WordPress Ninja Forms plugin flaw lets hackers steal submitted data
2023/07/27 BleepingComputer — WordPress で人気のフォーム作成プラグイン Ninja Forms には、攻撃者に特権への昇格を許し、ユーザー・データ窃取へといたる、3つの脆弱性が存在する。2023年6月22日に Patchstack の研究者たちは、この3つの脆弱性を発見し、プラグインの開発元である Saturday Drive に情報を公開した。そして、2023年7月4日に、Saturday Drive はバージョン 3.6.26 をリリースし、脆弱性を修正した。しかし、WordPress.org の統計によると、Ninja Forms の最新リリースをダウンロードしたのは、すべてのユーザーの約半数に過ぎず、約 40万件のサイトに攻撃の可能性が残されているという。
Continue reading “WordPress の Ninja Forms プラグイン:3件の深刻な脆弱性が FIX”Almost 40% of Ubuntu users vulnerable to new privilege elevation flaws
2023/07/26 BleepingComputer — 先日に、Ubuntu カーネルに取り込まれてしまった2つの Linux 脆弱性により、権限のないローカル・ユーザーによる昇格昇格が、発生する可能性が生じている。Ubuntu は、最も広く利用されている Linux ディストリビューションの1つであり、特に米国では人気が高く、約 4000万人以上のユーザーを抱えている。Wiz の研究者である S. Tzadik と S. Tamari により発見された、脆弱性 CVE-2023-32629/CVE-2023-2640 が、このオペレーティング・システムに取り込まれてしまったことで、Ubuntu のユーザー・ベースの約 40% に影響が生じている。 v
Continue reading “Ubuntu ユーザーの 40% に脆弱性:Linux カーネル・プロジェクトとの整合性の問題”North Korean Nation-State Actors Exposed in JumpCloud Hack After OPSEC Blunder
2023/07/25 TheHackerNews — 北朝鮮の General Bureau (RGB) に所属する活動家たちが、JumpCloud のハッキングに関与しているようだ。Google 傘下の Mandiant は、UNC4899 という名前で追跡している脅威アクターに起因する活動だとしている。このグループは、ブロックチェーンと暗号通貨セクターを攻撃してきた Jade Sleet/TraderTraitor として監視されている、クラスターと重複している可能性が高いようだ。また、UNC4899 は APT43 とも重なっている。APT43 とは、北朝鮮 (DPRK) に関連する別のハッキング・グループであり、2023年3月の初旬に、標的とした企業から暗号通貨を吸い上げるための、一連のキャンペーンを実施していることが明らかになっている。
Continue reading “JumpCloud ハッキング:北朝鮮の RGB に属する脅威アクターが関与か?”A flaw in OpenSSH forwarded ssh-agent allows remote code execution
2023/07/24 SecurityAffairs — Qualys Threat Research Unit (TRU) の研究者たちがが、OpenSSH の forwarded ssh-agent に存在するリモートコード実行の脆弱性を発見した。OpenSSH (Open Secure Shell) は、ネットワーク上で安全な暗号化通信を提供する、オープンソースのツール/ユーティリティのセットである。つまり、SSH (Secure Shell) プロトコルの実装として広く使われており、インターネットなどの安全でないネットワーク上で、他のコンピューターやサーバとの安全なリモート接続を、ユーザーは確立できることになる。
Continue reading “OpenSSH の forwarded ssh-agent の脆弱性 CVE-2023-38408 が FIX:RCE にいたる恐れ”Banking Sector Targeted in Open-Source Software Supply Chain Attacks
2023/07/24 TheHackerNews — 銀行業界を初めて標的とする、オープンソース・ソフトウェアのサプライチェーン攻撃が、サイバー・セキュリティの研究者たちにより発見された。Checkmarx は先週に公開したレポートで、「これらの攻撃では、被害者である銀行の Web 資産に悪意の機能を追加することで、特定のコンポーネントを標的にするといった、高度なテクニックが使用されている」と述べている。
Continue reading “バンキング OSS サプライチェーン攻撃:銀行員を装う脅威アクターが悪意の npm パッケージを展開”GitHub warns of Lazarus hackers targeting devs with malicious projects
2023/07/20 BleepingComputer — GitHub が警告しているソーシャル・エンジニアリング・キャンペーンは、ブロックチェーン/暗号通貨/オンライン・ギャンブル/サイバー・セキュリティなどの分野の、開発者のアカウントを標的とし、彼らのデバイスにマルウェアに感染させるものだ。このキャンペーンは、北朝鮮国家支援のハッキング・グループ Lazarus と関連づけられている。Microsoft が Jade Sleet と呼び、CISA が TraderTraitor と呼ぶ、この脅威アクターの手口を詳述したレポートは、2022年に米国政府から発表されている。このハッキング・グループは、暗号通貨企業やサイバー・セキュリティ研究者たちを標的とした、サイバースパイ活動や暗号通貨の窃取を行ってきた。
