Aiototsec

WordPress Events Calendar Plugin の脆弱性 CVE-2024-8275 が FIX：SQLi に至る恐れ

Critical SQL Injection Vulnerability Discovered in ‘The Events Calendar’ WordPress Plugin (CVE-2024-8275)

2024/09/25 SecurityOnline — 人気の WordPress プラグインである The Events Calendar に、深刻なセキュリティ上の欠陥が発見された。この脆弱性 CVE-2024-8275 (CVSS：9.8) は、バージョン 6.6.4 以下に影響を及ぼすものだ。Events Calendar plugin は、WordPress サイト上でのイベント・カレンダーの容易な作成／管理を実現するものであり、70万以上のアクティブ・インストール数を誇っている。このプラグインは、オンラインおよび F2F のイベントをサポートしており、また、プロフェッショナル向けの広範な機能を提供している。

Proxmox VE／MG の深刻な API 脆弱性 CVE-2024-21545 が FIX：機密データの漏えいの恐れ

Proxmox Virtual Environment and Mail Gateway Exposed to Critical API Vulnerability

2024/09/25 SecurityOnline — Proxmox の Virtual Environment および Mail Gateway に、深刻な脆弱性 CVE-2024-21545 (CVSS：8.2) が存在することが、Snyk Security Labs により発見された。この脆弱性が悪用されると、機密ファイルへの不正アクセスが可能となり、システム全体が侵害される恐れが生じる。この脆弱性は、API レスポンス処理における不十分な保護対策に起因するものであり、特定の特権を持つ攻撃者に対して、任意のホスト・ファイルのダウンロードを許すとされる。

GitLab の SAML 脆弱性 CVE-2024-45409：セキュリティ修正を拡張

GitLab backports fix for CVE-2024-45409 to older versions

2024/09/25 SecurityOnline — GitLab が 9月25日にリリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)／Enterprise Edition(EE) の全バージョンに影響を与える、深刻な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。セルフマネージド・インストールの管理者に対して強く推奨されるのは、新たにパッチが適用されたバージョン (16.10.10／16.9.11／16.8.10／16.7.10／16.6.10／16.5.10／16.4.7／16.3.9／16.2.11／16.1.8／16.0.10) へと直ちにアップグレードすることだ。これらのバージョンに含まれるのは、9月17日に GitLab バージョン 17.x.x/16.11.10 向けにリリースされたセキュリティ修正である。

SolarWinds WHD の脆弱性 CVE-2024-28987：PoC エクスプロイトが提供

PoC for critical SolarWinds Web Help Desk vulnerability released (CVE-2024-28987)

2024/09/26 HelpNetSecurity — SolarWinds Web Help Desk (WHD) の CVE-2024-28987 に関する詳細と PoC エクスプロイト・コードが公開された。この脆弱性は 2024年8月に修正されているが、その悪用に成功した攻撃者は認証を必要とすることなく、すべてのヘルプデスク・チケットの詳細をリモートで読み取り、変更する可能性を手にする。

CrowdStrike に対する米下院の公聴会：何が起こったのか？これからどうするのか？

House lawmakers question CrowdStrike exec over July IT outage

2024/09/24 NextGov — 9月24日 (火) に下院議員たちが CrowdStrike の幹部に対して、この７月に発生した大規模な世界規模の IT 障害について、また、顧客の OS コアと同社のサイバー・セキュリティ・ソリューションを結びつける必要性の有無について質問した。Homeland Security Committee のサイバー・セキュリティ小委員会で、この夏に約 850万台の Windows マシンに障害をもたらした、同社の欠陥のあるアップデートの導入を精査するという注目の公聴会で証言したのは、CrowdStrike の敵対者対策担当 VP の Adam Meyers である。

Chrome の App-Bound 暗号化を回避：わずか２ヶ月で達成したインフォ・スティーラー群とは？

Infostealers Overcome Chrome’s App-Bound Encryption, Threatening User Data Security

2024/09/24 SecurityOnline — 悪名高いインフォ・スティーラーの開発者が、Chrome バージョン 127 で導入された App-Bound 暗号化機能の回避に成功したと発表し、サイバー・セキュリティにおける懸念が示されている。つまり、これらの悪意のあるツールは、以前は暗号化により保護されていた認証 Cookie を収集できるようになり、ユーザー・データのプライバシーに対する新たな脅威を生じている。

pgAdmin の脆弱性 CVE-2024-9014 (CVSS 9.9) が FIX：OAuth2 認証の問題

CVE-2024-9014 (CVSS 9.9): pgAdmin’s Critical Vulnerability Puts User Data at Risk

