Ransomware Deployed in Compromised SharePoint Servers
2025/07/24 InfoSecurity — Microsoft SharePoint の脆弱性を悪用する、中国を拠点とする脅威アクターが、侵害済のシステムにランサムウェアを展開していることが確認されている。7月23日のインシデント・アップデートにおいて、Microsoft が明らかにしたのは、Storm-2603 として追跡している脅威グループが、オンプレミスの SharePoint サーバを悪用し、Warlock ランサムウェアを配布している状況である。それに加えて Microsoft は、影響を受ける可能性のある組織に対して、ランサムウェア対策を取り込んだ緩和策の拡充を勧告している。
Continue reading “SharePoint の脆弱性 CVE-2025-53770:ToolShell チェーンによるランサムウェア展開を確認”Researchers Exploit Cursor Background Agents to Take Over Amazon EC2 Instance
2025/07/24 gbhackers — AIコードエディタ Cursor のバックグラウンド・エージェントに存在する、脆弱性を検証する reco のセキュリティ研究者たちが、Amazon EC2 インスタンスへの不正アクセスに成功した。それにより、クラウド・インフラと密接に統合される、SaaS アプリケーションに関連する重大なリスクが実証された。この脆弱性は、研究者たちにより直ちに Cursor のセキュリティ・チームに報告され、悪用を防止するための保護対策が講じられたという。
Continue reading “Cursor バックグラウンド・エージェントの脆弱性:Amazon EC2 インスタンスの完全制御が可能に”2025/07/24 CyberSecurityNews — 新たに明らかになった LAMEHUG 攻撃が示唆するのは、サイバー・セキュリティにおける画期的な出来事である。大規模言語モデル (LLM) を実環境のマルウェアにダイレクトに組み込むロシア政府系 APT28 (Fancy Bear) は、それぞれの感染させたホストから、カスタマイズされたシェル・コマンドを即座に受信できるようにしている。Hugging Face の公開 API を介することで、攻撃者は Qwen2.5-Coder-32B-Instruct モデルを呼び出す。この手法により、従来の静的ペイロード制約を回避し、これまでにはなかった柔軟性を実現している。
Continue reading “LLM-Powered マルウェアが登場:ロシアの APT28 が採用する AI 機能の統合とは?”Threat Actor Mimo Attacking Magento CMS to Steal Card Details and Bandwidth Monetization
2025/07/24 CyberSecurityNews — これまで、Craft CMS を標的としてきた悪名高い脅威アクター Mimo が、Magento の eコマース・プラットフォームへの侵入活動を大幅に進化させており、サイバー・セキュリティ環境は新たな脅威に直面することになった。この活動の拡大が示すのは、日常的に金融データ情報を処理する高価値ターゲットへの危険なシフトであり、Mimo グループの犯罪活動が、懸念すべきエスカレーションを遂げていることを意味する。
Continue reading “脅威アクター Mimo の戦術拡大:GSocket C2 により Magento や Docker から機密情報を窃取”SonicWall SMA 100 Vulnerabilities Allow Remote Execution of Arbitrary JavaScript
2025/07/24 gbhackers — SonicWall が発表したのは、Secure Mobile Access (SMA) 100 シリーズアプライアンスに影響を及ぼす、3件の深刻な脆弱性に関する重要なアドバイザリである。SMA 210/SMA 410/SMA 500v の、ファームウェア・バージョン 10.2.1.15-81sv 以下を実行するモデルに、これらの脆弱性は影響を及ぼす。それにより、未認証のリモート攻撃者は、サービス拒否 (DoS) 状態を引き起こし、任意のコードや JavaScript の実行の可能性を手にする。
Continue reading “SonicWall SMA 100 の3件の脆弱性が FIX:リモートからの悪意の JavaScript 実行の可能性”UNC3944 Attacking VMware vSphere and Enabling SSH on ESXi Hosts to Reset ‘root’ Passwords
2025/07/24 CyberSecurityNews — UNC3944 という金銭目的の脅威組織について確認されたのは、小売/航空/保険などの業界の VMware vSphere 環境を標的とする高度なサイバー・キャンペーンの展開と、”0ktapus”/”Octo Tempest”/”Scattered Spider” との関連性である。この攻撃者が採用する手口は、ソーシャル・エンジニアリングとハイパーバイザー・レベルへの攻撃の併用であるという。米国の小売業界に対する攻撃が激化しているという FBI の警告を受けて、2025年半ばに Google Threat Intelligence Group (GITG) が、このキャンペーンを分析/特定した。
Continue reading “VMware vSphere を攻撃する UNC3944:ESXi Host 上の SSH を介した巧妙な侵入”Surge in Phishing Attacks Exploiting Spoofed SharePoint Domains and Sneaky 2FA Tactics
2025/07/24 gbhackers — Microsoft SharePoint を装うドメインによる、フィッシング・キャンペーンの急増を、サイバー・セキュリティ研究者たちが確認している。それらのドメインは、高度に構造化された命名規則を用いて、検出を回避しているという。2025年6月26日以降に急増している、それらの悪意のドメインは、予測可能なパターンを持っている。具体的に言うと、第3レベルおける 29文字の固定プレフィックス/数値セグメントのバリエーション/”-mysharepoint” という一貫したサフィックスなどが、”.org” のトップ・ドメインの下に展開されている。
