CVE-2024-36401 (CVSS 9.8): Critical GeoServer Flaw Under Active Attack, PoC Available
2024/07/15 SecurityOnline — 7月15日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、地理空間データ用のオープンソース・ソフトウェア・サーバとして人気の OSGeo GeoServer GeoTools に存在する、脆弱性 CVE-2024-36401 を KEV カタログに追加した。この脆弱性は、脅威アクターたちにより積極的に悪用されており、GeoServerを使用している組織にとって、早急なパッチ適用が最優先事項となっている。
Continue reading “CISA KEV 警告 24/07/15:GeoServer の脆弱性 CVE-2024-36401 を登録:PoC も提供”CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities
2024/07/11 InfoSecurity — 米国政府からソフトウェア・メーカーへの要請は、OS コマンド・インジェクションの脆弱性の解消に取り組むべきというものだ。この、Cybersecurity and Infrastructure Security Agency (CISA) とFBI の警告は、ネットワーク・エッジ・デバイスの OS コマンド・インジェクションの欠陥を悪用してユーザーを危険にさらすという、2024年に注目された複数の脅威アクターたちのキャンペーンを受けたものである。
Continue reading “CISA が要請する OS コマンド・インジェクション脆弱性の排除とは? – Security by Design”Japan warns of attacks linked to North Korean Kimsuky hackers
2024/07/10 BleepingComputer — 北朝鮮の脅威アクターである Kimsuky が、日本の組織を攻撃の標的にしていると、JPCERT/CC (Japan’s Computer Emergency Response Team Coordination Center) が警告している。この Kimsuky は、北朝鮮の APT (advanced persistent threat) グループだと米国政府は位置づけている。同グループは、北朝鮮政府にとって関心のある情報を収集するために、世界中の標的に対して攻撃を行っている。
Continue reading “北朝鮮のハッカー Kimsuky が日本の組織を標的にしている – JPCERT/CC”CISA Adds Cisco Nx-Os Command Injection Bug To Its Known Exploited Vulnerabilities Catalog
2024/07/08 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cisco NX-OS コマンド・インジェクション脆弱性 CVE-2024-20399 を、KEV カタログに 追加した。今週に Cisco は、NX-OS のゼロデイ脆弱性 CVE-2024-20399 (CVSS:6.0) 対処している。この脆弱性を悪用する中国由来の Velvet Ant が、root として未知のマルウェアを展開するために、脆弱なスイッチを悪用している。
Continue reading “CISA KEV 警告 24/07/02:Cisco NX-OS の脆弱性を悪用する中国由来の Velvet Ant”ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached
2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約3年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア/ヨーロッパ/南米などの、複数の地域の政府機関に影響を及ぼしている。
Continue reading “ProxyLogon/ProxyShell の脆弱性が復活:政府機関の電子メールが侵害される”Prudential Financial now says 2.5 million impacted by data breach
2024/07/01 BleepingComputer — 世界的な金融サービス企業である Prudential Financial は、2024年2月に発生したデータ侵害の影響により、250万人以上の個人情報が漏洩したことを明らかにした。Prudential が米国証券取引委員会 (SEC) に提出した Form 8-K によると、サイバー犯罪グループと思われる攻撃者が同社のシステムに侵入し、管理者およびユーザーのデータや、従業員および契約者のアカウントにアクセスしたという。そして、侵害の翌日である 2月5日に、この事件を検知したという。
Continue reading “Prudential のセキュリティ侵害と ALPHV の犯行声明:250万人以上の顧客情報が流出”Microsoft Alerts More Customers to Email Theft in Expanding Midnight Blizzard Hack