2024/09/24 SecurityOnline — PostgreSQL データベースにおける主要 OSS 管理ツールである、pgAdmin に影響を及ぼす深刻な脆弱性に対処する、緊急セキュリティ・アップデートがリリースされた。この脆弱性 CVE-2024-9014 (CVSS：9.9) の悪用に攻撃者は、OAuth2 認証メカニズムを介してユーザー・データを侵害する可能性を手にする。

Ivanti vTM の脆弱性 CVE-2024-7593：CISA KEV への登録と PoC の悪用？

Critical Ivanti vTM auth bypass bug now exploited in attacks

2024/09/24 BleepingComputer — Ivanti に存在する別の重大なセキュリティ脆弱性に対して、CISA は新たにタグ付けした。この脆弱性の悪用に成功した攻撃者は、 Virtual Traffic Manager (vTM) アプライアンス上で不正な管理者ユーザーを作成できるため、積極的な攻撃において悪用されている。この認証バイパスの脆弱性 CVE-2024-7593 は、認証アルゴリズムの誤った実装により発生し、インターネットに公開されている vTM 管理パネル上において、リモート攻撃者による認証の回避を許すものだ。

AsyncRAT マルウェア：AI が生成する PowerShell スクリプトで配信

Hackers deploy AI-written malware in targeted attacks

2024/09/24 BleepingComputer — フランス語圏のユーザーを標的とするメール・キャンペーンで発見された、AsyncRAT マルウェアを配信する悪意のコードは、生成 AI サービスで作成されたと考えられている。生成 AI 技術は、サイバー犯罪者らにより、説得力のあるメールの作成に悪用されてきた。しかし、ベンダーが実装した保護策や制限にもかかわらず、AI ツールは悪意のソフトウェアの作成に悪用されていると、複数の政府機関が警告を発している。

イスラエルのレバノン侵攻と情報戦：以前から通信ネットワークに侵入していた？ – Al Jazeera

Did Israel infiltrate Lebanese telecoms networks?

2024/09/24 SecurityAffairs — 全面攻撃が差し迫っていることを理由にするイスラエルは、レバノン国民に対して、国内の特定地域から避難するよう警告するために、テキスト／ボイス・メッセージを送信し、無線ネットワークのハッキングを行っている。これらの警告の後に、レバノン南部と東部で大規模な爆撃があり、270人以上が犠牲となった。Al Jazeera によると、イスラエルの諜報機関は、長年にわたりレバノン国民のデータを収集してきたという。専門家たちは、イスラエルのサイバー軍が、レバノン全土の人々の、プライベートな通信の詳細にアクセスした可能性もあると推測している。

GNU/Linux システムの RCE 脆弱性 (CVSS 9.9)：情報開示とパッチ適用までに実施すべきは？

Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure

2024/09/23 SecurityOnline — GNU／Linux などの全てのシステムに対して、潜在的な影響を与える重大なセキュリティ脆弱性が、著名なセキュリティ研究家である Simone Margaritelli により発見された。Canonical や Red Hat などの業界大手も存在を認める、認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2024-7589／CVE-2024-38063 は、CVSS スコア 9.9 と評価されている。

Cisco Smart Licensing Utility の脆弱性 CVE-2024-20439 (CVSS 9.8) が FIX：直ちにアップデートを！

Researcher Details CVE-2024-20439 (CVSS 9.8) Flaw in Cisco Smart Licensing Utility

2024/09/23 SecurityOnline — Cisco Smart Licensing Utility (CSLU) に影響を及ぼす深刻な脆弱性 CVE-2024-20439 (CVSS：9.8) の詳細を、Hewlett Packard Enterprise 子会社である Aruba の脅威研究者 Nicholas Starke が公表した。この脆弱性の悪用に成功した未認証のリモート攻撃者は、静的な管理資格情報を介して管理者アクセス権の取得を達成するため、CSLU に依存している企業にとって大きな脅威が生じる。

Cellopoint SEG の脆弱性 CVE-2024-9043 が FIX：機密データが危険にさらされる

CVE-2024-9043 (CVSS 9.8): Cellopoint Secure Email Gateway Flaw Puts Sensitive Data at Risk