Continue reading “Microsoft ログイン画面を装う Sneaky2FA:SharePoint 偽装キャンペーンに警戒を”Google Launches OSS Rebuild to Strengthen Security of The Open-Source Package Ecosystems
2025/07/24 CyberSecurityNews — 現代のソフトウェア・サプライチェーンは、無数のサードパーティ・コンポーネントに依存しているため、それらのパッケージ・リポジトリは攻撃者にとって格好の標的となっている。この1年の間に発生した、xz-utils バックドアや solana/webjs タイポスクワッティングなどの、注目を集めるセキュリティ侵害が示したのは、防御側が認知する前に、広く利用されているライブラリを巧妙なコードで汚染するという、可能性があることだった。
Continue reading “Google の OSS Rebuild がスタート:リポジトリ汚染を一掃する試みへの期待とは?”TP-Link Network Video Recorder Vulnerability Enables Arbitrary Command Execution
2025/07/24 gbhackers — TP-Link が公表したのは、同社の VIGI ネットワーク・ビデオ・レコーダー2機種に存在する、深刻なセキュリティ脆弱性に関する情報である。この脆弱性の悪用に成功した攻撃者は、基盤となる OS 上で任意でのコマンド実行の可能性を手にする。これらの脆弱性は CVE-2025-7723 (CVSS:8.5)/CVE-2025-7724 (CVSS:8.7) として特定されており、VIGI NVR1104H-4P V1/VIGI NVR2016H-16MP V2 デバイスに影響を及ぼすという。
Continue reading “TP-Link ビデオレコーダーの脆弱性 CVE-2025-7723/7724 が FIX:任意のコマンド実行の可能性”AWS Client VPN for Windows Vulnerability Could Allow Privilege Escalation
2025/07/24 gbhackers — Amazon Web Services (AWS) が公表したのは、Client VPN for Windows VPN ソフトウェアに存在する深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用する低権限のユーザーが、インストール・プロセス中に、root レベルへと権限を昇格する可能性が生じる。この脆弱性 CVE-2025-8069 が影響を及ぼす範囲は、AWS Client VPN クライアントの複数バージョンとなる。すでに AWS は、最新版のソフトウェア・アップデートにより、この問題を修正している。
Continue reading “AWS Client VPN for Windows の脆弱性 CVE-2025-8069 が FIX:root 権限昇格の恐れ”Metasploit Module Released to Exploit SharePoint 0-Day Vulnerabilities
2025/07/24 gbhackers — Microsoft SharePoint Server の深刻なゼロデイ脆弱性を標的とする、Metasploit エクスプロイト・モジュールを、セキュリティ研究者たちが公開した。この脆弱性は、2025年7月19日時点で、すでに実際の攻撃に悪用されており、SharePoint を取り巻く脅威状況が、著しく悪化していることを示している。公開された Metasploit モジュールは、認証不要のリモートコード実行 (RCE) 脆弱性 CVE-2025-53770/CVE-2025-53771 悪用する、一連の手法を取り込むものである。
Continue reading “SharePoint の脆弱性 CVE-2025-53770/53771:PoC としての Metasploit モジュールが侵害に成功”GitLab Security Update – Patch for Multiple Vulnerabilities in Community and Enterprise Edition
2025/07/24 CyberSecurityNews — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する、複数の脆弱性に対処する重要なセキュリティ・パッチである。対象となるバージョンは 18.2.1/18.1.3/18.0.5 であり、すでに導入が可能な状態となっている。今回のリリースには、合計で6件の脆弱性に対する修正が取り込まれているが、その中で、最も深刻なものとされるのは、Kubernetes プロキシ機能に深刻なリスクをもたらす、2件のクロスサイト・スクリプティング (XSS) の脆弱性である。
Continue reading “GitLab CE/EE の複数の脆弱性が FIX:情報漏洩/アクセス制御/XSS などの恐れ”CISA Alerts on Google Chromium Input Validation Flaw Actively Exploited
2025/07/24 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium の不適切な入力検証の脆弱性 CVE-2025-6558 が、脅威アクターにより積極的に悪用されているとして、緊急警報を発した。この脆弱性が悪用されると、複数の Chromium ベースの Web ブラウザに影響が生じ、数百万のユーザーが重大なリスクに直面するという。
Continue reading “CISA KEV 警告 25/07/24:Google Chromium の脆弱性 CVE-2025-6558 を登録”
IoT OT Security News 