Critical Flaw in AI Python Package Can Lead to System and Data Compromise 2024/05/17 SecurityWeek — AI アプリケーション開発者が使用する Python パッケージにおいて、先日に発見された重大な脆弱性により、任意のコード実行が可能となり、システムやデータが危険にさらす可能性があるという。 その脆弱性 CVE-2024-34359 は、研究者 Patrick Peng (別名 retr0reg) により発見され、Llama Dramaと呼ばれている。5月16日 (木) に、サイバーセキュリティ企業 Checkmarks が発表したのは、この脆弱性と影響について説明するブログ記事である。
Hackers Deploy Python Backdoor in Palo Alto Zero-Day Attack 2024/04/13 TheHackerNews — Palo Alto Networks の PAN-OS ソフトウェアに存在するゼロデイ脆弱性だが、昨日に明るみに出る前の 2024年3月26日の時点から、3週間にわたり脅威アクターたちに悪用されてきたことが判明した。Palo Alto Networks の Unit 42 は、Operation MidnightEclipse という名称で、この活動を追跡している。現時点では、単一の脅威アクターの仕業であるとしているが、その出所は不明とされる。この脆弱性 CVE-2024-3400 (CVSS:10.0) は、コマンド・インジェクションの欠陥であり、認証されていない攻撃者に対して、ファイアウォールの root 権限を用いた任意のコード実行を許すものである。
“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers 2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。
PyPI Poisoned: 116 Malicious Packages Target Windows and Linux 2023/12/12 SecurityOnline — ESET の最新調査により、Python Package Index (PyPI) における脅威の動向が明らかになった。公式リポジトリ内における依存関係を悪用する形で、Windows/Linux を標的とする悪質なコードが大量に展開され、悪意の Python プロジェクトが網の目のように張り巡らされている状況が、この調査で判明した。
Beware, Developers: BlazeStealer Malware Discovered in Python Packages on PyPI 2023/11/08 TheHackerNews — PyPI (Python Package Index) リポジトリに忍び込み、開発者のシステムを侵害して機密情報を盗み出す、悪質な Python パッケージの新しいセットが発見された。 Checkmarx は、「これらのパッケージは、無害な難読化ツールを装っているが、BlazeStealer と呼ばれるマルウェアを隠し持っている」と、The Hacker News と共有したレポートで述べている。
Citrix Bleed: Mass exploitation in progress (CVE-2023-4966) 2023/10/30 HelpNetSecurity — Citrix NetScaler ADC/Gateway デバイスに影響を及ぼす、深刻な情報漏えいの脆弱性 CVE-2023-4966 (Citrix Bleed) が、脅威アクターたちにより積極的に悪用されている。セキュリティ研究者である Kevin Beaumont によると、あるランサムウェア・グループが、Citrix Bleed 攻撃チェーンを自動化するための Python スクリプトを配布し、また、その他のグループは、実用的なエクスプロイトを活用し始めているという。
Hundreds of malicious Python packages found stealing sensitive data 2023/10/04 BleepingComputer — この半年で複雑さを増した悪質なキャンペーンにより、OSS プラットフォームに数百の情報窃取パッケージが仕掛けられ、そのダウンロード数は約 75,000回を数えるという。このキャンペーンについては、4月上旬から Checkmarx の Supply Chain Security チームのアナリストたちが監視しており、標的となったシステムから機密データを盗み出すためのコードを取り込んだ、272種類のパッケージが発見されている。最初に確認されたときと比べて、この種の攻撃は大幅に進化しており、さらに巧妙になった難読化レイヤと検出回避の技術が、悪意のパッケージ作成者たちにより実装されているという。
‘Culturestreak’ Malware Lurks Inside GitLab Python Package 2023/09/20 DarkReading — 現在の脅威の状況において、あまりにも有りふれたことだが、新たな悪意のオープンソース・パッケージが、セキュリティ研究たちにより発見された。今回は、暗号通貨をマイニングするために、システム・リソースのハイジャックを試みる、GitLab 上のアクティブな Python ファイルである。この、Culturestreak と呼ばれる悪意のパッケージが、GitLab 開発者サイト上の Aldri Terakhir というユーザーのアクティブなリポジトリから発信されていることを、9月19日の Checkmarx ブログが明らかにした。