Continue reading “Lazarus が開発者を狙っている:悪意の GitHub プロジェクトに御用心”Apache OpenMeetings Web Conferencing Tool Exposed to Critical Vulnerabilities
2023/07/20 TheHackerNews — Web 会議ソリューションである Apache OpenMeetings に、複数のセキュリティ上の脆弱性が存在することが明らかになった。その悪用に成功した攻撃者により、管理者アカウントの制御を奪取され、サーバ上で悪意のコードを実行される可能性があるという。Sonar の Vulnerability Researcher である Stefan Schiller は、「攻撃者は、アプリケーションを想定外の状態に追い込み、管理者アカウントなどの、各種のユーザー・アカウントを乗っ取ることができる」と、The Hacker News と共有したレポートの中で述べている。
Continue reading “Web 会議ツール Apache OpenMeetings の深刻な脆弱性 CVE-2023-29032 など”Half of AI Open Source Projects Reference Buggy Packages
2023/07/20 InfoSecurity — AI テクノロジー・スタック全体で、オープンソースが役割を拡大しているが、大半のプロジェクト (52%) ではマニフェスト・ファイルを用いて、既知の脆弱な依存関係が参照されていると、Endor Labs は指摘している。セキュリティ・ベンダーである Endor Labs の最新レポート State of Dependency Management によると、ChatGPT の API はリリースから僅か5ヶ月で、”多様な問題領域”にまたがる 900件の npm/PyPI パッケージで使用されており、これらのパッケージの 70% は真新しいものだという。しかし、あらゆるオープンソース・プロジェクトと同様に、脆弱な依存関係に伴うセキュリティ・リスクは管理される必要があると、Endor Labs は警告している。
Continue reading “AI と Open Source の関係:半数以上のプロジェクトで脆弱なパッケージが使用されている”VirusTotal leaked data of 5,600 registered users
2023/07/18 HelpNetSecurity — VirusTotal がデータ流出に見舞われ、登録ユーザー 5,600人の氏名と電子メール・アドレスが流出した。この流出したデータには、米国とドイツの諜報機関などの職員に関する情報も含まれていると報じられている。Google 傘下の VirusTotal は、疑わしいファイルや URL を分析する人気のオンライン・サービスであり、ウイルス対策エンジンや Web サイト・スキャナーを通じて、マルウェアや悪意のあるコンテンツを検出している。
Continue reading “VirusTotal からリークした個人情報:米国とドイツの諜報機関などの職員 5,600 人が被害”Fake Linux vulnerability exploit drops data-stealing malware
2023/07/13 BleepingComputer — サイバー・セキュリティ研究者や脅威アクターたちが、脆弱性 CVE-2023-35829 を悪用して Linux パスワード窃取マルウェアをインストールする、偽の PoCエクスプロイトの標的になっているという。Uptycs のアナリストたちは、定期スキャン中に、予期しないネットワーク接続/未承認のシステム・アクセス試行/非定型のデータ転送などの不正なアクションが検知されたことで、この悪意の PoC を発見した。
Continue reading “Linux の偽 PoC エクスプロイトに御用心:GitHub を悪用してマルウェアを配布”Zimbra urges admins to manually fix zero-day exploited in attacks
2023/07/13 BleepingComputer — 7月13日 (木) に Zimbra は、Zimbra Collaboration Suite (ZCS) の電子メール・サーバを標的とする攻撃で悪用されている、ゼロデイ脆弱性を手動で修正するよう、管理者に呼びかけた。この、広く採用されている電子メールおよびコラボレーションのプラットフォームは、世界の 140カ国にまたがる 20万以上の企業で採用されており、その中には 1,000以上の政府機関や金融機関も含まれている。
Continue reading “Zimbra Collaboration Suite に深刻なゼロデイ脆弱性:管理者に推奨されるパラメータの変更とは?”Critical RCE found in popular Ghostscript open-source PDF library
2023/07/12 BleepingComputer — Linux で広く使用されている PostScript 言語であり、PDF ファイルのオープンソース・インタープリタである Ghostscript で、深刻なリモートコード実行の脆弱性が発見された。この脆弱性 CVE-2023-3664 (CVSS:9.8) は、3週間前にリリースされた最新バージョンである 10.01.2 以前の、Ghostscript 全バージョンに影響をおよぼす。この脆弱性の PoC エクスプロイトを作成した、Kroll の研究者である G. Glass と D. Truman によると、悪意のある特別な細工が施されたファイルを開くと、コードが実行される可能性があるとのことだ。
Continue reading “Ghostscript PDF Lib の深刻な RCE 脆弱性 CVE-2023-3664 が FIX”GitHub goes passwordless, announces passkeys beta preview
