Escalate Privileges
2025/06/11 CyberSecurityNews — Windows の Common Log File System (CLFS) ドライバー に存在する深刻なセキュリティ脆弱性により、攻撃者はシステム・レベルへの権限昇格を達成するという。この脆弱性 CVE-2025-32713 は、2025年6月10日の Patch Tuesday で公開されたものであり、旧バージョンから最新の Windows 11/Windows Server 2025 までの、複数の Windows オペレーティング・システムに影響を及ぼす。この欠陥は、Windows の CLFS ドライバー のヒープバッファ・オーバーフローに起因し、CWE-122 に分類される。
Continue reading “Windows CLFS Driver の脆弱性 CVE-2025-32713 が FIX:SYSTEM レベル権限昇格の恐れ”Why DNS Security Is Your First Defense Against Cyber Attacks?
2025/06/11 TheHackerNews — いまのサイバー・セキュリティの世界で焦点が当たるものには、ファイアウォールおよび、ウイルス対策ソフトウェア、エンドポイント検出などがある。これらのツールは不可欠であるが、それ以外にも見落とされがちな重要レイヤーがある。それが、Domain Name System (DNS) だ。ほぼ、すべてのオンライン・インタラクションの起点であり、基盤でもある DNS が、攻撃の標的となるケースが増えてきている。したがって、適切な保護が行われないと、サービスの中断/ユーザーのリダイレクト/機密データの漏洩などにつながるシングルフェイル・ポイントとなる。つまり、DNS の 保護は、単なる推奨ではなく、必須の事項である。
Continue reading “DNS Security を考える:最前線で戦うセンサー/シールドへと変貌を遂げるか?”Windows Remote Desktop Services Vulnerability Allows Remote Code Execution
2025/06/11 CyberSecurityNews — Windows Remote Desktop Services に存在する深刻なセキュリティ脆弱性 CVE-2025-32710 (CVSS:8.1) により、未認証の攻撃者による任意のリモート・コード実行の可能性が生じている。この脆弱性は、2025年6月10日の Patch Tuesday で修正されたものであるが、複数の Windows Server バージョンに影響を及ぼし、深刻なシステム侵害を引き起こす可能性を持つ。
Continue reading “Windows RDP Service の脆弱性 CVE-2025-32710 が FIX:広範なサーバ製品群に影響”Salesforce OmniStudio Vulnerabilities Exposes Sensitive Customer Data in Plain Text
2025/06/11 CyberSecurityNews — Salesforce OmniStudio に発見された深刻なセキュリティ脆弱性は、平文形式で保存された顧客の機密情報への不正アクセスを許すものである。この脆弱性により、世界中の数千の組織に影響を受ける可能性が生じている。この脆弱性は、プラットフォーム内のデジタル・エクスペリエンス管理システム内における、不十分なデータ暗号化プロトコルに起因するものであり、エンタープライズ顧客にとってプライバシー/コンプライアンス上の重大なリスクをもたらす。
Continue reading “Salesforce OmniStudio の脆弱性が FIX :顧客情報などの漏洩の可能性”FortiOS SSL-VPN Vulnerability Let Attackers Access full SSL-VPN settings
2025/06/10 CyberSecurityNews — Fortinet が公開したのは、FortiOS SSL-VPN の Web モードに影響を及ぼす、新たなセキュリティ脆弱性の存在である。この脆弱性を悪用する認証されたユーザーは、特別に作成された URL を通じて、SSL-VPN コンフィグ全体への不正アクセスの可能性を得る。広く使用されている Fortinet ネットワーク・セキュリティ・プラットフォームの、複数バージョンに影響を与える、この脆弱性 CVE-2025-25250 は、CWE (Common Weakness Enumeration) の CWE-200 (未承認の攻撃者への機密情報の漏えい) に分類される。
Continue reading “FortiOS SSL-VPN の脆弱性 CVE-2025-25250 が FIX:情報漏えいの可能性”Qtap – An Open-Source Tool to See Through Encrypted Traffic in Linux systems
2025/06/10 CyberSecurityNews — Qpoint が公表したのは、Linux システム上のネットワーク・トラフィックを監視する、オープンソース eBPF エージェントである Qtap のリリースだ。TLS/SSL 機能にフックして暗号化前後のデータをキャプチャする Qtap は、プロセス/コンテナ/ホスト/ユーザー/プロトコルといった詳細情報と共に、平文のトラフィックを可視化する。