2024/09/23 SecurityOnline — Cellopoint Secure Email Gateway (SEG) に存在する脆弱性 CVE-2024-9043 が発見され、企業のメール・システムが重大なセキュリティ・リスクにさらされる可能性が生じている。この脆弱性の深刻度は CVSS スコアで 9.8 と高く評価されており、機密性の高い通信にメールを使用している、組織のセキュリティに与える影響が大きいことが示唆されている。このプラットフォームを使用している組織の管理者は、早急に対処する必要がある。

Apache Tomcat に脆弱性 CVE-2024-38286 が FIX：直ちにアップデートを！

CVE-2024-38286: Denial-of-Service Vulnerability Discovered in Apache Tomcat

2024/09/23 SecurityOnline — Apache Software Foundation が発表したセキュリティ・アドバイザリは、Tomcat で発見された脆弱性を悪用する攻撃者が、サービス拒否 (DoS) 攻撃を引き起こす可能性について警告するものである。この脆弱性 CVE-2024-38286 は “Important” と評価されており、すべてのプラットフォームにわたる、複数バージョンの Apache Tomcat に影響を及ぼす。

WordPress の Houzez テーマに深刻な脆弱性：大量のサイトが危殆化している

WordPress Theme ‘Houzez’ and Associated Plugin Vulnerabilities Expose Thousands of Sites

2024/09/23 SecurityOnline — 広く使用されている WordPress テーマの Houzez と、関連プラグイン Houzez Login Register に、２つの重大な脆弱性が発見された。46,000 件を超える販売実績を誇る Houzez は、コンテンツと物件リストを効率的に管理する不動産会社にとって人気の選択肢である。この、新たに特定された脆弱性の悪用に成功した権限のないユーザーが、Houzez テーマを用いる WordPress サイトを乗っ取る可能性が生じており、リスクの広がりが懸念されている。

Google Play に潜む Necro というトロイの木馬：著名なアプリを感染させてユーザーを狙う

Necro Trojan Infects Google Play Apps With Millions of Downloads

2024/09/23 SecurityWeek — マルウェア対策ベンダーの Kaspersky の報告で判明したのは、公式 Google Play ストアにおいて、合計約1,100 万回もダウンロードされた２つのアプリが、トロイの木馬 Necro に感染していることだ。2019 年の時点でマルチステージ・ローダー Necro は、Google Play で１億回以上ダウンロードされた Phone PDF 作成アプリ CamScanner に感染し、その後に発見されている。

FreeBSD の脆弱性 CVE-2024-41721 が FIX ：任意のコード実行が生じる恐れ

FreeBSD Issues Critical Security Advisory for CVE-2024-41721 (CVSS 9.8)

2024/09/22 SecurityOnline — FreeBSD の bhyve hypervisor に、深刻な脆弱性 CVE-2024-41721 (CVSS：9.8) が発見された。この脆弱性は、bhyve の USB エミュレーション機能に存在し、仮想 USB コントローラ (XHCI) 上のデバイス・エミュレーションが有効な場合に影響を及ぼすものだ。この脆弱性の悪用に成功した攻撃者は、悪意のコード実行を達成し、脆弱な FreeBSD システムに深刻な脅威をもたらす可能性を手にする。

Dragonfly2 の脆弱性 CVE-2023-27584 が FIX：ハードコードされた暗号化キーによる Admin 侵害

Critical Dragonfly2 Flaw CVE-2023-27584: Hardcoded Key Threatens Admin Access

2024/09/22 SecurityOnline — Peer-to-Peer (P2P) をベースとするファイル配信システムを、オープンソースとして提供する Dragonfly2 に、深刻なセキュリティ脆弱性 CVE-2023-27584 (CVSS：9.8) が発見された。この脆弱性は、認証プロセスで使用される、ハードコードされた暗号化キーに起因するものであり、管理者権限での不正アクセスも許してしまうため、システムへの攻撃の可能性が生じる。

Grafana Plugin SDK の脆弱性 CVE-2024-8986 が FIX：機密情報の漏えいに至る恐れ

CVE-2024-8986 (CVSS 9.1): Critical Grafana Plugin SDK Flaw Exposes Sensitive Information

2024/09/22 SecurityOnline — Grafana Plugin SDK for Go に、重大なセキュリティ脆弱性 CVE-2024-8986 (CVSS：9.1) が発見された。この脆弱性に悪用により、リポジトリ認証情報などの機密情報の漏洩につながる可能性が生じている。Grafana Plugin SDK は、Go プログラミング言語を使用するバックエンド・プラグインの、容易な開発を目的として設計されている。しかし、Grafana Labs のアドバイザリによると、それらのプラグインでは、コンパイル済みバイナリにビルド・メタデータがバンドルされているという。このメタデータには、git remote get-url origin コマンドを実行することで取得される、プラグインで使用されるリポジトリ URI が含まれる。