2024/06/28 SecurityWeek — ロシアのハッキング・グループ Midnight Blizzard による、Microsoft の企業インフラへのハッキングの衝撃が、さらなる広がりを見せている。Microsoft とユーザー企業間のメールも盗まれていたという、顧客に対する新たな通知が発行されたのだ。この、2024年1月に発生した大規模な侵害で、Microsoft のソースコードとEメールが流出したことで、同社に対する米国政府の調査とセキュリティ慣行の大幅な見直し要求へと発展した。しかし、新たに発見された侵害の内容により、より広範なユーザー企業にも被害が及んでいたことが判明した。
Continue reading “Midnight Blizzard による Microsoft 侵害:顧客のEメール流出も判明”2024/06/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、以下の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した:
CISA: Most critical open source projects not using memory safe code
2024/06/26 BleepingComputer — 6月26日に米国の CISA が公開したレポートは、メモリ欠陥の影響の受けやすさについて、172件の主要オープンソース・プロジェクトを調べた結果をまとめたものだ。CISA/FBI/ASD (Australian Signals Directorate)/ACSC (Australian Cyber Security Centre)/CCCS (Canadian Centre for Cyber Security) によるレポートは、2023年12月に発表された “Case for Memory Safe Roadmaps” に続くものであり、メモリ・セーフなコードの重要性に対する、認識を高めることを目的としている。
Continue reading “CISA/FBI などの共同勧告:多くの OSS プロジェクトで Memory Unsafe 言語が使用されている”Dark Web Sees 230% Rise in Singapore Identity Theft
2024/06/25 InfoSecurity — シンガポール国民から盗んだ個人情報を流通させる、ダークウェブ活動が大幅に増加していることを明らかになった。6月24日に Resecurity が公開したアドバイザリによると、サイバー犯罪者たちが販売している一連の盗難データが、詐欺/ID 窃盗/なりすまし詐欺/Know Your Customer (KYC) プロトコル回避などに悪用されるという。同社による指摘は、シンガポールのユーザーから盗み出した ID データを販売するアンダーグラウンド業者が、前年比で 230% 増加しているというものだ。この急増と、データ侵害の増加は連動しており、消費者情報を保存する各種のオンライン・プラットフォームを危険にさらしている。
Continue reading “シンガポールの個人情報とダークウェブ:アンダーグラウンド取引が前年比で 230% 増 – Resecurity”Wikileaks Founder Julian Assange Is Free
2024/06/25 SecurityAffairs — 米国における機密情報漏えいに関与したとして起訴され、ロンドンのベルマーシュ刑務所に5年間収監されていた、Wikileaks の創設者である Julian Assange が釈放された。彼は、サイパンの裁判所に出廷した後に、母国のオーストラリアに帰国予定だという。
Continue reading “Wikileaks 創設者の Julian Assange が釈放:ロンドンでの5年間の収監が終わる”Bug Bounty Programs, Hacking Contests Power China’s Cyber Offense
2024/06/18 DarkReading — これまでの 10年間を振り返ってみると、中国のサイバー・セキュリティ専門家は、世界的なエクスプロイト・コンテストや、バグ・バウンティ・プログラムへの遠慮がちな参加者から、これらの分野における支配的なプレーヤーへと進化している。そして、中国政府は、この戦利品を国家のサイバー攻撃力強化に活用している。
Continue reading “中国のサイバー Offense/Defense パワー:世界の脆弱性情報エコシステムとの関係を考察する – ETH Zurich”Microsoft Admits Security Failings Allowed China to Access US Government Emails
2024/06/14 InfoSecurity — 2023年の夏に中国に支援されるハッカーが、米国政府高官の電子メールにアクセスしたインシデントについて、Microsoft の Brad Smith 社長はセキュリティ上の失策を認めた。2024年6月13日に開催された、米下院の国土安全保障委員会のメンバーへの証言で、Cyber Safety Review Board (CSRB) の報告書に記載された全ての問題に対して、Microsoft は “躊躇することなく” 責任を負うと、Smith 社長は述べている。
Continue reading “Microsoft が認めたセキュリティ施策の失敗:米政府委員会での Brad Smith 証言”Google’s Privacy Sandbox Accused of User Tracking by Austrian Non-Profit
2024/06/14 TheHackerNews — Google Chrome の Privacy Sandbox において、サードパーティのトラッキング・クッキーを非推奨にする計画だが、新たな問題にぶつかっている。この機能は、依然としてユーザー追跡のために使用できると、オーストリアのプライバシー非営利団体 noyb (none of your business) が指摘しているのだ。
