API – IoT OT Security News

Dropbox Sign のデータ侵害：ユーザー情報への不正アクセスが発生

Dropbox Discloses Breach of Digital Signature Service Affecting All Users

2024/05/02 TheHackerNews — 4月24日に Dropbox が明らかにしたのは、Dropbox Sign (旧 HelloSign) が正体不明の脅威アクターにより侵害され、電子署名製品の全ユーザーに関連するＥメール／ユーザー名／一般的なアカウント設定などが不正アクセスを受けたことだ。同社は、米国証券取引委員会 (SEC) に提出した書類の中で、4月24日に不正アクセスに気づいたと述べている。なお、Dropbox は、2019年1月に HelloSign の買収計画を発表していた。

node-mysql2 の脆弱性 CVE-2024-21508 などが FIX：PoC も公開！

Critical Vulnerabilities in Popular Database Library Expose Millions of Applications to Attack

2024/04/23 SecurityOnline — 無数の Web アプリケーションとバックエンド・システムの基盤である、JavaScript データベース・ライブラリ node-mysql2 に複数の脆弱性が存在することが、セキュリティ研究者たちにより発見された。これらの脆弱性は、CVE-2024-21508／CVE-2024-21509／CVE-2024-21511 として追跡されており、あらゆる業界の組織に対して、広範な影響を及ぼす可能性がある。

Akana Community Manager Developer Portal の SSRF 脆弱性 CVE-2024-2796 が FIX：直ちにアップデートを！

CVE-2024-2796: Critical Vulnerability Discovered in Popular API Developer Portal

2024/04/21 SecurityOnline — API 開発者のためのポータルを、構築／管理するために広く使用されている Perforce Akana Community Manager Developer Portal に、重大な脆弱性 CVE-2024-2796 (CVSS：9.3) が、セキュリティ研究者である Jakob Antonsson により発見された。この脆弱性を悪用する攻撃者は、SSRF (server-side request forgery) 攻撃を引き起こす可能性を持つ。

増加し続ける悪質なボット：全インターネット・トラフィックの約半数に到達 – Imperva

Bots dominate internet activity, account for nearly half of all traffic

2024/04/18 HelpNetSecurity — 2023 年の全インターネット・トラフィックの、49.6％はボットによるものであり、前年比で２％増加しているという。Thales の子会社である Imperva が 2013年に自動トラフィック監視を開始して以来、この数字は最も高い水準となった。悪質なボットが生み出す Web トラフィックの割合は、５年連続で増加し続けており、2022年の 30.2％から 2023年の 32％へと増加し、人間であるユーザーからのトラフィックは 50.4% に減少した。Web サイト／API／アプリケーションなどへの、自動化されたトラフィックが引き起こす攻撃により、年間で数十億ドル (USD) 相当の損害が、ユーザー組織に発生している。

Grafana の脆弱性 CVE-2024-1313 が FIX：データ削除を防ぐために直ちにパッチを！

CVE-2024-1313: BOLA Flaw in Grafana Threatens Dashboard Integrity – Patch Immediately

2024/03/27 SecurityOnline — Grafana で、Broken Object Level Authorization (BOLA) の脆弱性 CVE-2024-1313 が発見された。したがって、このソフトウェアに依存して、重要なデータを可視化している組織には、早急にパッチを適用する必要性が生じている。この脆弱性は、Palo Alto Research の Ravid Mazon と Jay Chen により検出されたものであり、その悪用に成功した権限のないユーザーが、悪意を持ってスナップショットを削除できるため、ダッシュボードに混乱が生じ、データの整合性が毀損し、業務に支障が発生する可能性がある。

企業の 95％が API のセキュリティ問題に直面している – Fastly 調査

95% of companies face API security problems

2024/03/22 HelpNetSecurity — API が重要な役割を担っているにもかかわらず、ビジネスにおける意思決定者の大多数は、急増している企業のセキュリティ・リスクに対して無関心であることが、Fastly の調査で明らかになった。API (Application Programming Interfaces) は、長い間にわたってデジタル経済の基盤として認識されてきた。最近の統計によると、全インターネット・トラフィックの大半が API を経由していることが分かる。