Keycloak の脆弱性 CVE-2024-8698 が FIX：認証回避の恐れ

CVE-2024-8698: Keycloak Vulnerability Puts SAML Authentication at Risk

2024/09/22 SecurityOnline — セキュア ID とアクセス管理のために広く利用される、Keycloak の SAML 署名検証プロセスに、深刻度の高い脆弱性が発見された。この脆弱性 CVE-2024-8698 の悪用に成功した攻撃者は、認証メカニズムを回避し、権限昇格やなりすまし攻撃の可能性を手にする。

Interactive PDF Analysis：脅威を検出するオープンソース・フォレンジック・ツール

Interactive PDF Analysis: An Open Source Forensic Tool for Threat Detection

2024/09/21 SecurityOnline — 今日のデジタル社会において、PDF ファイルは欠かせない存在であり、ビジネス文書からユーザー・マニュアルに至るまでの、あらゆる用途で使用されている。しかし、その他のフォーマットと同様に PDF も、悪意のペイロードの拡散に悪用される可能性があり、サイバー攻撃の標的となることが多い。そこで役立つのが、IPA (Interactive PDF Analysis) である。IPA は、セキュリティ・アナリストが PDF ファイルの隠れた構造を深く掘り下げ、潜在的な脅威を明らかにするために設計された、強力なオープンソース・ツールである。

Versa Director の重大な API 脆弱性 CVE-2024-45229 が FIX：直ちにパッチ適用を！

Versa Networks Exposes Critical API Vulnerability in Versa Director (CVE-2024-45229)

2024/09/20 SecurityOnline — Versa Networks が発表したのは、同社の Versa Director で発見された脆弱性 CVE-2024-45229 (CVSS：6.6) に関するセキュリティ勧告である。この脆弱性の悪用により、機密性の高いユーザー認証トークンが漏洩する可能性があり、企業ネットワークが危険にさらされる。

Passkeys のための Google PIN コード：PC と Android を連携させる保護機能が進化

Chrome Users Can Now Sync Passkeys Across Devices with New Google PIN Feature

2024/09/20 TheHackerNews — 9月19日 (木) に Google が発表したのは、Windows／macOS／Linux／ChromeOS／Android デバイス間で、Chrome ユーザーが Passkeys を同期するための Password Manager PIN のリリースである。Chrome の MP である Chirag Desai は、「この PIN により、さらにセキュリティは強化され、Passkeys は End-toEnd で暗号化され、誰もアクセスできないようになる。もちろん、Google もアクセスできない。この PIN のデフォルトは６桁のコードだが、”PIN Option” を選択すれば、より長い英数字の PIN を作成できる」と述べている。

Tor Project がピンチ？ドイツの法執行機関が主張する匿名性剥奪の手法とは？

Tor Project responded to claims that law enforcement can de-anonymize Tor users

2024/09/20 SecurityAffairs — ドイツの法執行機関が主張する、ユーザーの匿名性を剥奪する手法の考案に対して、Tor プロジェクトのメンテナたちが反応している。ドイツのメディアによると、同国の法執行機関は匿名化ネットワークに侵入し、少なくとも１件のケースで犯罪者の正体を暴いたという。このドイツの法執行機関は、独自のサーバを運用することで、数ヶ月にわたり Tor ネットワークを監視してきた。ARD のPanorama と STRG_F が実施した調査では、監視中に収集されたデータは統計的手法を介して処理され、Tor の匿名性を事実上破っていることが明らかになった。

Ivanti CSA 4.6 の脆弱性 CVE-2024-8963：EoL へのパッチ提供と CISA KEV 登録

Critical Flaw in Ivanti CSA 4.6: CVE-2024-8963 Actively Exploited, Urgent Upgrade Required

2024/09/19 SecurityOnline — Ivanti が公表したのは、Ivanti Connect Secure Appliance (CSA) 4.6 に存在する重大な脆弱性のアドバイザリである。この脆弱性 CVE-2024-8963 (CVSS：9.4) に関しては、すでに積極的な悪用が確認されており、Ivanti CSA の EOL (End-of-Life) バージョンのユーザーに対して重大なリスクをもたらしている。