Continue reading “Google の Privacy Sandbox:欧州の非営利団体 noyb から痛烈に批判される”CISA Adds Android Pixel, Microsoft Windows, Progress Telerik Report Server Bugs To KEV Catalog
2024/06/14 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、その KEV (Known Exploited Vulnerabilities) カタログに、以下の脆弱性を追加した:
Chinese hackers breached 20,000 FortiGate systems worldwide
2024/06/11 BleepingComputer — オランダ軍の情報セキュリティ局 (MIVD:Military Intelligence and Security Service) が 6月11日に公開したアラートは、2024年の初頭に公表中国のサイバースパイ・キャンペーンの影響が、これまで考えられていたよりも遥かに大きいと警告するものだ。2024年2月に MIVD は、オランダの情報機関である AIVD (Algemene Inlichtingen- en Veiligheidsdienst) との共同レポートで、この件について情報を公開している。同レポートによると、中国のハッカーは 2022〜2023年の数カ月間にわたり、Fortinet FortiOS/FortiProxy の深刻なリモート・コード実行の脆弱性 CVE-2022-42475 を悪用し、脆弱な Fortigate ネットワーク・セキュリティ・アプライアンスにマルウェアを展開していたという。
Continue reading “FortiOS/FortiProxy の脆弱性 CVE-2022-42475:中国 APT が 20,000台のデバイスに RAT を展開”CISA Adds Oracle Weblogic Server Flaw To Its Known Exploited Vulnerabilities Catalog
2024/06/03 SecurityAffairs — Oracle WebLogic Server に存在する OS コマンド・インジェクションの脆弱性 CVE-2017-3506 (CVSS:7.4) が、米国 CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。
Continue reading “CISA KEV 警告 24/06/03:Oracle WebLogic Server の脆弱性 CVE-2020-17519 を追加”NIST says NVD will be back on track by September 2024
2024/05/31 HelpNetSecurity — 5月29日に NIST が発表したのは、NVD への CVE の登録を支援する契約を、同機関が 無名の企業/団体に依頼したことである。さらに NIST (National Institute of Standards and Technology) は、年度末である 9月30日までに、NVD (National Vulnerability Database) で未解析の状態にある CVE (Common Vulnerabilities and Exposures) の、エンリッチメント化も進める予定であるという。
Continue reading “NIST NVD の障害:2024年9月までには軌道に乗ると発表”CISA Warns of Actively Exploited Linux Kernel and Check Point Gateway Vulnerabilities
2024/05/30 SecurityOnline — 今日、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linux カーネルおよび Check Point の Quantum セキュリティ・ゲートウェイへの、積極的な攻撃で悪用されている2つの脆弱性について、緊急警告を発表した。これらの脆弱性は、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加されたばかりのものであり、脅威アクターからシステムやデータを保護するためには、迅速な対応が極めて重要であることを強調している。
Continue reading “CISA KEV 警告 24/05/30:Linux Kernel と Check Point の脆弱性が積極的に悪用されている”NIST Getting Outside Help for National Vulnerability Database
2024/05/30 SecurityWeek — 5月30日に NIST が発表したのは、今後の数カ月以内に NVD (National Vulnerability Database) を軌道に乗せるために、外部の支援を受けることだ。NIST は、4月に発表した情報アップデートにおいて、NVD に提出された解析が必要な脆弱性の、バックログが増加していることを認めていた。そして、この問題の原因は、脆弱性の件数の増加と “省庁間のサポートの変化“ にあると述べていた。
Continue reading “NIST NVD の障害:外部への支援要請と契約締結について発表”NVD Leaves Exploited Vulnerabilities Unchecked