Continue reading “Qtap – Linux システムの暗号化されたトラフィックを可視化:新たな OSS ツールの登場”ConnectWise rotating code signing certificates over security concerns
2025/06/10 BleepingComputer — ConnectWise はセキュリティ上の懸念から、ScreenConnect/ConnectWise Automate/ConnectWise RMM の実行ファイルの署名に使用される、デジタル・コード署名証明書をローテーションすると顧客に警告している。デジタル証明書は、実行ファイルへの署名のために使用されるものだ。それにより、ファイルをダウンロードするユーザーは、ファイルが信頼できるソースからのものであることを確認できる。つまり、エンドユーザーに届く前に、コードが改竄されていないことが保証される。
Continue reading “ConnectWise が署名証明書をローテーション:最近のサイバー攻撃とは無関係だと言うが”APT Hackers Exploited Windows WebDAV 0-Day RCE Vulnerability in the Wild to Deploy Malware
2025/06/10 CyberSecurityNews — APT グループ Stealth Falcon による高度なサイバー攻撃キャンペーンでは、未知とされてきたゼロデイ脆弱性が悪用され、トルコの大手防衛企業を標的とする、リモートからマルウェアが実行された。この攻撃では、リモート・コード実行の脆弱性 CVE-2025-33053 が悪用された。それにより脅威アクターは、正規の Windows ツールの作業ディレクトリを操作し、攻撃者が管理する WebDAV サーバからの、悪意のファイル実行を可能にしていた。
Continue reading “Windows WebDAV ゼロデイ CVE-2025-33053 の悪用:APT グループ Stealth Falcon の高度な戦略”Ivanti Workspace Control Vulnerability Lets Attackers Remotely Exploit To Steal the Credential
2025/06/10 gbhackers — Ivanti が公表したのは、Workspace Control ソフトウェアに対する、重要なセキュリティ更新プログラムをリリースである。この更新プログラムでは、攻撃者に対して認証情報への侵害を許す可能性のある、深刻度の高い3件の脆弱性が修正されている。それらの脆弱性 CVE-2025-5353/CVE-2025-22463/CVE-2025-22455 は、Ivanti Workspace Control のバージョン 10.19.10.0 未満に影響を及ぼすものだ。
Continue reading “Ivanti Workspace Control の脆弱性 CVE-2025-5353/22463/22455 が FIX:認証情報窃取の恐れ”2025/06/10 CyberSecurityNews — Fortinet が公表したのは、OS コマンド・インジェクションの脆弱性 CVE-2023-42788 (CWE-78) として分類される、深刻なセキュリティ欠陥への対処である。この脆弱性は、FortiManager/FortiAnalyzer など、複数の製品に既に影響を及ぼすものだ。しかし、今日になって Fortinet は、この脆弱性の影響が FortiAnalyzer-Cloud にも波及し、低権限のローカル攻撃者による、不正なコード実行のリスクがあることを確認した。
Continue reading “Fortinet の OS Command Injection の脆弱性 CVE-2023-42788:PoC のリリースと影響範囲の拡大”Adobe Releases Patch Fixing 254 Vulnerabilities, Closing High-Severity Security Gaps
2025/06/10 TheHackerNews — 6月10日 (火) に Adobe は、ソフトウェア製品に影響を与える合計で 254件のセキュリティ脆弱性に対処する、セキュリティ・アップデートを公開した。これらの脆弱性の大部分は、Adobe Experience Manager (AEM) に影響するものだ。254件の脆弱性のうち、225件は AEM に存在し、AEM Cloud Service (CS) とバージョン 6.5.22 以下に影響を及ぼす。すでに Adobe は、AEM Cloud Service Release 2025.5 および バージョン6.5.23 で、これらの問題を修正している。
Continue reading “Adobe の脆弱性 254件が FIX:225件は AEM に存在する XSS の欠陥”Microsoft June 2025 Patch Tuesday fixes exploited zero-day, 66 flaws