Veeam の脆弱性 CVE-2023-27532 を悪用：Phobos ランサムウェアがナイジェリアを攻撃

Ransomware Groups Exploit Veeam Flaw CVE-2023-27532 in Nigerian Cyber Infrastructure

2024/09/19 SecurityOnline —

ナイジェリアの Computer Emergency Response Team (ngCERT) が、9月13日に緊急アドバイザリを公開した。この勧告は、ナイジェリア全土の重要なシステムを標的にするランサムウェア・グループに関するものであり、Veeam Backup and Replication (VBR) の深刻度の高い脆弱性 CVE-2023-27532 (CVSS 7.5) に焦点を当てたものとなっている。この脆弱性は、ナイジェリアのサイバー空間における最近のランサムウェア攻撃において、すでに悪用が確認されており、その中には Phobos ランサムウェア・グループによる巧妙なインシデントも含まれる。

Fortinet EMS の脆弱性 CVE-2023-48788：悪用に関する詳細が公開 – Darktrace

CVE-2023-48788 Exploited: Researcher Details Cyberattacks on Fortinet EMS

2024/09/19 SecurityOnline — Fortinet FortiClient EMS の脆弱性に対する、サイバー犯罪者による悪用を詳述するレポートが、Darktrace のサイバーセキュリティ研究者から発表された。同レポートでは、特に CVE-2023-48788 という重大な脆弱性に焦点を当て、さまざまな環境で観測された巧妙な攻撃チェーンと悪用後の戦術の概要が詳述されている。エンドポイント・セキュリティの集中管理に広く使用されている、FortiClient EMS に存在する SQLインジェクション脆弱性 CVE-2023-48788 は、は、CVSS スコア 9.8 と評価されている。

Ivanti CSA の脆弱性 CVE-2024-8190 と PoC の提供：CISA KEV にも登録

PoC Exploit Releases for Exploited Vulnerability CVE-2024-8190 in Ivanti Cloud Services Appliance

2024/09/19 SecurityOnline — Ivanti Cloud Services Appliance に存在する、OS コマンド・インジェクションの脆弱性 CVE-2024-8190 に対する PoC エクスプロイト・コードが公開され、デバイスのアップデートが急務となっている。 PoC エクスプロイトを公開した Horizon3.ai のセキュリティ研究者である Zach Hanley は、この脆弱性を詳細に調査し、ミスコンフィグされたネットワークが、組織に重大なリスクをもたらす可能性があることを明らかにした。

Acronis Backup プラグインの脆弱性 CVE-2024-8767 (CVSS 9.9)：直ちにアップデートを！

Acronis Backup Plugins Hit by CVE-2024-8767: CVSS 9.9 Severity Alert

2024/09/19 SecurityOnline — Acronis が 9月16日にリリースしたセキュリティ勧告は、cPanel／Plesk／DirectAdmin などのサーバ管理プラットフォーム向けに提供される、同社のバックアップ・プラグイン群に存在する、重大なセキュリティ脆弱性について警告するものだ。この CVE-2024-8767 として特定された脆弱性は、ユーザーに深刻なリスクをもたらすものであり、その深刻度は Critical (CVSS：9.9) に分類されている。

Earth Baxia サイバー・スパイ：GeoServer の CVE-2024-36401 を武器にして APAC を狙う

Sophisticated Cyber Espionage: Earth Baxia Uses CVE-2024-36401 and Cobalt Strike to Infiltrate APAC

2024/09/19 SecurityOnline — サイバースパイ集団 Earth Baxia が、洗練されたスピアフィッシング攻撃と、GeoServer の脆弱性 CVE-2024-36401 の悪用を通じて、台湾の政府機関や APAC 諸国を標的にしていることが、最近の Trend Micro のレポートにより判明した。この攻撃は、通信／電力／政府などの主要セクターに侵入する、従来からの継続的な取り組みの一環だとされる。

ヒズボラの通信デバイスを爆発させた組織：その驚異的な諜報能力とは？ – 元 NSA 長官

Device detonations reveal ‘incredible’ intelligence abilities: ex-NSA chief

2024/09/19 NextGov — ヒズボラの数千台ものデバイスが爆発したことについて、9月19日 (水) に元 NSA 長官が語ったことは、イスラエルの驚くべき情報収集能力を示すと同時に、世界のサプライチェーンが抱える潜在的な脆弱性を浮き彫りにするものだ。National Security Agency 局長と、U.S. Cyber Command 指揮官を歴任してきた Paul Nakasone は、「犯人たちは、標的を定めて情報収集する驚くべき能力を持ち、実際にデバイスのシリアル番号を把握し、それを保有する人物と、それが使用される周期を掌握していた」と語っている。