2024/05/23 InfoSecurity — 最近に悪用が確認されたソフトウェアの脆弱性の大半が、米国の NVD (National Vulnerability Database) の解析が不十分であることが、VulnCheck の最新のレポートで明らかになった。ソフトウェア・セキュリティ・プロバイダー である VulnCheck は、5月23日に公開したレポートで、2月12日以降に登録された KEV (known exploited vulnerabilities) 59件のうち 30件を、依然として NVD チームが分析していないことを明らかにした。つまり、KEV における重要なメタデータの、50.8% が欠落していることになる。
PoC Exploit Published for Chrome 0-day CVE-2024-4947 Vulnerability
2024/05/19 SecurityOnline — 先日にパッチが適用された Google Chrome のゼロデイ脆弱性 CVE-2024-4947 に対して、PoC エクスプロイト・コードの存在が表面化した。したがって、ユーザーにとって重要なことは、このブラウザを最新バージョンにアップデートすることである。先週に Google は、Chrome の緊急セキュリティ・アップデートを発表し、野放し状態で活発に悪用されている深刻なゼロデイ脆弱性に対してパッチを適用した。この深刻度の高い脆弱性は、Chrome の V8 JavaScript エンジンのタイプ・コンフュージョンに起因するものであり、Kaspersky の研究者 Vasily Berdnikov と Boris Larin により発見された。
Continue reading “Chrome の深刻な脆弱性 CVE-2024-4947:PoC エクスプロイトが提供された”CISA warns of hackers exploiting Chrome, EoL D-Link bugs
2024/05/19 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、3件のセキュリティ脆弱性を既知の脆弱性 (KEV:Known Exploited Vulnerabilities) カタログに追加した。脆弱性が KEV カタログに追加される背景としては、それらの脆弱性を悪用する脅威アクターたちが、連邦政府機関や企業に対して攻撃を仕掛けているという状況にあり、セキュリティ更新や緩和措置の適用が急がれるべきという警告となっている。なお、米国の連邦政府機関は 6月6日までに、これらの脆弱性の影響を受けるデバイスの交換や、攻撃リスクを低減/排除する防御策を導入する必要がある。
Continue reading “CISA KEV 警告 24/05/16:Chrome および D-Link の脆弱性が積極的に悪用されている”NIST Confusion Continues as Cyber Pros Complain CVE Uploads Stalled
2024/05/14 InfoSecurity — 脆弱性データベースとして、世界で最も信頼されている米国の NVD (National Vulnerability Database) だが、この数ヶ月において最大の危機を迎えており、それに比例してソフトウェア脆弱性の悪用が増加している。2024年2月中旬から、米国の NIST (National Institute of Standards and Technology) が運営する NVD は、脆弱性情報の更新を遅延させてきた。そして 5月9日以降においては、新しい脆弱性の表示を停止していると、ソフトウェア・セキュリティの専門家たちが Infosecurity に語っている。
Continue reading “NIST NVD の混乱が止まらない:新規の CVE 追加が一時的に停止していた”Black Basta Ransomware Hit Over 500 Organizations
2924/05/13 SecurityWeek — Black Basta ランサムウェア・グループが、世界 500以上の組織を攻撃して、その中には北米/欧州/豪州などの重要なインフラ事業体が含まれると、米国政府が警告している。2022年4月に初めて確認された Black Basta は、RaaS (ransomware-as-a-service) を用いて活動している。彼らのビジネス・モデルは、自身のアフィリエイトたちに対して、標的へのサイバー攻撃とマルウェア展開を実行させ、支払われた身代金の一部を得るという仕組みである。
Continue reading “CISA/FBI/HHS/MS-ISAC の共同警告:Black Basta が 500以上の組織を攻撃している”RSAC: Three Strategies to Boost Open-Source Security
2024/05/08 InfoSecurity — OSS におけるセキュリティ強化は、この種のコミュニティが非公式かつユビキタスであるため、政府にとって重要な課題となっている。ソフトウェア全般にわたって Security-by-Design を推進し、脆弱性の悪用やサプライチェーン・インシデントを減らすという米国政府の取り組みにおいて、OSS は極めて重要な要素になっている。RSA Conference 2024 が、政府関係者と OSS の関係者たちが、このユニークなエコシステムで Security-by-Design の原則を推進する方法について、議論する機会を提供した。
Continue reading “OSS セキュリティを加速:レギュレーション整備/Security-by-Design/AI の活用 – RSA Con”RSAC: CISA Launches Vulnrichment Program to Address NVD Challenges
