Day: October 22, 2025

AI エージェントに存在する引数インジェクションの問題:システム・コマンドの悪用が可能?

Critical Argument Injection Vulnerability in Popular AI Agents Let Attackers Execute Remote Code

2025/10/22 CyberSecurityNews — 名前が公表されていない3つの AI エージェント・プラットフォームに、深刻な引数インジェクションの脆弱性が存在することが判明した。この脆弱性を悪用する攻撃者は、人間による承認の安全策を回避し、無害に見えるプロンプトを介してリモート・コード実行 (RCE) を引き起こせる。つまり、ファイル検索やコード分析などのタスクの効率化を目的として設計された、事前に承認されたシステム・コマンドの悪用が、これらの脆弱性により可能になってしまう。それが浮き彫りにするのは、エージェント型 AI システムに広く見られる設計上の欠陥だと、Trail of Bits は述べている。

Continue reading “AI エージェントに存在する引数インジェクションの問題:システム・コマンドの悪用が可能?”

GitLab の複数の脆弱性が FIX:DoS 攻撃や不適切なアクセス制御の問題に対応

Multiple Gitlab Security Vulnerabilities Let Attackers Trigger DoS Condition

2025/10/22 CyberSecurityNews — GitLab がリリースしたのは、Community Edition (CE)/Enterprise Edition (EE) に存在する、複数の深刻なセキュリティ脆弱性に対処するパッチ・バージョン 18.5.1/18.4.3/18.3.5 である。これらの脆弱性に含まれるものには、深刻度の高いサービス拒否 (DoS) 攻撃の欠陥がある。今回のアップデートで修正されたのは、細工されたペイロードによりシステムが過負荷状態に陥る問題や、認証済みユーザーに影響するアクセス制御および認証のバグである。

Continue reading “GitLab の複数の脆弱性が FIX:DoS 攻撃や不適切なアクセス制御の問題に対応”

WinRAR のゼロデイを悪用:Bitter APT が展開する狡猾な情報窃取キャンペーンとは?

Bitter APT Exploits WinRAR Zero-Day Through Malicious Word Files to Steal Sensitive Data

2025/10/22 gbhackers — Bitter (APT-Q-37) として追跡される脅威グループが、Office マクロの悪用と、未知の WinRAR パス・トラバーサル脆弱性を悪用し、C# バックドアを仕掛けて機密情報を盗み出している。Qi’anxin Threat Intelligence Center の研究者は、この二面的な攻撃が示すのは、同グループの戦術の進化と、中国やパキスタンなどの戦略的な地域における、政府/電力/軍事の重要標的への注力であると警告している。

Continue reading “WinRAR のゼロデイを悪用:Bitter APT が展開する狡猾な情報窃取キャンペーンとは?”

Smithery MCP Server の脆弱性が FIX:パス・トラバーサル攻撃から API キー流出へ

Critical Vulnerability in MCP Server Platform Exposes 3,000+ Servers and Thousands of API Keys

2025/10/22 CyberSecurityNews — MCP (Model Context Protocol) サーバのレジストリとして広く利用される Smithery.ai に、深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者は、3,000 台以上の AI サーバから情報を盗み出し、多数のサービスにまたがる数千人のユーザーから API キーを盗み出すことが可能な状況にあった。MCP とは、ローカル・ファイルやリモート・データベースなどの外部ツール/データに、AI アプリをリンクさせることで、その機能を強化するものだ。そのサーバにはローカル版とリモート版があるが、多くのリモート版は自社ホストやプロバイダーにより完全に管理されている。

Continue reading “Smithery MCP Server の脆弱性が FIX:パス・トラバーサル攻撃から API キー流出へ”

SharePoint の脆弱性 ToolShell CVE-2025-53770:中国由来の APT による悪用が止まらない

Chinese Hackers Using ToolShell Vulnerability To Compromise Networks Of Government Agencies

2025/10/22 CyberSecurityNews — Microsoft SharePoint サーバの深刻な脆弱性を悪用する中国拠点の脅威アクターが、世界中のネットワークに侵入している。このスパイ活動とみられる攻撃キャンペーンは、政府機関や重要インフラを標的としている。ToolShell として識別される脆弱性 CVE-2025-53770 は、未認証のリモート・コード実行を可能にするものであり、2025年7月に情報が公開されて以来、Microsoft による迅速な修正プログラムの適用に反して活発に悪用されている。

Continue reading “SharePoint の脆弱性 ToolShell CVE-2025-53770:中国由来の APT による悪用が止まらない”