Windows MSI Installers の脆弱性 CVE-2024-38014 が FIX：以前からの積極的な悪用とは？

Researchers Detail CVE-2024-38014 0-Day Vulnerability in Windows MSI Installers Exploited in the Wild

2024/09/18 SecurityOnline — Microsoft Windows MSI インストーラーに影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38014 が発見され、パッチ未適用のバージョンが悪用されていると、SEC Consult Vulnerability Lab のセキュリティ研究者 Michael Baer は分析している。この重大な脆弱性の悪用に成功した攻撃者は、SYSTEM 権限への昇格を達成する。また、この脆弱性は、MSI インストーラーの修復機能に関係しており、最近の修正プログラムが Microsoft から公開される以前において、積極的に悪用されていたという。

Next.js の脆弱性 CVE-2024-46982 が FIX：キャッシュ・ポイズニング攻撃の可能性

Next.js Vulnerability CVE-2024-46982: Cache Poisoning Exploit Threatens Deployments

2024/09/18 SecurityOnline — 進化のペースが速い Web 開発の世界では、常にセキュリティが懸念事項となっている。そのような傾向がみられるのは、特に Next.js のような、高トラフィックのアプリケーションを実行するプラットフォームにおいてとなる。前日に Next.js チームが公表したのは、このフレームワークの特定のバージョンに影響し、特定のデプロイメントがキャッシュ・ポイズニング攻撃にさらされる原因となる、新たな脆弱性 CVE-2024-46982 に関する情報である。

Chrome V8 JavaScript のゼロデイ脆弱性 CVE-2024-7965：PoC エクスプロイトが提供

PoC Exploit Released for CVE-2024-7965 Zero-Day Chrome Vulnerability

2024/09/18 SecurityOnline — 先日に発見された Chrome V8 JavaScript エンジンのゼロデイ脆弱性 CVE-2024-7965 に対する、技術的な詳細と PoC エクスプロイトが公開された。BI.ZONE の専門家が分析したところ、この重大な欠陥は、特に Android スマートフォンと macOS ラップトップにとって、深刻な脅威になり得るという。

Safe C++ Extensions の提案：複雑化する開発エコシステムの強化が目的

The Safe C++ Extensions Proposal: Strengthening Security in a Complex Ecosystem

2024/09/18 SecurityOnline — 長年のメモリ安全性の懸念に対処するための決め手となる動きとして、C++ コミュニティは Safe C++ Extensions 提案を発表し、この言語における重要な瞬間を迎えようとしている。2年間にわたる綿密な議論を経て、C++ を強化することを目的とする、この提案が生まれた。C++ は、そのパワーと柔軟性で支持を得ているが、バッファ・オーバーフローや解放後使用 (UAF) エラーなどの、メモリ関連の問題に対する脆弱性が多発すると批判される言語でもある。

IRTF が RFC 9620 を発行：インターネット・プロトコルにおける人権の擁護と向き合うために

RFC 9620: A Call for Human Rights in Internet Protocols

2024/09/18 SecurityOnline — The Internet Research Task Force (IRTF) は、プロトコルおよびアーキテクチャを開発する人々の注意を、重要である人権問題に向けることを目的とした、新しいドキュメント RFC 9620 をリリースした。このドキュメントは、情報提供を目的としたものであり、必須のスタンダードではない。ただし、その作成者が期待するのは、通信技術の作成と改善において、エンジニアのための貴重なガイドとなることだ。

CISA KEV 警告 24/09/18：Apache／Microsoft／Oracle の脆弱性を登録

CISA Warns of Actively Exploited Apache, Microsoft, and Oracle Vulnerabilities

2024/09/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、世界中の政府の機関／組織に対して警告を発している。新たに特定された、それらの５つ脆弱性は、悪意の攻撃者により積極的に悪用されているものだ。CISA の KEV カタログに追加された脆弱性は、一般的なソフトウェアに対する悪用が確認されたものであり、パッチが適用されていないシステムに深刻なリスクをもたらす。

LibreOffice の脆弱性 CVE-2024-7788 が FIX：”Repair Mode” における欠陥を排除

LibreOffice Vulnerability (CVE-2024-7788): Exploit of “Repair Mode” Signatures Raises Security Concerns