New Python Variant of Chaes Malware Targets Banking and Logistics Industries 2023/09/05 TheHackerNews — 銀行や物流などの業界において、Chaes と呼ばれるマルウェア亜種が、猛攻撃を仕掛けている。Morphisec は、「Chaes は、Python で完全に書き直されたことで、従来の防御システムによる検出率を低下させた。包括的な再設計と強化された通信プロトコルに至るまで、大きなオーバーホールを受けている」と、The Hacker News に述べている。2020年に初めて出現した Chaes は、中南米において、特にブラジルの E コマース顧客をターゲットにして、機密性の高い金融情報を盗むことで知られている。
New Python URL Parsing Flaw Could Enable Command Execution Attacks 2023/08/12 TheHackerNews — Python の URL 解析関数に、深刻な脆弱性 CVE-2023-24329 が発見された。その悪用に成功した攻撃者は、ブロック・リストを介して実装された、ドメインやプロトコルのフィルタリング方法のバイパスが可能になるという。そして、最終的には、任意のファイルの読み取りや、コマンドの実行を引き起こすことになると判明した。
New Python tool checks NPM packages for manifest confusion issues 2023/07/04 BleepingComputer — NPM JavaScript ソフトウェア・レジストリのパッケージにおける、マニフェストの不一致をチェックする際に有効なツールが開発/公開された。先週に、GitHub/NPM の元 Engineering Manager である Darcy Clarke は、依存関係の中に潜むマルウェアや、インストール中のスクリプト実行の危険性をもたらす、”Manifest Confusion” の問題について警告を発した。”Manifest Confusion” という言葉が指すのは、JavaScript プログラミング言語用のパッケージ・マネージャーであり、Node.js 環境のデフォルトである NPM (Node Package Manager) のセキュリティ問題である。
Malicious PyPI Packages Use Compiled Python Code to Bypass Detection 2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。
Exploit released for RCE flaw in popular ReportLab PDF library 2023/05/31 BleepingComputer — HTML 入力から PDF ファイルを生成するために、数多くのプロジェクトで使用されている人気の Python ライブラリ ReportLab Toolkit に存在する。リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイトが公開された。昨日に GitHub で公開された、脆弱性 CVE-2023-33733 の PoC エクスプロイトには、技術的な詳細を提供する記事も含まれるため、現実世界における悪用の可能性が高くなる。ReportLab Toolkit は、PDF ライブラリとして複数のプロジェクトで利用されており、PyPI (Python Package Index) において、月間約 350万のペースでダウンロードされている。
“Kekw” Malware in Python Packages Could Steal Data and Hijack Crypto 2023/05/05 InfoSecurity — PyPI (Python Package Index) 上で発見された、Kekw と呼ばれる新しいマルウェアを取り込んだ、複数の有害な Python .whl ファイルが存在しているという。Cyble Research and Intelligence Labs (CRIL) の最新の調査によると、Kekw マルウェアは感染済のシステムからの機密情報の窃取および、暗号通貨取引をハイジャックするクリッパー・アクティビティなどを行うという。
Google delivers secure open source software packages 2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。
Python info-stealing malware uses Unicode to evade detection 2023/03/23 BleepingComputer — PyPI 上の悪意の Python パッケージが、難読化技術として Unicode を悪用することで検出を回避し、侵害したデバイスから開発者のアカウント情報などの機密データを、盗み出して流出させている。この onyxproxy と名付けられた悪意のパッケージは、ソースコード内で複数の Unicode フォントを組み合わせて使用している。それにより、悪意の関数を特定するための、自動スキャンや文字列照合といった防御を回避していく。Phylum のサイバー・セキュリティ専門家たちが onyxproxy を発見し、その手法を説明するレポートを発表している。