2025/06/10 BleepingComputer — 今日は、Microsoft June 2025 Patch Tuesday の日だ。このパッチにより、66件の脆弱性に対するセキュリティ・アップデートが提供されるが、その中には、現時点で悪用されている脆弱性1件と、すでに情報が公開されている脆弱性1件が含まれる。今回の月例パッチでは、10件の Critical 脆弱性が修正されている。そのうちの8件はリモート・コード実行の脆弱性であり、2件は権限昇格の脆弱性である。
Continue reading “Microsoft 2025-06 月例アップデート:2件のゼロデイを含む 66件の脆弱性に対応”Fortinet Security Update: Critical Patch Addressing Multiple Vulnerabilities Across Products
2025/06/10 CyberSecurityNews — Fortinet が公開したのは、FortiOS/FortiAnalyzer/FortiProxy/FortiWeb などの製品群に影響を及ぼす、複数の脆弱性に対処するセキュリティ・アップデートである。同社の PSIRT (Product Security Incident Response Team) によると、一連の脆弱性に含まれるものには、権限昇格やコマンド・インジェクションなどがあり、企業ネットワークのセキュリティが侵害される可能性が生じている。
Continue reading “Fortinet 製品群の複数の脆弱性が FIX:権限昇格やコマンド・インジェクションなどの恐れ”ManageEngine Exchange Reporter Plus Vulnerability Enables Remote Code Execution
2025/06/10 gbhackers — 広く普及しているメールに関する監視/報告のソリューション ManageEngine Exchange Reporter Plus に、重大なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、標的サーバ上での任意のコマンド実行の可能性を手にする。この脆弱性 CVE-2025-3835 の影響が及ぶ範囲は、バージョン 5721 以下の全ビルドであり、また、2025年5月29日にリリースされた、緊急セキュリティ・アップデートにより修正されている。
Continue reading “ManageEngine Exchange Reporter Plus の脆弱性 CVE-2025-3835 が FIX:RCE の恐れ”Google Vulnerability Let Attackers Access Any Google User’s Phone Number
2025/06/10 CyberSecurityNews — Google のアカウント復旧システムに存在していた、深刻なセキュリティ脆弱性を悪用する攻撃者が、高度なブルートフォース攻撃を介して、任意の Google ユーザーの電話番号を取得できる状態にあったことが、BruteCat のセキュリティ研究者により明かされた。この脆弱性は、Google の No-JavaScript Username Recovery Form の悪用により、通常のセキュリティ保護の回避と、機密情報の抽出を許すものだ。なお、この脆弱性は、すでに修正されている。
Continue reading “Google のレガシー・アカウント復旧機能の脆弱性:ユーザーの電話番号が漏洩?”CISA Adds Erlang SSH and Roundcube Flaws to Known Exploited Vulnerabilities Catalog
2025/06/10 TheHackerNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Erlang/Open Telecom Platform (OTP) SSH および Roundcube に影響を与える2つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 25/06/09:Erlang SSH/Roundcube の脆弱性を登録”Trump Signs Executive Order Overhauling US Cybersecurity Policies
2025/06/09 eSecurityPlanet — 6月6日 (金) にトランプ大統領は、バイデン政権とオバマ政権による複数の施策を廃止し、米国のサイバー・セキュリティ政策を刷新する大統領令に署名した。この大統領令は、選挙ハッキングなどへの制裁を緩めながら、焦点を外国のサイバー・スパイ脅威へと移すものである。サイバー・セキュリティ政策における「問題への躊躇と黙認」を排除するために、これらの変更は必要なものだと、ホワイトハウスは述べている。
Continue reading “トランプ政権のサイバー・セキュリティ政策:焦点は外国のサイバー・スパイ脅威へと移る?”Developers Beware! 16 React Native Packages With Million of Download Compromised Overnight