2023/07/12 BleepingComputer — 7月12日に GitHub は、パブリック・ベータ版でパスワードレス認証のサポートを導入し、ユーザーがセキュリティ・キーから Passkeys にアップグレードできるようにしたと発表した。この Passkeys は、コンピュータ/タブレット/スマートフォンなどの個々のデバイスに紐づけられ、クレデンシャルの盗難や漏えいの試みを防止する。それによりフィッシング攻撃からユーザーを保護し、データ侵害の可能性を最小限に抑える上で、重要な役割を果たす。
Continue reading “GitHub がパスワードレス認証を導入:Passkeys のベータ版が公開されている”New Python tool checks NPM packages for manifest confusion issues
2023/07/04 BleepingComputer — NPM JavaScript ソフトウェア・レジストリのパッケージにおける、マニフェストの不一致をチェックする際に有効なツールが開発/公開された。先週に、GitHub/NPM の元 Engineering Manager である Darcy Clarke は、依存関係の中に潜むマルウェアや、インストール中のスクリプト実行の危険性をもたらす、”Manifest Confusion” の問題について警告を発した。”Manifest Confusion” という言葉が指すのは、JavaScript プログラミング言語用のパッケージ・マネージャーであり、Node.js 環境のデフォルトである NPM (Node Package Manager) のセキュリティ問題である。
Continue reading “NPM パッケージの Manifest Confusion :チェックのための Python ツールがリリース”BlackCat ransomware pushes Cobalt Strike via WinSCP search ads
2023/07/01 BleepingComputer — BlackCat ランサムウェア・グループ (別名 ALPHV) は、Windows 用ファイル転送アプリケーション WinSCP の公式 Web サイトを模倣した偽ページに人々を誘い込み、マルウェアを仕込んだインストーラーをプッシュするという、マルバータイズ・キャンペーンを行っている。WinSCP (Windows Secure Copy) とは、SFTP/FTP/S3/SCP クライアントおよび、SSH ファイル転送機能を持つ、人気のフリー・オープンソースのファイル・マネージャでああり、SourceForge だけで毎週 40万もダウンロードされている。
Continue reading “WinSCP の偽サイトへ誘導:Google と Bing での悪意の広告キャンペーンでCobalt Strike を展開”Hackers exploit zero-day in Ultimate Member WordPress plugin with 200K installs
2023/06/30 BleepingComputer — WordPress プラグインである Ultimate Member に存在する、権限昇格のゼロデイ脆弱性を悪用するハッカーにより、セキュリティ・バイパスと不正な管理者アカウント登録が発生し、多くの Web サイトが侵害されている。Ultimate Member は、WordPress サイトでのサインアップやコミュニティ構築を容易にする、ユーザー・プロファイル/メンバーシップ・プラグインであり、現時点で 20万以上のアクティブ・インストールを有する。
Continue reading “WordPress プラグイン Ultimate Member の深刻なゼロデイ脆弱性:WordFence はアンインストールを推奨”Critical Security Flaw in Social Login Plugin for WordPress Exposes Users’ Accounts
2023/06/29 TheHackerNews — miniOrange の WordPress 用 Social Login and Register プラグインに、致命的なセキュリティ上の脆弱性が存在する。その悪意の脅威アクターは、ユーザーから提供されたメールアドレスを知っていると想定され、ログインできる可能性があることが判明した。この認証バイパスの脆弱性 CVE-2023-2982 (CVSS:9.8) は、バージョン 7.6.4 以前の全バージョンに影響を及ぼす。この脆弱性については、2023年6月2日に適切な開示が行われた後の、2023年6月14日に修正され、バージョン 7.6.5 がリリースされた。
Continue reading “WordPress の Social Login Plugin に深刻な脆弱性:30,000 以上のサイトでパッチが必要!”NPM ecosystem at risk from “Manifest Confusion” attacks
2023/06/28 BleepingComputer — NPM (Node Package Manager) レジストリには、Manifest Confusion と呼ばれるセキュリティ上の欠陥が存在する。具体的に言うと、それにより、依存関係を用いたマルウェアの埋め込みや、インストール中における悪意のスクリプトの実行などが生じ、パッケージの信頼性が損なわることになる。NPM は、JavaScript プログラミング言語用のパッケージ・マネージャであり、広く使用されている Node.js のデフォルト環境である。このパッケージ・マネージャーは、npmjs.com に置かれた npm registry データベースにホストされている、ソフトウェア・パッケージのインストール/アップグレード/コンフィグレーションを、プロジェクト・オーナーが自動化できるよう支援するものである。