2024/05/08 InfoSecurity — 5月8日に 米 CISA (Cybersecurity and Infrastructure Security Agency) が発表したのは、”Vulnrichment” と呼ばれる新たなソフトウェア脆弱性充実化プログラムの開始である。この動きは、NIST (National Institute of Standards and Technology) が運営する、世界で最も包括的な脆弱性データベースである NVD (National Vulnerability Database) が、脆弱性情報の充実という問題に直面してから、約3ヶ月後の出来事である。NIST 自身のデータによると、今年に入ってから NIST に寄せられた 14,228件の CVE のうち、分析できたのは 4523件にしか過ぎないという。
Continue reading “CISA の Vulnrichment:NVD が残したギャップを埋める脆弱性メタデータ- RSA Con”RSAC: Decoding US Government Plans to Shift the Software Security Burden
2024/05/07 InfoSecurity — RSA Conference 2024 において、Security by Design の強化を目指す、米国政府の計画に対する分析が提供された。このイベントにおいて、米国 CISA の Senior Technical Advisor である Bob Lord は、ソフトウェア・セキュリティに関して受け入れられている、常識を克服することが急務であると述べている。
Continue reading “Security by Design の強化を目指す米国政府:メモリセーフな開発言語とは? – RSA Con”Microsoft Outlook Flaw Exploited by Russia’s APT28 to Hack Czech, German Entities
2024/05/04 TheHackerNews — 5月3日 (金) にチェコとドイツの両国は、ロシアに支援される 脅威アクター APT28 により実施された、長期的なサイバースパイ・キャンペーンの標的であったことを明らかにし、EU/NATO/英国/米国から非難を浴びた。チェコ共和国の外務省 (MFA) は声明の中で、2023年初頭に明るみに出た Microsoft Outlook の脆弱性を悪用する攻撃により、同国内の無名の団体が被害を受けたと述べている。MFA は、「政治団体/国家機関/重要インフラを標的とするサイバー攻撃は、国家安全保障に対する脅威であるだけではなく、我々の自由な社会が基盤としている民主主義のプロセスを混乱させるものだ」と述べている。
Continue reading “Outlook の脆弱性 CVE-2023-23397 と APT28:チェコとドイツに対するスパイ行為が発覚”CISA urges software devs to weed out path traversal vulnerabilities
2024/05/02 BleepingComputer — 5月2日 (木) にCISA と FBI が 公開した共同勧告は、ソフトウェア会社に対して、自社製品をリリース前に見直し、パス・トラバーサルの脆弱性を修正するよう求めるものだ。ディレクトリ・トラバーサルとも呼ばれる、パス・トラバーサル脆弱性の悪用に成功した攻撃者は、重要なファイルの作成/上書きを行い、認証などのセキュリティ・メカニズムをバイパスし、コード実行を引き起こす可能性を持つ。さらに、脅威アクターに対して、機密データへのアクセスを許してしまう可能性もある。もし、認証情報が盗まれた場合には、その後の、標的システムへの侵入において、既存アカウントへのブルートフォース (総当り) 攻撃に悪用されるケースもある。
Continue reading “CISA/FBI の共同警告:パス・トラバーサル脆弱性の出荷前の修正をベンダーに要請”CISA says GitLab account takeover bug is actively exploited in attacks
2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS:10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。
Continue reading “CISA KEV 警告 24/05/01:GitLab の脆弱性 CVE-2023-7028 を KEV に追加”CISA Catalogs Microsoft’s CVE-2024-29988 as Actively Exploited Vulnerability
2024/04/30 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日にパッチが適用された Microsoft 脆弱性 CVE-2024-29988 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。つまり、この脆弱性が、すでに脅威アクターたちにより、積極的に悪用されていることが示唆される。
Continue reading “CISA KEV 警告 24/04/30:Microsoft SmartScreen の脆弱性 CVE-2024-29988:パッチ適用の確認が重要”Over 850 Vulnerable Devices Secured Through CISA Ransomware Program