Researchers Uncover Obfuscated Malicious Code in PyPI Python Packages 2023/02/10 TheHackerNews — Python Package Index (PyPI) に侵入した4種類の悪意のパッケージが、マルウェア投下/netstat ユーティリティ削除/SSH authorized_keys ファイルの操作などの、数々の悪質なアクションを実行することが確認されている。問題のパッケージの名称は、aptx/bingchilling2/httops/tkint3rs であり、いずれも削除までの間に、450回ほどダウンロードされている。なお、aptx は Qualcomm の同名オーディオ・コーデックを模倣したものであり、httops と tkint3rs は、それぞれ https と tkinter のタイポスクワッティングである。
Malicious NPM, PyPI Packages Stealing User Information 2023/02/01 SecurityWeek — NPM/PyPI に存在するパッケージの中に、ユーザー情報の窃取と追加のペイロードをダウンロードの行うものあると、先日に Check Point と Phylum が警告を発した。アプリケーション開発において広く利用されているオープンソース・コードを悪用する脅威アクターたちは、開発者とユーザーをマルウェアに感染させるために、ソフトウェア・サプライチェーン攻撃を多用している。2022年10月の Sonatype のレポートによると、2022年に観測されたソフトウェア・サプライチェーン攻撃の数は、前年比 633% 増となっている。
New stealthy Python RAT malware targets Windows in attacks 2023/01/25 BleepingComputer — Python ベースの新しいマルウェアが発見されたが、侵入したシステムを操作するための (RAT:Remote Access Trojan) 機能を備えていることが判明した。脅威分析会社 Securonix の研究者により、PY#RATION と名付けられた新しい RAT は、WebSocket プロトコルを用いて C2 Server と通信し、被害者のホストからデータを流出させるものだ。同社の技術レポートでは、このマルウェアの動作が分析されている。PY#RATION キャンペーンが始まった 2022年8月以降において、複数のバージョンが確認されていることから、この RAT が活発に開発されていると、研究者たちは示唆している。
Experts detailed a previously undetected VMware ESXi backdoor 2022/12/13 SecurityAffairs — Juniper Networks の研究者たちが、VMware ESXi サーバを標的とする Python バックドアを発見した。この、2022年10月に発見されたバックドアに対する研究者たちの指摘は、インプラントの簡潔性/持続性/能力において注目に値するというものだ。侵害されたサーバのログ保持が限られていたことで、専門家たちは最初の侵害を特定できなかったが、ESXi の OpenSLP サービスにおける既知の脆弱性 (CVE-2019-5544/CVE-2020-3992) が悪用された可能性があると推測している。
XCSSET Malware Updates with Python 3 to Target macOS Monterey Users 2022/08/23 TheHackerNews — macOS マルウェア XCSSET のオペレーターは、そのソースコードを Python 3 にアップグレードすることで、macOS Monterey を侵害するための反復的な改良を行い、ステータスをアップさせている。SentinelOne の研究者である Phil Stokes と Dinesh Devadoss は「このマルウェア作者は、2020年の初期バージョンにおいては偽の Xcode.app に主要な実行ファイルを隠していたが、2021年には偽の Mail.app へと、そして、2022年には偽の Notes.app へと変更している」とレポートで述べている。
10 Credential Stealing Python Libraries Found on PyPI Repository 2022/08/09 TheHackerNews — Python Package Index (PyPI) から、パスワードや API トークンなどの重要なデータを取得する、10件の悪意のパッケージが削除された。イスラエルのサイバー・セキュリティ企業である Check Point は、月曜日の報告書で、「これらのパッケージは、攻撃者による悪意のツールのインストールを実行し、開発者の個人データや個人情報を盗むことを可能にする情」と述べている。