Oracle EBS Marketing の脆弱性 CVE-2025-53072/62481 が FIX:ネットワーク攻撃によるフルアクセスの恐れ

Critical Vulnerability In Oracle E-Business Suite’s Marketing Product Allows Full Access To Attackers

2025/10/22 CyberSecurityNews — Oracle が 2025年10月の Patch Update で公開したのは、E-Business Suite の Marketing 製品に存在する、2つの深刻な脆弱性 CVE-2025-53072/CVE-2025-62481 (CVSS:9.8) の情報である。これらの脆弱性は Marketing Administration コンポーネントに影響を及ぼし、リモート攻撃者に完全な制御権を奪われる可能性があるため、今年公表された Oracle 関連の脅威の中でもきわめて深刻なものとされる。Oracle の CRM と Marketing 自動化のスイートを利用する組織は、速やかにパッチを適用し、潜在的なデータ侵害やシステム乗っ取りを防ぐ必要がある。

Continue reading “Oracle EBS Marketing の脆弱性 CVE-2025-53072/62481 が FIX:ネットワーク攻撃によるフルアクセスの恐れ”

Xubuntu 公式サイトで侵害が発生:Windows を標的とする悪意の実行ファイルが拡散

Threat Actors Compromise Xubuntu Website To Deliver Malicious Windows Executable

2025/10/22 CyberSecurityNews — Xubuntu の公式サイトに侵入した脅威アクターにより、ISO の Torrent ダウンロードが悪意の ZIP ファイルへとリダイレクトされた。このインシデントは 2025年10月18日に発覚しており、サポート終了 OS の代替への関心が高まる中で、コミュニティが管理する Linux ディストリビューション・サイトに依存せざるを得ないという問題を浮き彫りにしている。Xubuntu ISO ファイルの入手を試みたユーザーにはトロイの木馬が提供され、クリップボード・データの乗っ取りによる暗号通貨の窃取にさらされた。

Continue reading “Xubuntu 公式サイトで侵害が発生:Windows を標的とする悪意の実行ファイルが拡散”

情報窃取マルウェア Vidar Stealer 2.0:Lumma を凌駕するブラウザ認証情報取得の新手法とは?

Vidar Stealer Exploits: Direct Memory Attacks Used to Capture Browser Credentials

2025/10/22 gbhackers — 2025年10月6日にサイバー犯罪者 Loadbaks は、Vidar Stealer v2.0 のリリースをアンダーグラウンド・フォーラムで発表した。この新バージョンは、メモリへのマルウェアの直接注入により、最新ブラウザのセキュリティ対策を回避する。この高度な情報窃取マルウェアは、C++ から純粋な C 実装への移行によりアーキテクチャを全面的に刷新し、パフォーマンスとステルス性を向上させている。今回のリリースの背景には、Lumma Stealer の活動量の低下があると思われる。それが示唆するのは、脅威環境の変化に適応するサイバー犯罪者たちが、より効果的な代替手段を積極的に模索している状況である。

Continue reading “情報窃取マルウェア Vidar Stealer 2.0:Lumma を凌駕するブラウザ認証情報取得の新手法とは?”

Chrome Chrome V8 JavaScript エンジンの脆弱性 CVE-2025-12036:リモート・コード実行の恐れ

Chrome V8 JavaScript Engine Vulnerability Let Attackers Execute Remote Code

2025/10/22 CyberSecurityNews — Google が公開したのは、Chrome ブラウザの V8 JavaScript エンジンに存在する深刻な脆弱性に対する緊急アップデートである。このリモート・コード実行の脆弱性 CVE-2025-12036 は、Chrome のレンダリング機能を支えるオープンソースの JavaScript/WebAssembly エンジンである、V8 の不適切な実装に起因するものだ。

Continue reading “Chrome Chrome V8 JavaScript エンジンの脆弱性 CVE-2025-12036:リモート・コード実行の恐れ”

OpenFGA:高速性と柔軟性を実現する OSS のアクセス・コントロールとは?

OpenFGA: The open-source engine redefining access control

2025/10/22 HelpNetSecurity — OpenFGA のコアは、システム内で誰が何を実行できるのかを、チームとして定義することにある。アプリ開発のスタートにおいても、エンタープライズ・プラットフォームの管理においても、OpenFGA は数ミリ秒単位で認可チェックを実行する。この高速性により、パフォーマンスやセキュリティを損なうことなく、プロジェクトの規模に応じた拡張が可能になる。

Continue reading “OpenFGA:高速性と柔軟性を実現する OSS のアクセス・コントロールとは?”