2024/09/18 SecurityOnline — 新たに公開されたセキュリティ・アドバイザリで The Document Foundation は、LibreOffice のドキュメント回復メカニズムに影響を及ぼす、深刻度の高い脆弱性 CVE-2024-7788 (CVSS：7.8) を明らかにした。この脆弱性が浮き彫りにするのは、破損した zip ベースのファイル形式を扱う場合の、ソフトウェアの “Repair Mode” 機能に重大なリスクがあることだ。LibreOffice のユーザーに対して強く推奨されるのは、このソフトウェアをバージョン 24.2.5／24.8.0 へとアップデートして脆弱性を修正し、システムを保護することである。

CISA／FBI の共同アラート：XSS バグの排除へ向けたアドバイスを公開

CISA Issues Advice to Help Eliminate XSS Bugs

2024/09/18 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と FBI は、最も一般的なソフトウェア脆弱性の１つを排除するコーディングの、ベスト・プラクティスに関する認識を高めることを目的とした、共同の Secure by Design Alert を公開した。9月18日に公開された、同アラート “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” は、ソフトウェアに現れる XSS (cross-site scripting )バグの数を減らすことを目的としている。

macOS カレンダーのゼロクリック RCE 脆弱性：連鎖により iCloud データが流出

Zero-Click RCE Bug in macOS Calendar Exposes iCloud Data

2024/09/18 DarkReading — macOS に存在する、複数のゼロクリック脆弱性を連鎖させることに成功した攻撃者は、 macOS のセキュリティ保護を弱体化させ、被害者の iCloud データへの侵害を可能にすることが判明した。この一連の攻撃は、カレンダーのイベントに添付されたファイルの、サニタイズ処理の欠如から始まる。そこから、攻撃者は標的のシステム上でリモート・コード実行 (RCE) を達成し、機密データにアクセスできることが、研究者の Mikko Kenttala により発見された。

Google Chrome 129 の緊急アップデート：CVE-2024-8904 など９つの脆弱性を FIX

Chrome 129 Patches High-Severity Vulnerability in V8 Engine

2024/09/18 SecurityWeek — Google は 9月17日に Chrome 129 のアップデートを発表し、外部から報告された６件を含む、９件の脆弱性に対するパッチを適用した。外部から報告された脆弱性の中で最も深刻なものは、深刻度 High に分類されている、V8 JavaScript エンジンにおけるタイプ・コンフュージョン脆弱性 CVE-2024-8904 だ。

GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX：直ちにアップデートを！

GitLab releases fix for critical SAML authentication bypass flaw

2024/09/18 BleepingComputer — GitLab リリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)／Enterprise Edition(EE) のセルフマネージド・インストールに影響を与える、重大な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。SAML (Security Assertion Markup Language) とは、ユーザーが同じ認証情報を使用して異なるサービスにログインするための、SSO (Single Sign-On) 認証プロトコルである。脆弱性 CVE-2024-45409 は、GitLab が SAML ベースの認証を処理するために使用している、OmniAuth-SAML／Ruby-SAML ライブラリの問題に起因する。

Windows Kernel の脆弱性 CVE-2024-37985：ゼロデイとして勧告を更新

Microsoft Confirms CVE-2024-37985 as Zero-Day Bug in Windows

2024/09/17 SecurityOnline — 9月17日に Microsoft Security Response Center (MSRC) は、2024年7月9日の時点で公表された脆弱性 CVE-2024-37985 (CVSS：5.9) を、ゼロデイ脆弱性であるとしてセキュリティ勧告を更新した。この脆弱性は、Windows カーネルに存在する情報漏えいの脆弱性として分類されており、システム・セキュリティに対する重大な脅威となる可能性がある。

Red Hat OpenShift の重大な脆弱性 CVE-2024-45496／7387 が FIX：直ちにアップデートを！

Critical Flaws in Red Hat OpenShift: CVE-2024-45496 (CVSS 9.9) & CVE-2024-7387 (CVSS 9.1)

2024/09/17 SecurityOnline — ハイブリッド・クラウド・プラットフォームである Red Hat OpenShift に、２つの重大な脆弱性が発見された。同ツールは、その堅牢なセキュリティ機能で知られ、Global Fortune 500 の大部分を含む 3,000社以上の顧客から支持を得ている。OpenShift Container Platform のビルドプロセスを標的とする攻撃者に、これらの脆弱性 CVE-2024-45496／CVE-2024-7387 が悪用されると、任意のコマンド実行を許すことになり、影響を受けるノードでの権限昇格の可能性が生じる。