Continue reading “NPM の根幹を揺るがす Manifest Confusion:パッケージ情報が信頼できない理由”Critical SQL Injection Flaws Expose Gentoo Soko to Remote Code Execution
2023/06/28 TheHackerNews — Gentoo Soko に存在する複数の SQL インジェクションの脆弱性が公開され、脆弱なシステム上ではリモートコード実行 (RCE) につながる可能性があると解説されている。SonarSource の研究者である Thomas Chauchefoin は、「Object-Relational Mapping (ORM) ライブラリとプリペアド・ステートメントを使用しているにもかかわらず、これらの SQL インジェクションの脆弱性は発生している。データベースのミスコンフィグレーションにより、Soko上で RCE が発生する可能性がある」と付け加えている。
Continue reading “Gentoo Soko の深刻な SQLi の脆弱性 CVE-2023-28424 が FIX:リモートコード実行にいたる”Grafana warns of critical auth bypass due to Azure AD integration
2023/06/24 BleepingComputer — Grafana がリリースした、複数のバージョン向けにセキュリティ修正は、攻撃に成功した脅威アクターに対して、認証バイパスを許すという深刻なものだ。具体的に言うと、認証に Azure Active Directory を使用している、すべての Grafana アカウントに乗っ取り可能性が生じることになる。Grafanaは、広範 に使用されているインタラクティブなオープンソースの分析および可視化のアプリであり、監視のためのプラットフォームや、アプリケーション統合のオプションを提供している。
Continue reading “Grafana の深刻な脆弱性 CVE-2023-3128 が FIX:Azure AD 統合によるアカウント乗っ取りとは?”Alert: Million of GitHub Repositories Likely Vulnerable to RepoJacking Attack
2023/06/22 TheHackerNews — GitHub 上の何百万ものソフトウェア・リポジトリが、RepoJackingと呼ばれる攻撃に対して脆弱である可能性が高いことが、新たな研究で明らかになった。マサチューセッツ州を拠点とするクラウドネイティブ・セキュリティ企業 Aqua が、水曜日に発表したレポートによると、それらの脆弱なリポジトリには、Google や Lyft などの、いくつかの組織のものも含まれているという。この、リポジトリ依存関係ハイジャックとも呼ばれるサプライチェーンの脆弱性は、活動を停止した組織やユーザーの名前を乗っ取り、悪意のコードを忍び込ませ、トロイの木馬化したバージョンのリポジトリを公開する攻撃の一種である。
Continue reading “GitHub で懸念される RepoJacking 攻撃:変更された名称の悪用が容易だと判明”Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites
2023/06/21 SecurityWeek — WordPress の2つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。1つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS:9.8) であり、すでに3万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。
Continue reading “WordPress Plugin の深刻な脆弱性が FIX:脆弱なオンライン販売サイトが数万件”New Supply Chain Attack Exploits Abandoned S3 Buckets to Distribute Malicious Binaries
2023/06/15 TheHackerNews — オープンソース・プロジェクトを狙った、新しいタイプのソフトウェア・サプライチェーン攻撃が検出された。この攻撃では、期限切れの Amazon S3 バケットを掌握した脅威アクターが、S3 モジュール自体には手を加えることなく、不正なバイナリを拡散しているという。Checkmarx の研究者である Guy Nachshon は、「悪意のバイナリが盗み出すのは、ユーザー ID/パスワード/ローカルマシン環境変数/ローカルホスト名などであり、それらのデータを乗っ取ったバケットに流出させている」と述べている。
Continue reading “Amazon S3 バケットで悪意のバイナリを配布:新たなサプライチェーン攻撃を発見”ICS Patch Tuesday: Siemens Addresses Over 180 Third-Party Component Vulnerabilities
2023/06/14 SecurityWeek — Siemens が発表したのは、合計で約200件の脆弱性をカバーする、12件の新たなアドバイザリである。これらの脆弱性の大部分は、サードパーティのコンポーネントに影響を与えるものだとされる。Siemens は顧客に通知したのは、Simatic S7-1500 に対して、特に TM MFP (Multi Functional Platform) に影響を及ぼす、Linux カーネルの 108件の脆弱性である。同社は、これらの脆弱性に対するパッチを準備中であり、それらが提供されるまでの間の、回避策と緩和策を共有している。
Continue reading “ICS Patch Tuesday: Siemens が公表した 180件の OSS コンポーネントにおける脆弱性”Fake Researcher Profiles Spread Malware through GitHub Repositories as PoC Exploits