2025/06/09 CyberSecurityNews — 一週間のダウンロード数が合計で 100万回以上に達するという、人気の React Nativeパッケージ 16件が、巧妙なサプライチェーン攻撃により侵害され、NPM エコシステムに対する脅威が深刻化している。この、2025年6月6日に開始された攻撃では、React Native Aria エコシステムと GlueStack フレームワーク内のパッケージに体系的なバックドアが仕掛けられ、持続的なシステム制御とデータ窃取機能を確立する、高度なリモートアクセス型トロイの木馬 (RAT) が展開された。
Continue reading “React Native Package 16種類に RAT:一晩で仕込まれた組織的な悪意とは?”Critical Wazuh Server RCE Vulnerability Exploited to Deploy Mirai Variants
2025/06/09 CyberSecurityNews — Wazuh サーバに存在する深刻なリモート・コード実行の脆弱性が悪用されていることを、Akamai のセキュリティ研究者たちが発見した。この OSS セキュリティ・プラットフォームの脆弱性 CVE-2025-24016 (CVSS:9.9) は、今年の初めに公表されたものだが、実環境での攻撃が報告されたのは初めてのことである。この脆弱性を悪用する API アクセス権を持つリモート攻撃者は、悪意を持って作成された JSON ファイルを通じて、任意のコードを実行できるようになる。なお、この脆弱性が影響を及ぼす範囲は、Wazuh のバージョン 4.4.0〜4.9.0 である。
Continue reading “Wazuh Server RCE 脆弱性 CVE-2025-24016:Mirai 亜種による攻撃を観測”Multiple QNAP Flaws Allow Remote Attackers to Hijack User Accounts
2025/06/09 gbhackers — QNAP 製の NAS デバイス/クライアント間でファイルの同期を担う QNAP Qsync Central に、2件の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データへの不正アクセスや悪意のコード実行の可能性を手にする。
Continue reading “QNAP Qsync Central の脆弱性 CVE-2025-22482/29892 が FIX:情報漏洩や SQLi などの可能性”Jenkins Gatling Plugin Vulnerability Let Attackers Bypass Content-Security-Policy Protection
2025/06/09 CyberSecurityNews — 人気の Jenkins Gatling プラグインにおいて、深刻な XSS (cross-site scripting) 脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、CSP (Content-Security-Policy) 保護の回避を可能にする。この脆弱性 CVE-2025-5806 は、Gatling Plugin バージョン 136.vb_9009b_3d33a_e に影響を及ぼし、このパフォーマンス・テスト統合ツールを使用する Jenkins 環境に対して重大なリスクをもたらす。
Continue reading “Jenkins Gatling Plugin の脆弱性 CVE-2025-5806:パッチ未適用とダウングレード推奨”Critical Salesforce Vulnerability Exposes Global Users to SOQL Injection Attacks
2025/06/09 gbhackers — Salesforce Aura コントローラーの、デフォルト・コンフィグに存在する SOQL (Salesforce Object Query Language) インジェクションの脆弱性を、あるセキュリティ研究者が発見した。この脆弱性により、数千のデプロイメントおよび、数百万のユーザーレコードに影響が生じる可能性がある。この発見が浮き彫りにするのは、動的なクエリ構築のリスクと、エンタープラ イズ・クラウドプラット・フォームにおける、セキュア・コーディングの重要性である。
Continue reading “Salesforce の SOQL インジェクション脆弱性 CVE-N/A:数百万のユーザーに影響をおよぼす可能性”Linux Foundation unveils decentralized WordPress plugin manager
2025/06/09 BleepingComputer — WordPress の元開発者やコントリビューターで構成される団体が、Linux Foundation の支援を受けるかたちで、信頼性の高い WordPress プラグイン/テーマを提供する、新たな独立系ディストリビューション・システム FAIR Package Manager を発表した。その背景にあるのは、商用 WordPress ホスティング・プロバイダーである Automattic と WP Engine の間で発生した法的な対立である。具体的に言うと、プラグイン/テーマのアップデートを管理するために使用される、 WordPress.org プラットフォームへの WP Engine のアクセスを、Automattic が制限したことに端を発する問題である。