2024/04/26 InfoSecurity — 米国の政府機関および重要インフラ機関は、2023年において Ransomware Vulnerability Warning Pilot (RVWP) プログラムの下で、1754件のランサムウェア脆弱性通知を受け取った。その結果として、852台の脆弱なデバイスが保護され、また、それが不可能な場合にはオフラインにされた。最も多くの警告が送信されたのは政府の施設 641件であり、そこには連邦政府/州政府/地方政府や、学校および高等教育などの、さまざまな組織が含まれる。
Continue reading “CISA のランサムウェア防御プログラム:連邦政府などから 850 の脆弱なデバイスを除去”Google Postpones Third-Party Cookie Deprecation Amid U.K. Regulatory Scrutiny
2024/04/25 TheHackerNews — Privacy Sandbox イニシアチブをめぐって発生している、英国の規制当局との未解決の懸念に対処している Google だが、Chrome の サードパーティ・トラッキング・クッキー廃止計画を再びプッシュし始めた。Google は、英国の CMA (Competition and Markets Authority) と緊密に協力しており、年内に合意を達成したいと述べている。
Continue reading “Google のサードパーティー Cookie 廃止:英国当局との調整のために再延期?”CISA Adds Microsoft Windows Print Spooler Flaw To Its Known Exploited Vulnerabilities Catalog
2024/04/25 SecurityAffairs — 米国 の CISA (Cybersecurity and Infrastructure Security Agency) は、Microsoft Windows Print Spooler の権限昇格の脆弱性 CVE-2022-38028 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。ロシアに関連する APT28 (別名:Forest Blizzard/Fancybear/Strontium) について、CISA は Microsoft からの報告を受けた。具体的な内容は、GooseEgg と名付けられた未知のツールにより、Windows Print Spooler の脆弱性 CVE-2022-38028 が悪用されたというものであり、この脆弱性が KEV カタログに追加された。
Continue reading “CISA KEV 警告 24/04/25:Microsoft Windows Print Spooler の脆弱性 CVE-2022-38028 を追加”CISA Added Critical Vulnerabilities in Cisco Products and CrushFTP to KEV
2024/04/24 SecurityOnline — 米国の Cybersecurity Infrastructure Security Agency (CISA) が連邦政府機関に対して発動したのは、Cisco 製品で発見された2件深刻な脆弱性と、ファイル転送ツール CrushFTP の脆弱性に対して、最優先でパッチを適用すべきという警告である。これらの問題の緊急性は、国家の支援を受けたハッカーによる積極的な悪用に起因しており、脅威の状況の深刻さを強調している。
Continue reading “CISA KEV 警告 24/04/24:Cisco と CrushFTP の深刻な脆弱性に 5月1日までに対処せよ!”US Government and OpenSSF Partner on New SBOM Management Tool
2024/04/17 InfoSecurity — Open Source Security Foundation (OpenSSF) は米国政府と共同して、ユーザー組織における Software Bill of Materials (SBOMs) 管理を簡素化する、新しいツールを発表した。新しい OSS ツールである Protobom は、すべての組織における SBOM とファイル・データの読取/生成をサポートし、また、業界標準の SBOM フォーマット間で、それらのデータを変換するためのものだ。
Continue reading “米政府と OpenSSF がパートナーシップ:SBOM 管理のためのツール Protobom とは?”Cybersecurity Pros Urge US Congress to Help NIST Restore NVD Operation
2024/04/16 InfoSecurity — 米国の NVD (National Vulnerability Database) の問題が長引けば、サプライチェーンのセキュリティに大きな危機が生じかねないと、複数の脆弱性管理コミュニティーが警告を発している。“A cybersecurity crisis in waiting: On the Need to Restore and Enhance Operations with the National Vulnerability Database” という公開書簡が、米商務長官の Gina Raimondo と、複数の米議会議員のもとに送られたのは、4月12日のことである。その書簡には、サイバー・セキュリティの専門家たち 50人が署名しているという。
Continue reading “NIST NVD の障害:サイバーセキュリティの専門家たちが運用再開の支援を米議会に要請”CISA’s Malware Analysis Platform Could Foster Better Threat Intel