2023/06/14 TheHackerNews — 不正なサイバー・セキュリティ企業の研究者たちによる、少なくとも6つの GitHub アカウントが、7つの悪意のリポジトリをプッシュしていることが確認された。この7つのリポジトリは、Discord/Google Chrome/Microsoft Exchange Server などの、ゼロデイ脆弱性の概念実証 (PoC) だと見られている。
Continue reading “GitHub リポジトリで発見されたマルウェア拡散の新手口:研究者たちの偽プロファイルを悪用”Patch Tuesday: Critical Flaws in Adobe Commerce Software
2023/06/13 SecurityWeek — Adobe は 6月13日 (火) に、複数の製品の深刻な欠陥に対するパッチを出荷したが、その中には、Adobe Commerce に存在するコード実行の脆弱性も含まれる。Adobe は、スケジュールされた Patch Tuesday の更新の一部として、広く展開されている Adobe Commerce (旧 Magento) 製品に存在する 12件のセキュリティ問題を文書化した。それらの脆弱性の悪用に成功した攻撃者に対して、任意のコード実行/セキュリティ機能のバイパス/任意のファイル・システムの読み取りになどを許す恐れがあると警告している。
Continue reading “Adobe の月例パッチ 2023/06:Adobe Commerce/Magento にコード実行の脆弱性”Hackers are exploiting RCE Vulnerability (CVE-2023-35042) in GeoServer
2023/06/12 SecurityOnline — 地理空間データの閲覧/編集を可能にする、Javaで書かれたオープンソース・ソフトウェア GeoServer に、新たなセキュリティ脆弱性が発生した。このソフトウェアは、Open Geospatial Consortium (OGC) が定めたオープン・スタンダードに準拠しており、柔軟な地図の作成やデータ共有のための有力なプラットフォームとなっている。しかし、そのための強固なサーバーが、攻撃を受け続けている。
Continue reading “GeoServer の深刻な脆弱性 CVE-2023-35042 が FIX:RCE 攻撃が観測されている”Easily Exploitable Microsoft Visual Studio Bug Opens Developers to Takeover
2023/06/08 DarkReading — セキュリティ研究者たちが警告しているのは、Microsoft Visual Studio のインストーラに存在するバグにより、悪意のエクステンションを作成するサイバー攻撃者が、正規のソフトウェア・パブリッシャーを装い、アプリケーション開発者に配布する方法が生じる点である。そのような悪意のエクステンションを介して開発環境に侵入し、制御を奪い、コードを汚染させ、価値の高い知的財産を盗むことが可能になるという。
Continue reading “Visual Studio の脆弱性 CVE-2023-28299:Microsoft が言うより悪用は簡単だ”New ChatGPT Attack Technique Spreads Malicious Packages
2023/06/06 InfoSecurity — OpenAI の LLM である ChatGPT を悪用し、開発者たちの環境に悪意のパッケージを拡散させるという、新たなサイバー攻撃手法が登場した。Vulcan Cyber の Voyager18 research team は、先ほど発表したアドバイザリで、この問題について述べている。同社の研究者である Bar Lanyado と、コントリビュータである Ortal Keizman と Yair Divinsky は、「実際には存在しない URL やリファレンスを、さらにはコード・ライブラリや関数を、ChatGPT が生成することが確認されている。このような LLM (Large Language Model) モデルがもたらす幻覚は以前にも報告されていたが、古い学習データの結果として生じている可能性もある」と、技術文書で説明している。
Continue reading “ChatGPT が推奨する OSS パッケージは安全なのか? LLM に悪意を埋め込む PoC が公開”Malicious PyPI Packages Use Compiled Python Code to Bypass Detection
2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。
Continue reading “PyPI に新たな悪意のパッケージ:コンパイルされた Python コードで検出を回避”Millions of WordPress Sites Patched Against Critical Jetpack Vulnerability
2023/05/31 SecurityWeek — この数日の間に、約 500万件の WordPress サイトに適用された自動アップデートにより、2012年に発生した深刻な脆弱性が修正された。Automattic 社により管理されている Jetpack は、マルウェア・スキャン/リアルタイム・バックアップと復元、スパムとブルートフォースに対する保護などの、セキュリティ機能を提供する WordPress プラグインである。これらのセキュリティ・ツールは、500万以上のアクティブ・インストールを持つという、このコンテンツ管理システムにおける最も人気のプラグインの1つとなっている。
Continue reading “WordPress の Jetpack プラグインに深刻な脆弱性:2日間で 500万件のパッチが自動配信された”Exploit released for RCE flaw in popular ReportLab PDF library