Continue reading “WordPress の分散型 Plugin Manager の発表:Linux Foundation が後押しする理由は何処に?”New Supply Chain Malware Operation Hits npm and PyPI Ecosystems, Targeting Millions Globally
2025/06/08 TheHackerNews — GlueStack 関連の 12以上のパッケージを標的とする、マルウェア拡散を目的としたサプライチェーン攻撃の存在を、サイバー・セキュリティ研究者たちが指摘している。Aikido Security は、「”lib/commonjs/index.js” への変更時に侵入した、このマルウェアを操作する攻撃者は、シェル・コマンドの実行/スクリーン・ショットの撮影/感染マシンへのファイル・アップロードが可能にする。これらのパッケージのダウンロード数は、合計で毎週約 100万回に達している」と、The Hacker News に述べている。
Continue reading “npm/PyPI エコシステムが標的:新たなサプライチェーン・マルウェア攻撃の詳細が判明”Attackers exploit Fortinet flaws to deploy Qilin ransomware
2025/06/06 SecurityAffairs — 2025年5月〜6月に Qilinランサムウェア (別名 Phantom Mantis) グループが、FortiGate の脆弱性 CVE-2024-21762/CVE-2024-55591 などを悪用し、複数の組織を標的にしていると、脅威インテリジェンス企業 PRODAFT が警告している。同社が発表したレポートには、「Phantom Mantis は、2025年5月から6月にかけて、複数の組織を標的とする組織的な侵入キャンペーンを展開している。イニシャル・アクセスで悪用されるのは、FortiGate の脆弱性 CVE-2024-21762/CVE-2024-55591 などである」と記載されている。
Continue reading “Qilin ランサムウェア:FortiGate の脆弱性 CVE-2024-21762/55591 を悪用”Play ransomware group hit 900 organizations since 2022
2025/06/06 SecurityAffairs — 米国の FBI および CISA とオーストラリア ASD 傘下の ACSC (Australian Cyber Security Centre) による共同勧告によると、これまでの3年間において Play ランサムウェアは約 900もの組織を攻撃したとのことだ。2022年6月から活動を開始した Play ランサムウェア・グループだが、その被害者リストには、オークランド市/Rackspace/オランダの海上物流会社 Royal Dirkzwager などが含まれている。
Continue reading “Play ランサムウェアの現状:2022 年からの3年間で 900の組織を攻撃 – FBI/CISA”Critical RCE Vulnerability in AWS Amplify Studio – PoC Now Public
2025/06/06 gbhackers — 2025年5月に AWS が公開した、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2025-4318 (CVSS:9.5) は、AWS Amplify Studio のUI コード生成パイプラインとコア依存関係を持つ、@aws-amplify/codegen-ui パッケージに存在するものだ。この脆弱性は、UI コンポーネント・スキーマ内の、ユーザー定義 JavaScript 式を処理する、式バインディング・ロジックにおける不適切な入力検証に起因する。
Continue reading “AWS Amplify Studio の脆弱性 CVE-2025-4318 (CVSS:9.5):PoC がリリース”Critical RCE Flaw Found in HPE Insight Remote Support Tool
2025/06/06 gbhackers — HPE (Hewlett-Packard Enterprise) が公開したセキュリティ・アドバイザリは、Insight Remote Support (IRS) ソフトウェアのバージョン 7.15.0.646 未満に存在する、複数の深刻な脆弱性に対処するものだ。これらの脆弱性は、外部の研究者によって発見され、HPE に報告されたものである。一連の脆弱性の悪用に成功したリモートの攻撃者は、影響を受けるシステム上における、任意のコード実行/ディレクトリ・トラバーサル/機密情報の漏洩などを引き起こす可能性を得る。
Continue reading “HPE IRS の脆弱性 CVE-2025-37097/37098/37099 が FIX:RCE や情報漏洩などの恐れ”
IoT OT Security News 
You must be logged in to post a comment.