2024/04/13 DarkReading — 今週のはじめに、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、誰もが Malware Next-Gen Analysis を利用できるようにした。それにより、潜在的な悪意が疑われるファイル/URL/IP アドレスなどを分析するための、新たなリソースがユーザー組織に提供されることになった。今後の課題は、ユーザー組織やセキュリティ研究者たちが、このプラットフォームを活用する方法にあり、また、VirusTotal などのマルウェア解析サービスを超えて、どのような新たな脅威インテリジェンスが可能になるかという点にある。
Continue reading “CISA が民間に開放するマルウェア分析プラットフォーム:Malware Next-Gen Analysis とは?”Midnight Blizzard’s Microsoft Corporate Email Hack Threatens Federal Agencies: CISA Warns
2024/04/12 GBHackers — Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft における 企業電子メールシステムの侵害について緊急指令を発表した。この緊急指令 (ED 24-02) は、国家に支援された APT である Midnight Blizzard によるリスクを、軽減するために必要な緊急措置を概説している。このグループは、連邦民間行政府 (FCEB) 機関と Microsoft との間で交わされた機密メールの流出に成功しているため、国家の安全保障に対する潜在的な影響について、CISA は警鐘を鳴らすことにしたようだ。
Continue reading “Midnight Blizzard による Microsoft 侵害:CISA から連邦政府への緊急警告とは?”CVE and NVD – A Weak and Fractured Source of Vulnerability Truth
2024/04/03 SecurityWeek — 共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) のリストと、それに関連する NVD (National Vulnerability Database) だが、脆弱性において一番に信頼すべき情報源とは、もはや考えられなくなっている。現在の CVE システムには改善の余地があり、また、改善すべきものであることを疑う者はいない。米国の DHS (Department of Homeland Security) に支援される、MITRE が管理する CVE リストを、NIST が NVD に統合し、その詳細データを充実させてきた。MITRE が CVE ID の採番や管理を行う一方で、サイバー防衛者たちが脆弱性を評価する上で、拠り所としてきたのが NVD である。
Continue reading “CVE と NVD:脆弱性の正規の情報源は分断されている?”Google Agreed To Erase Billions Of Browser Records To Settle A Class Action Lawsuit
2024/04/02 SecurityAffairs — Google は、利用者からの集団訴訟に対して、”Incognito Mode” で収集された数十億件のユーザー閲覧行動などの、データを削除することに合意した。この、法律事務所 Boies Schiller Flexner が 2020年に起こした集団訴訟は、Google が Chrome ユーザーに Incognito Mode ではオンライン活動が追跡されないと欺き、同社がユーザーの知らないうちに、あるいは明示的な同意なしに、ユーザーの閲覧データを収集していたとしている。
Continue reading “Google が数十億件のデータ破棄に合意:Chrome を介した不誠実な情報収集が結審”NIST Unveils New Consortium to Operate its National Vulnerability Database
2024/03/28 InfoSecurity — NIST (National Institute of Standards and Technology) が提供してきた、世界で最も利用されているソフトウェア脆弱性リポジトリの管理の一部が、業界コンソーシアムに引き継がれることが正式に決定した。米国商務省の一機関である NIST は、2005年に NVD (National Vulnerability Database ) を立ち上げて以来、ずっと運営を続けてきた。しかし、このデータベースの運営は、早ければ 2024年4月初旬から、審査に合格した組織の手に委ねられることになるという。
Continue reading “NIST NVD の新たなコンソーシアム設立が決定:FIRST カンファレンスでの発表とは?”CISA tags Microsoft SharePoint RCE bug as actively exploited
2024/03/27 BleepingComputer — CISA が発した警告は、近ごろの Microsoft SharePoint のコード・インジェクションの脆弱性が攻撃者たちに悪用され、さらに特権昇格の脆弱性と連鎖することで、未認証のリモート・コード実行攻撃の可能性が生じていることだ。Microsoft SharePoint に存在する、1つ目の脆弱性 CVE-2023-24955 は、サイトのオーナー権限を持つ認証済みの攻撃者に対して、脆弱な SharePoint サーバ上でのリモート・コード実行を許すものだ。2つ目の脆弱性 CVE-2023-29357 は、なりすましの JWT 認証トークンを用いて認証を回避するリモートの攻撃者に対して、脆弱な SharePoint サーバ上での管理者権限の取得を許すものである。