2023/05/31 BleepingComputer — HTML 入力から PDF ファイルを生成するために、数多くのプロジェクトで使用されている人気の Python ライブラリ ReportLab Toolkit に存在する。リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイトが公開された。昨日に GitHub で公開された、脆弱性 CVE-2023-33733 の PoC エクスプロイトには、技術的な詳細を提供する記事も含まれるため、現実世界における悪用の可能性が高くなる。ReportLab Toolkit は、PDF ライブラリとして複数のプロジェクトで利用されており、PyPI (Python Package Index) において、月間約 350万のペースでダウンロードされている。
Continue reading “Python ReportLab PDF Lib の深刻な脆弱性:悪意の HTML を読ませるだけでコード実行”PyPI announces mandatory use of 2FA for all software publishers
2023/05/28 BleepingComputer — Python Package Index (PyPI) が発表したのは、同プラットフォーム上でプロジェクトを管理する全てのアカウントに対して、2023年内に二要素認証 (2FA) をオンにすることの義務付けである。PyPI とは、プログラミング言語 Python で作成されたパッケージのための、ソフトウェア・リポジトリのことである。このインデックスには、20万個のパッケージが登録されており、開発者は各種プロジェクトの要件を満たす既存のパッケージを、ここで見つけることにより、時間と労力を節約することが可能となる。
Continue reading “PyPI による 2FA 義務化のアナウンスメント:すべてのアカウントで年末までに対応”GitLab ‘strongly recommends’ patching max severity flaw ASAP
2023/05/24 BleepingComputer — GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS:10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされた。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有している。
Continue reading “GitLab の深刻な脆弱性 CVE-2023-2825:Ver 16.0.0 ユーザーは直ちにアップデートを!”OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers
2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。
Continue reading “OAuth の深刻な脆弱性が FIX:Expo Framework を介したアカウント乗っ取りの可能性”The Rising Threat of Secrets Sprawl and the Need for Action
2023/05/23 TheHackerNews — 今日の情報化時代において、最も貴重な資産はカギでロックされたシークレットである。GitHub の公開アクティビティを分析した、最大規模の レポート 2023 State of Secrets Sprawl が示すように、さらにシークレットの維持が難しくなるという、残念な状況が浮き彫りになっている。このレポートでは、漏えいシークレット数が前年比で 67% 増加し、2022年だけで 1000万個のハードコードされたシークレットが検出された指摘されている。このシークレットの氾濫とも言うべき状況は、安全なソフトウェア開発と対策の必要性を強調するものとなっている。
Continue reading “シークレットが氾濫する GitHub の世界:どのように緩和していくべきなのか – Git Guardian 提案”PyPI temporarily pauses new users, projects amid high volume of malware
2023/05/20 BleepingComputer — オープンソース Python パッケージの、公式サードパーティ登録機関である PyPI において、新規ユーザーのサインアップと新規プロジェクトのアップロードが一時的に停止された。PyPI の管理者は、悪意のユーザーやパッケージが大量に流入し、レジストリの維持が困難になったことで、この措置を講じたようだ。
Continue reading “PyPI の停止について:新規のユーザー登録とプロジェクト作成を一時的に止めます”Once Again, Malware Discovered Hidden in npm
2023/05/19 DarkReading — 人気の npm JavaScript ライブラリ/レジストリに存在する、“nodejs-encrypt-agent” という名前の2つのコード・パッケージに、オープンソースの情報窃盗型マルウェア TurkoRat を含まれていることが判明した。このマルウェアが仕込まれたパッケージを発見した、ReversingLabs の研究者たちによると、2,000 万回以上ダウンロードされている別の正規のパッケージ (agent-base version 6.0.2) への偽装を、背後にいる攻撃者は試みていたという。
Continue reading “npm で発見された悪意のライブラリ:正規パッケージを装う TurkoRat マルウェア”New SBOM Hub Helps All Stakeholders in Software Distribution Chain