Multiple Backdoored Python Libraries Caught Stealing AWS Secrets and Keys 2022/06/24 TheHackerNews — 研究者たちは、一般公開されたエンドポイントへ向けて、AWS の認証情報/環境変数を流出させるよう設計された悪意の Python パッケージを、サードパーティの公式ソフトウェア・リポジトリで数多く発見した。Sonatype のセキュリティ研究者 Ax Sharma によると、それらのパッケージには loglib-modules/pyg-modules/pygrata/pygrata-utils/hkg-sol-utils が含まれていたが、現在では一連のエンドポイントも含めて削除されているとのことだ。彼は、「これらのパッケージのいくつかは、ユーザーの機密情報を窃取/流出させるコードを含んでいるか、その機能をもつ依存関係を使用している」と述べている。
4-Year-Old Bug in Azure App Service Exposed Hundreds of Source Code Repositories 202/12/22 TheHackerNews — Microsoft の Azure App Service におけるセキュリティ上の欠陥により、2017年9月から少なくとも4年間に渡り、Java/Node/PHP/Python/Ruby で書かれた、顧客アプリケーションのソースコードが公開されていたことが明らかになった。
Unnamed Ransomware gang uses a Python script to encrypt VMware ESXi servers 2021/10/05 SecurityAffairs — Sophos の研究者たちがランサムウェア攻撃を調査していたところ、Python スクリプトを使う攻撃者が、VMware ESXi サーバ上の仮想マシンを暗号化していたことが分かった。Sophos の研究者たちが調査した攻撃では、ランサムウェアのオペレーターが、最初の侵入から僅か3時間後に、VMware ESXi サーバの仮想ディスクを暗号化していた。
Spammers flood PyPI with pirated movie links and bogus packages 2021/05/21 BleepingComputer — Python ソフトウェア・パッケージの公式レポジトリである PyPI に、スパム・パッケージが殺到していると、BleepingComputer は認識している。これらのスパム・パッケージは、海賊版コンテンツを扱う Torrent や Warez などに見られるスタイルと同様に、さまざまな映画の名前が付けられている。また、それぞれが、固有の偽名のメンテナー・アカウントにより投稿されているため、PyPI によるパッケージとスパム・アカウントの一括削除が困難になっている。
AWS Under Siege: Attackers Target Vaults, Buckets, and Secrets in Widespread Campaign 2024/06/19 SecurityOnline — Amazon Web Services (AWS) 環境を標的とするキャンペーンは、クラウド・リソースの侵害を目的とした活動の、新たな流れを浮き彫りにしている。この DataDog Security Labs が発見したキャンペーンにおいて、攻撃者が採用する多方面からのアプローチは、Secrets Manager/S3 Bucket からと、これまで未開拓であった S3 Glacier vaults からの、データの抽出と流出に焦点を当てたものとなっている。
UNC3886 Uses Fortinet, VMware 0-Days and Stealth Tactics in Long-Term Spying 2024/06/19 TheHackerNews — Fortinet/Ivanti/VMware デバイスのゼロデイ脆弱性を悪用する、中国由来のサイバースパイ・アクターたちは、侵害した環境への自由なアクセスを維持するために、複数の永続化メカニズムを利用していることが確認されている。Mandiant の研究者たちは、「彼らの持続性メカニズムの対象となるのは、ネットワークデバイス/ハイパーバイザー/仮想マシンなどであり、プライマリ・レイヤーが検出/排除された場合であっても、代替チャネルが利用可能であることを保証している」と、最新レポート述べている。問題となっている脅威の主体は UNC3886 であり、Mandiant は、「洗練され、慎重で、回避的である」と評している。
CVE-2024-5480 (CVSS 10): Critical RCE Vulnerability in PyTorch Distributed RPC Framework 2024/06/07 SecurityOnline — PyTorch の分散 RPC (Remote Procedure Call) フレームワークに、深刻な脆弱性 CVE-2024-5480 が発見され、機械学習モデルや機密データに対するリモートコード実行 (RCE) 攻撃の可能性が生じている。この脆弱性は、セキュリティ研究者の xbalien により特定されたものであり、CVSS 値は最大の 10.0 と評価されている。分散トレーニング環境において PyTorch を利用している、ユーザーにとって急務なのは、速やかなパッチ適用である。