Continue reading “CISA KEV 警告 24/03/26:SharePoint の脆弱性 CVE-2023-24955/29357 と PoC 提供”Recent Fortinet FortiClient EMS Vulnerability Exploited in Attacks
2024/03/26 SecurityWeek — 米国のサイバーセキュリティ機関 CISA は、先日に公開された Fortinet FortiClient Enterprise Management Server (EMS) の脆弱性 CVE-2023-48788 が、サイバー攻撃で悪用されているとユーザー組織に警告している。このエンタープライズ・エンドポイント管理ソリューションに影響を及ぼす脆弱性は、特別に細工されたリクエストを介して任意のコード/コマンドの実行を許すため、未認証の攻撃者により悪用される可能性のある、深刻な SQL インジェクションのバグになると説明されている。
Continue reading “CISA KEV 警告 24/03/25:Fortinet FortiClient EMS の脆弱性 CVE-2023-48788 の悪用”Chinese State-Linked Hackers Target Critical Systems; Exploit F5 and ScreenConnect Flaws
2024/03/22 SecurityOnline — UNC5174 という新たな脅威アクターが、ゼロデイおよび最近にパッチが適用された脆弱性を悪用して、一連の標的型侵入を仕掛けていることが、Mandiant のレポートにより明らかになった。同グループの活動は、技術力の高い標的攻撃により、特に政府/防衛/学術などの分野における、価値の高い組織をターゲットにするものだ。
Continue reading “UNC5174 という中国ハッカー:F5/ScreenConnect の脆弱性を悪用して攻撃を展開”NIST’s Vuln Database Downshifts, Prompting Questions About Its Future
2024/03/22 DarkReading — 2005年から NVD (National Vulnerability Database) は、世界中のセキュリティ研究者が発見した膨大な CVE (Common Vulnerabilities and Exposures) に関する、詳細情報を掲載してきた。しかし、この政府が後援する、重要かつ不可欠なデータベースが、2024年2月以降においては、ほぼ無意味なツールと化している。
Continue reading “NIST の脆弱性データベースの凍結:その将来に投げかけられる疑問とは?”Over 50,000 Vulnerabilities Discovered in DoD Systems Through Bug Bounty Program
2024/03/18 InfoSecurity — 米国防総省 (DoD) の VDP (Vulnerability Disclosure Program) を通じて、5万件を超える脆弱性が提出された。2024年3月15日に DoD の DC3 (Cyber Crime Center) が報告したのは、2016年11月にクラウド・ソーシングによる倫理的ハッキング・スキームを導入した以降において、5万件に達する脆弱性を処理したというものだ。
Continue reading “米国防総省の Hack the Pentagon:2016年11月以降において5万件の脆弱性を排除”NIST National Vulnerability Database Disruption Sees CVE Enrichment on Hold
2024/03/15 InfoSecurity — 米国の NIST (National Institute of Standards and Technology) で、不可解なことが起こっている。それにより、数多くの組織が、脅威の影響を被りやすい状況へと陥る可能性がある。2024年2月12日以降において NIST は、NVD (National Vulnerability Database) 上のソフトウェア脆弱性の更新を、ほぼ完全に停止している。NVD とは、ソフトウェア脆弱性データベースであり、世界で最も広く利用されているものだ。
Continue reading “NIST NVD の障害:CVE に紐づくはずのメタデータが提供されていない”Ivanti Breach Prompts CISA to Take Systems Offline
2024/03/12 DarkReading — Ivanti 製品の脆弱性を悪用したハッカーが、2月に米国の CISA (Cybersecurity and Infrastructure Security Agency) のシステムに侵入していたことが分かった。CISA の広報担当者は、約1か月前に、同機関が使用している2つの Ivanti 製品で不審な活動が確認されていたことを認めている。これらのシステムは、直ちにオフラインにされたが、この侵入が誰によるものなのか、データへのアクセスや盗難があったのかどうかは不明だという。
Continue reading “CISA で発生したデータ侵害:Ivanti 製品の脆弱性が悪用された”
IoT OT Security News 
You must be logged in to post a comment.