2023/05/18 SecurityWeek — Lineaje は、SBOM360 Hub という新しいプラットフォームを公開した。このツールは、SBOM (Software Bills of Materials) に関するコンプライアンス成果物を、ソフトウェアの生産者/販売者/消費者が、公開/共有/使用するためのサービスである。SBOM とリンクされた認証アーティファクトの提供に関連して、2023年9月に施行される大統領令 14028 (Executive Order 14028) で定められた、ソフトウェアの生産者/販売者による準拠が、この新しいハブにより推進されると、 Lineaje は述べている。
Continue reading “SBOM360 Hub は新たなプラットフォーム:ソフトウェア流通に関わるステークホルダーを支援”Malicious Microsoft VSCode extensions steal passwords, open remote shells
2023/05/17 BleepingComputer — Microsoft の VSCode Marketplace を標的とするサイバー犯罪者たちが、3種類の悪意の Visual Studio エクステンションをアップロードし、Windows 開発者たちが 46,600回もダウンロードしていることが判明した。Check Point のアナリストたちが、それらの悪意のエクステンションを発見し、Microsoft に報告した内容は、これらのマルウェアを操る脅威アクターたちは、認証情報/システム情報を盗み出し、被害者のマシン上に=にリモート・シェルを確立しているというものだ。
Continue reading “Microsoft VSCode に悪意のエクステンション:パスワード窃取やリモートシェル確立などが目的”Toyota: Car location data of 2 million customers exposed for ten years
2023/05/12 BleepingComputer — トヨタ自動車株式会社のクラウド環境において、2013年11月6日〜2023年4月17日の 10年間にわたり、215万人の顧客の自動車位置情報が流出するという、データ侵害があったことが公表された。トヨタが日本のニュース・ルームで発表した内容によると、このデータ侵害の原因は、データベースのミスコンフィグレーションにあり、誰もがパスワードなしでアクセスできるようになったという。
Continue reading “トヨタ自動車のデータ侵害:10年間にわたって 215万人の顧客情報が流出していた”Software Supply Chain Attacks Hit 61% of Firms
2023/05/12 InfoSecurity — Capterra の最新のレポートによると、これまでの1年間において米国企業の5分の3以上 (61%) が、ソフトウェア・サプライチェーンからのダイレクトな影響を受けていたことが分かった。この調査は、サードパーティー・ソフトウェアにおける脆弱性のリスクについて、米国企業の理解を深めることを目的にしたものであり、271人の IT 専門家/IT セキュリティ専門家を対象に実施された。回答者の半数は、ソフトウェア・サプライチェーンの脅威を “High” または “Extreme” と評価しており、さらに 41%は “Moderate” と評価している。
Continue reading “米国企業の 61%でソフトウェア・サプライチェーン攻撃が発生していた – Capterra 調査”Stealthier version of Linux BPFDoor malware spotted in the wild
2023/05/11 BleepingComputer — Linux マルウェアである BPFDoor で、高ステルス性の新たな亜種が発見された。このマルウェアの特徴は、より強固な暗号化とリバース・シェル通信を備えている点にある。BPFDoor はステルス性の高いバックドア・マルウェアであり、遅くとも 2017年から活動していたと見られているが、セキュリティ研究者により発見されたのは、1年ほど前のことである。このマルウェアの名前は、Berkley Packet Filter (BPF) を悪用して、受信トラフィックのファイアウォール制限を回避することに由来している。BPFDoor は、侵入した Linux システム上で、脅威アクターが長時間の持続性を維持し、長期間にわたって検出を回避するように設計されている。
Continue reading “Linux の BPFDoor マルウェアの高スティルス亜種:Berkley Packet Filter を巧妙に悪用”WordPress Elementor plugin bug let attackers hijack accounts on 1M sites
2023/05/11 BleepingComputer — WordPress で人気を博している、Essential Addons for Elementor に存在する権限昇格の脆弱性の悪用に成功したリモートの未認証の攻撃者が、サイトの管理者権限を獲得する可能性があることが判明した。Essential Addons for Elementor は、100万以上の WordPress サイトで使用されているページ・ビルダー Elementor 用の、90種類のエクステンションを搭載したライブラリである。2023年5月8日に PatchStack が発見した、この脆弱性 CVE-2023-32243 はプラグインのパスワード・リセット機能における、未認証の攻撃者による権限昇格を可能にするものであり、バージョン 5.4.0〜5.7.1 に影響を及ぼす。
Continue reading “WordPress の Elementor プラグインの脆弱性が FIX:100 万件の Web サイトに乗っ取りの危険性”Never leak secrets to your GitHub repositories again