Hackers Target Python Developers with Fake “Crytic-Compilers” Package on PyPI 2024/06/06 TheHackerNews — Lumma (別名:ummaC2) 情報スティーラーを配信するように設計された悪意の Python パッケージが、Python Package Index (PyPI) リポジトリにアップロードされたことを、サイバー・セキュリティ研究者たちが発見した。このパッケージは、crytic-compile という正規ライブラリのタイポスクワット版であり、PyPI のメンテナにより削除されるまでに、441回もダウンロードされている。
CVE-2024-27348: Apache HugeGraph RCE Vulnerability, PoC Exploit Published 2024/06/04 SecurityOnline — Apache Software Foundation が発表したアドバイザリは、人気のグラフ・データベース HugeGraph に存在する、リモート・コード実行 (RCE) の脆弱性に関するものである。この深刻な脆弱性 CVE-2024-27348 は、Java 8/Java 11 上で実行されている、HugeGraph のバージョン 1.0.0 〜 1.2.1 に影響を及ぼす。
Kali Linux 2024.2 released with 18 new tools, Y2038 changes 2024/06/04 BleepingComputer — Kali Linux のバージョン 2024.2 がリリースされたが、そこには 18個の新しいツールと、Y2038 バグの修正が含まれる。Kali Linux は、サイバー・セキュリティ専門家や倫理的ハッカーのためのディストリビューションであり、ネットワークに対する侵入テスト/セキュリティ監査/調査などのために設計されている。2024年最初のアップデートにあたり Kali チームは、ウォールペーパー/ブートメニュー/ログイン表示の更新において、新しいビジュアル要素を追加している。
New PyPI Malware “Pytoileur” Steals Crypto and Evades Detection 2024/05/29 InfoSecurity — Python Package Index (PyPI) 上に、悪意のパッケージ pytoileur が存在していたことが、サイバーセキュリティ研究者たちにより明らかになった。その、Python で書かれた API 管理ツールと謳うパッケージには、トロイの木馬化された Windows バイナリを、ダウンロードしてインストールするコードが仕込まれていた。それらのバイナリは、監視の機能/永続化の確立/暗号通貨の窃取などを可能にするおのであり、ダウンローダーとして機能するパッケージは、Sonatype の自動マルウェア検出システムにより発見された後に、ただちに削除された。
MITRE December 2023 Attack: Threat Actors Created Rogue VMS To Evade Detection 2024/05/25 SecurityAffairs — MITRE Corporation は、昨年末に発生した攻撃に関するアップデート情報を公開した。MITRE は、研究/試作ネットワークの1つにセキュリティ侵害があったことを、2024年4月に明らかにしている。同組織のセキュリティ・チームは速やかに調査を開始し、脅威アクターをログアウトさせ、サードパーティの DFIR (Forensics and Incident Response) チームに依頼し、社内の専門家たちと共同で独自の分析を実施した。
CVE-2024-32114: High-Severity Vulnerability Exposed in Apache ActiveMQ 2024/05/02 SecurityOnline — Apache ActiveMQ は、最も人気のある Open-Source/Multi-Protocol/Java-based のメッセージ・ブローカーとして広く知られており、JavaScript/C/C++/Python/.Net などのプログラミング言語と、多様なクライアントソフトウェアとの間の通信を容易にする。さらに、AMQP のような標準プロトコルをサポートすることで、マルチ・プラットフォーム・アプリケーションを統合する際の、幅広い互換性と柔軟性を確保している。しかしながら、バージョン 6.x で発見された、深刻度の高いセキュリティ脆弱性 CVE-2024-32114 により、同プラットフォームのユーザーに重大なリスクが生じている。
CVE-2024-30251: Denial of Service Vulnerability in aiohttp Threatens Web Services 2024/05/02 SecurityOnline — Python アプリケーションにおいて、非同期 HTTP リクエスト処理を可能にする、人気の OSS ライブラリ aiohttp で、深刻な DoS の脆弱性 CVE-2024-30251 (CVSS:7.5) が発見された。この脆弱性の悪用に成功した攻撃者は、単一の不正な POST リクエストを送信することで、Web サービスを麻痺させることを可能にする。この脆弱性は、高性能な Web アプリケーション開発のために aiohttp に依存している、テクノロジー企業/Web 開発者/バックエンド・エンジニア/データ・サイエンティストたちにとって、重大な懸念事項となるだろう。