Veeam Backup & Replication の RCE 脆弱性 CVE-2024-40711：PoC エクスプロイトが提供

PoC Exploit Releases for Unauthenticated RCE CVE-2024-40711 in Veeam Backup & Replication

2024/09/17 SecurityOnline — Veeam Backup & Replication の脆弱性 CVE-2024-40711 (CVSS：9.8) に対する分析と PoC エクスプロイト・コードが、watchTowr のセキュリティ研究者である Sina Kheirkhah (@SinSinology) から公開された。この脆弱性は、リモート・コード実行 (RCE) の脆弱性と説明されており、Veeam Backup & Replication 12.1.2.172 以下を実行しているユーザー企業の環境に、深刻な脅威をもたらすものだ。

VMWare vCenter Server の脆弱性 CVE-2024-38812／38813 が FIX：RCE が生じる恐れ

VMware Patches Remote Code Execution Flaw Found in Chinese Hacking Contest

2024/09/17 SecurityWeek — Broadcom 傘下の VMware が 9月17日にリリースしたパッチは、vCenter Server プラットフォームの２つの深刻な脆弱性に対処するものだ。１つ目の脆弱性 CVE-2024-38812 (CVSS：9.8) は、vCenter Server 内の分散コンピューティング環境／DCERPC (Remote Procedure Call) プロトコルの実装における、ヒープ・オーバーフローの脆弱性である。この脆弱性について VMware は、サーバに対してネットワーク・アクセスが可能な攻撃者が、特別に細工されたパケットを送信して、リモート・コード実行を達成する恐れがあると警告している。

Ivanti CSA の脆弱性 CVE-2024-8190：勧告の公開数日後に悪用を観測

Ivanti Cloud Bug Goes Under Exploit After Alarms Are Raised

2024/09/17 DarkReading — 9月10日にアドバイザリが公開されたばかりの、Ivanti Cloud Service Appliance (CSA) の脆弱性 CVE-2024-8190 (CVSS：7.2) が、実環境で悪用されていることが判明した。Ivanti のアドバイザリでは、「この脆弱性の悪用には、管理者レベルの権限を必要となるが、悪用が成功してしまうと、ユーザー・デバイスへの不正アクセスを許す可能性がある」と警告されている。

Faraday は OSS の脆弱性管理プラットフォーム：90種類以上のデータを統合

Faraday: Open Source Vulnerability Management Platform

2024/09/16 SecurityOnline — 今日の複雑なサイバー・セキュリティ環境において、それぞれのセキュリティ・チームは新しい脆弱性を発見し、修復作業を効率的に管理するという、2つの課題に直面している。このギャップを埋める強力なソリューションとして登場した Faraday は、脆弱性管理／コラボレーション／一元化された自動化プラットフォームを提供している。

Windows Hyper-V のゼロデイ脆弱性 CVE-2024-38080：PoC エクスプロイトが提供

PoC Exploit Released for Windows Hyper-V Zero-Day Vulnerability CVE-2024-38080

2024/09/16 SecurityOnline — Windows Hyper-V の修正済みゼロデイ脆弱性 CVE-2024-38080 (CVSS 7.8) に関する、詳細な分析と PoC エクスプロイト・コードが、セキュリティ研究者の Pwndorei により公開された。すでに実環境での積極的な悪用が観測されている、この脆弱性は、攻撃者に SYSTEM への権限昇格を許すものであるため、Windows Hyper-V のユーザー組織にとって深刻なリスクとなる。

AutoGPT の脆弱性 CVE-2024-6091 (CVSS 9.8) が FIX：PoC エクスプロイトが提供

166k+ Projects at Risk: AutoGPT’s Critical Vulnerability Explained – CVE-2024-6091 (CVSS 9.8)

2024/09/16 SecurityOnline — インテリジェント・エージェントによるタスク自動化を目的に設計された、パワフルな AI ツール AutoGPT に、重大なセキュリティ脆弱性が発見された。AutoGPT は、その複雑な操作を効率化する機能で高い評価を得ており、GitHub では 166,000 件以上のスターを獲得している。しかし、CVSS スコア 9.8 という、きわめて深刻な OS コマンドインジェクション脆弱性 CVE-2024-6091 が報告され、シェルコマンド実行機能に関するセキュリティ上の懸念が浮上している。