2023/05/10 HelpNetSecurity — GitHub のプッシュ・プロテクション (リポジトリでの機密漏えいを自動的に防ぐためのセキュリティ機能) が、すべてのパブリック・リポジトリの所有者に向けて無料化された。これまでは、GitHub Advanced Security ライセンスを持つ、プライベート・リポジトリの所有者のみが利用可能だった。この機能は、オープンソースの開発者やメンテナが、コードのセキュリティを積極的に確保することを目的としている。
Continue reading “GitHub のプッシュ・プロテクション:すべてのパブリック・リポジトリで無料化”2023/05/09 SecurityWeek — リスク管理や脆弱性の影響を判断する際に SBOM は有用であるが、複数のプラットフォームでデータが標準化されていないと、全体的なリスク・モデルを構築することは極めて困難になる。2021年5月に発せられたバイデン大統領の大統領令 14028号には、「ソフトウェアのサプライチェーンを理解し、SBOM を取得し、それを使って既知の脆弱性を分析することが、リスク管理において重要である」と記されており、ソフトウェアを政府調達する際の SBOM の必要性を訴えるものだった。 そのことが、セキュリティ分野における大きな契機となり、米政府の機関と請負業者の双方において、広く使われているソフトウェアの内部構造に関して、さまざまな疑問が生じることになった。
Continue reading “SBOM について考える:複数のプラットフォーム間でのデータの標準化は?”New Linux kernel NetFilter flaw gives attackers root privileges
2023/05/09 BleepingComputer — Linux カーネルの NetFilter コンポーネントで、新たな脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、権限のないローカル・ユーザーから root レベルまで権限を昇格させ、システムを完全にコントロールできるようになるという。この脆弱性 CVE-2023-32233 だが、現時点では深刻度レベルが決定されていない (訳者注記:NVD では CVSS 値 7.5) 。この脆弱性は、Netfilter nf_tables が設定に対する、無効な更新を受け入れることに起因しており、無効なバッチ要求がサブシステムの内部状態の破壊につながるという、特定のシナリオが可能になるという。
Continue reading “Linux カーネルの NetFilter に新たな脆弱性 CVE-2023-32233:root レベルへの権限昇格が可能”ETIC 2023: CISA Developing SBOM Ecosystem for Open-Source Software Visibility
2023/05/08 FedTechMagazine — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・プログラミングの基礎であるライブラリ/バージョン/コンポーネントの可視性を高めるために、企業が公開する SBOM (Software Bill Of Materials) のエコシステムを推進している。ACT-IAC の Emerging Technology and Innovation Conference において、CISA の Technical Director for Cyber である Christopher Butera は、今後の SBOM ガイダンスが詳細なレベルで実現するためには、ベンダーからのフィードバックが必要だと述べている。
Continue reading “SBOM エコシステムを CISA が推進:OSS の可視性を高めていく – ETIC 2023”“Kekw” Malware in Python Packages Could Steal Data and Hijack Crypto
2023/05/05 InfoSecurity — PyPI (Python Package Index) 上で発見された、Kekw と呼ばれる新しいマルウェアを取り込んだ、複数の有害な Python .whl ファイルが存在しているという。Cyble Research and Intelligence Labs (CRIL) の最新の調査によると、Kekw マルウェアは感染済のシステムからの機密情報の窃取および、暗号通貨取引をハイジャックするクリッパー・アクティビティなどを行うという。
Continue reading “Python パッケージに新たなマルウェア Kekw:データ窃取と暗号ハイジャックを仕掛ける”WordPress custom field plugin bug exposes over 1M sites to XSS attacks
2023/05/05 BleepingComputer — セキュリティ研究者たちは、数百万件のレベルでインストールされている、WordPress プラグイン Advanced Custom Fields と Advanced Custom Fields Pro が、XSS (Cross-Site Scripting) 攻撃に対して脆弱であると警告している。この2つのプラグインは、WordPress で最も人気のあるカスタム・フィールド・ビルダーであり、世界中のサイトに 2,000,000 のアクティブ・インストールが存在している。2023年5月2日に、Patchstack の研究者である Rafie Muhammad は、これらのプラグインで深刻な反射型 XSS の欠陥を発見し、この脆弱性には識別子 CVE-2023-30777 が付与された。
Continue reading “WordPress プラグイン Advanced Custom Fields:XSS 脆弱性 CVE-2023-30777 が FIX”
IoT OT Security News 
You must be logged in to post a comment.