CVE-2024-2912: Critical ‘BentoML’ Flaw Opens AI Systems to Remote Takeover 2024/04/30 SecurityOnline — AI アプリケーションのビルド/デプロイに用いられる、人気の Python ベース・フレームワークである BentoML に、深刻なセキュリティ上の欠陥があることが明らかになった。この脆弱性 CVE-2024-2912 は、ソフトウェアがデータを処理する方法に起因し、BentoML を実行しているサーバ上で、攻撃者に任意のコード実行を許すものになる。
Palo Alto firewalls: CVE-2024-3400 exploitation and PoCs for persistence after resets/upgrades 2024/04/30 HelpNetSecurity — 4月30日に Palo Alto Networks は、同社の PAN-OS の脆弱性 CVE-2024-3400 の PoC (proof-of-concept) に関するアドバイザリを更新した。この PoC は、脆弱性の悪用に成功した攻撃者に、ファイアウォール上での永続化の獲得を可能にするものであり、同社は「現時点においては、これらの永続化テクニックを使用して、脆弱性を積極的に悪用しようとする悪意の試みは、確認されてない。これらのテクニックは、インタラクティブな root レベルのコマンド実行が可能な、すでに侵害されたデバイス上で機能する」と詳述している。
New R Programming Vulnerability Exposes Projects to Supply Chain Attacks 2024/04/29 TheHackerNews — プログラミング言語 R に新たに発見されたセキュリティ脆弱性 CVE-2024-27322 は、攻撃者が作成した悪意のRDS (R Data Serialization) ファイルを、読み込んで参照するとコードが実行され、侵害にいたるというものだ。この脆弱性について、AI アプリケーション・セキュリティ企業 Hidden Layer は、「R-lang における Promise オブジェクトの使用と遅延評価に起因する」と、The Hacker News に共有したレポートで述べている。
Palo Alto Firewalls Under Attack: Critical Flaw Exploited to Deploy Cryptojacking Malware 2024/04/28 SecurityOnline — いま、Palo Alto Networks の人気ファイアウォール・アプライアンスが、サイバー犯罪者の標的になっている。新たに公表された、深刻な脆弱性 CVE-2024-3400 の悪用に成功した攻撃者は、脆弱なファイアウォールをリモートから操作し、広範なデータ流出やシステムの混乱にいたるという懸念がある。この脆弱性は、PAN-OS の SESSID クッキーの操作に起因しており、それぞれのセッション最中に、root レベルのアクセス権を持つファイル作成が、不注意により許可されてしまうというものだ。この欠陥を悪用する攻撃者は、特別な権限やユーザー操作を必要とせずに、bash スクリプトの操作により、悪意のコードを実行できる。したがって、この脆弱性 CVSS 値は 10.0 と評価されている。
Bogus npm Packages Used to Trick Software Developers into Installing Malware 2024/04/27 TheHackerNews — 現在進行中のソーシャル・エンジニアリング・キャンペーンは、ソフトウェア開発者の就活をターゲットにする偽の npm パッケージを提供し、Python バックドアをダウンロードさせるというものだ。サイバー・セキュリティ企業の Securonix は、このキャンペーンを DEV#POPPER という名前で追跡しており、北朝鮮の脅威アクターと結びつけている。
Siemens Industrial Product Impacted by Exploited Palo Alto Firewall Vulnerability 2024/04/23 SecurityWeek — 最近に公表された Palo Alto ファイアウォールの脆弱性 CVE-2024-3400 は、遅くとも1ヶ月前から攻撃で悪用されており、 Siemens の産業用製品の1つに影響が生じたことが判明した。4月19日に公開したアドバイザリで Siemens は、Palo Alto の NGFW (Next-Generation Firewall) でコンフィグレーションされた、同社の Ruggedcom APE1808 デバイスが、CVE-2024-3400 の影響を受けている可能性があることを明らかにした。
Linux Systems Targeted: Open-Source Pupy RAT Exploited in Attacks Across Asia 2024/04/21 SecurityOnline — Pupy と呼ばれるパワフルな RAT (Remote Access Trojan) が、韓国を含むアジア全域の Linux システムを標的とした攻撃で積極的に武器化されている。AhnLab Security Emergency Response Center (ASEC) のセキュリティ研究者たちが、先日に発見したのは、Pupy の巧妙なオペレーションの存在であり、そこでは Decoy Dog という新たな亜種も用いられているという。
GPT-4 Can Exploit Most Vulns Just by Reading Threat Advisories 2024/04/19 DarkReading — GPT-4 を搭載した AI エージェントは、現実の世界のシステムに影響を及ぼしている、公開されている脆弱性の大半を、オンラインで読み込むだけで悪用できることが判明した。イリノイ大学アーバナ・シャンペーン校 (UIUC) が公開した最新の研究は、AI を悪用するサイバー脅威において、これまで 18ヶ月の間は停滞気味だった状況が、根本的に活性化する恐れがあるとしている。
Researchers Released Exploit Code For Actively Exploited Palo Alto PAN-OS Bug 2024/04/17 SecurityAffairs — Palo Alto Networks の PAN-OS に存在する、脆弱性 CVE-2024-3400 に関する技術的分析と、脆弱なファイアウォールでシェルコマンドの実行を証明する PoC エクスプロイトが、watchTowr Labs の研究者たちによりリリースされた。この脆弱性 CVE-2024-3400 (CVSS:10.0) は、Palo Alto Networks の PAN-OS ソフトウェアにおける、深刻なコマンド・インジェクションの欠陥である。
GitHub Developers Hit in Complex Supply Chain Cyberattack 2024/03/25 DarkReading — 正体不明の脅威グループが、Top.gg の GitHub のメンバーや開発者たちに対して高度なサプライチェーン攻撃を展開し、このコード・エコシステムに悪意のコードを注入していることが明らかになった。攻撃者は、信頼されているソフトウェア開発要素に侵入することで、開発者たちを侵害していく。彼らは、盗んだクッキーで GitHub アカウントを乗っ取り、検証済みのコミットを通じて悪意のコードを投稿し、偽の Python ミラーを確立し、PyPI レジストリに汚染されたパッケージを公開する。
CVE-2024-29190: SSRF Vulnerability Found in Popular Mobile App Testing Tool, MobSF 2024/03/24 SecurityOnline — Mobile Security Framework (MobSF) に存在する深刻な脆弱性が、. セキュリティ研究者たちにより発見された。この MobSF は、Android/iOS/Windows Mobile アプリケのセキュリティを、分析/テストするためのオープンソースツールであり、広く利用されている。
PoC Exploit Released for Critical Fortinet FortiClient EMS CVE-2023-48788 Flaw 2024/03/21 SecurityOnline — Fortinet FortiClient EMS (Enterprise Management Server) に存在する、深刻な脆弱性 CVE-2023-48788 (CVSS:9.3) に対する PoC エクスプロイト・コードが、Horizon3 のセキュリティ研究者たちにより公開された。この SQL インジェクションの脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で悪意のコードをリモートで実行することが可能になるため、企業ネットワーク全体が危険にさらされる恐れがある。なお、この脆弱性は、すでに野放し状態での悪用が確認されている。
Over 800 npm Packages Found with Discrepancies, 18 Exploitable to ‘Manifest Confusion’ 2024/03/21 TheHackerNews — npm レジストリに存在する、800 以上のパッケージのレジストリ・エントリに不一致であることが、サイバーセキュリティ企業 JFrog の新たな調査により判明した。不一致があったエントリのうちの 18 件は、 “Manifest Confusion” と呼ばれる手法を悪用していたという。JFrog によると、開発者を騙して悪意のコードを実行させるために、この問題が脅威アクターに悪用される可能性があるという。
GitHub Launches AI-Powered Autofix Tool to Assist Devs in Patching Security Flaws 2024/03/21 TheHackerNews — 3月20日に GitHub が発表したのは 、Advanced Security の全顧客を対象に、コードスキャン自動修正と呼ばれる機能を、パブリック・ベータ版として公開することである。GitHub の Pierre Tempel と Eric Tooley によると、「GitHub Copilot と CodeQL を搭載したコードスキャン自動修正機能は、JavaScript/TypeScript/Java/Python のアラート・タイプの 90%以上をカバーし、見つかった脆弱性の3分の2以上を、ほとんど編集せずに修正できるコード案を提供する」という。
IoT OT Security News 