API セキュリティ戦略を見直す：魅力的な侵入経路を脅威アクターに提供しないために

The importance of a good API security strategy

2024/02/21 HelpNetSecurity — Cloudflare 2024 API Security & Management Report によると、今年の API リクエストはグローバルにおけるインターネット・トラフィックの 57% を占めることになり、現代のソフトウェア開発における極めて重要な要素としての、API の存在が裏付けられている。しかし、API の採用が毎年のように増加するにつれて、関連するセキュリティ上の課題も増加している。過去の２年間において、60％のユーザー組織が、API に関連する侵害を少なくとも１回は経験している。これは憂慮すべき傾向であり、対処すべき問題である。

OpenObserve の脆弱性 CVE-2024-25106／CVE-2024-24830：不正アクセスと権限昇格が生じる恐れ

Critical Flaws Uncovered in OpenObserve: A Deep Dive into CVE-2024-25106 & CVE-2024-24830

2024/02/12 SecurityOnline — クラウド・ネイティブの観測プラットフォームである OpenObserve は、ログ／メトリクス／トレース／アナリティクス／RUM (Real User Monitoring) などに関する、詳細を把握するための機能を搭載している。さらに OpenObserve は、PB (ペタバイト) 規模での運用を想定して設計されており、データ観測の複雑なタスクを簡素化し、Elasticsearch に代わる使いやすいプラットフォームを提供している。近ごろ、その OpenObserve に、攻撃者に不正アクセスと権限昇格をゆるす可能性がある、２つの深刻な脆弱性 CVE-2024-25106／CVE-2024-24830 が発見された。

Cisco Expressway の脆弱性 CVE-2024-20252／CVE-2024-20254 などが FIX：ただちにパッチを！

Critical Cisco bug exposes Expressway gateways to CSRF attacks

2024/02/07 BleepingComputer — Cisco Expressway シリーズ・コラボレーション・ゲートウェイに影響を及ぼす、複数の脆弱性に対してパッチが適用された。そのうちの２つは、深刻度が Critical と評価されるものであり、脆弱なデバイスがクロス・サイト・リクエスト・フォージェリ (CSRF) 攻撃にさらされる可能性がある。

Oracle WebLogic Server の RCE 脆弱性 CVE-2024-20931 が FIX：PoC も公開された

PoC Releases for Oracle WebLogic Server Servers RCE Flaw (CVE-2024-20931)

2024/02/07 SecurityOnline — 最近にパッチが適用された Oracle WebLogic Server の脆弱性 CVE-2024-20931 (CVSS：7.5) に対して、任意のコード実行を可能にする PoC エクスプロイト・コードが公開された。この脆弱性は、Oracle WebLogic Server の、特に T3/IIOP プロトコルに影響するものであり、新しいクラスのサイバー脅威に対する防御を強化することを目的とする、Oracle の 2024年1月の Patch Update で公開されたものだ。

Fortinet FortiSIEM の脆弱性 CVE-2024-23108／CVE-2024-23109 が FIX：直ちにパッチを！

CVE-2024-23108 & CVE-2024-23109 (CVSS 10): Critical Command Injection Flaws in Fortinet FortiSIEM

2024/02/05 SecurityOnline — Fortinet の FortiSIEM supervisor に、２つの深刻な OS コマンド・インジェクションの脆弱性があるという警告が発せられている。脆弱性 CVE-2024-23108／CVE-2024-23109 は、リモートの認証されていない攻撃者による、特別に細工された API リクエストを介して、不正なコマンド実行にいたる恐れがあるものだ。これらの脆弱性の CVSS 値は 10.0 であり、深刻度 Critical と評価されているため、世界中の組織にとって重大な脅威になっている。

Chrome サードパーティ Cookie の段階的な廃止が始まる：あなたはテストの対象？

Check if you’re in Google Chrome’s third-party cookie phaseout test

2024/02/03 BleepingComputer — Google Chrome のサードパーティ Cookie の、段階的な廃止のテストが開始された。このテストは、ユーザーの約１％にあたる、約 3,000万人を対象に実施されるという。この記事では、自分がテストの対象に該当するかどうかを、確認する方法を紹介する。サードパーティ Cookie とは、ターゲット広告のために、さまざまな Web サイトでのユーザーの閲覧習慣を追跡するものだが、Google の Privacy Sandbox API へと、徐々に置き換えられている。Privacy Sandbox API とは、ユーザーのプライバシーを損なうことなく、ユーザーの興味に基づき、パーソナライズされた広告表示を行うことを目的としている。

GKE ミスコンフィグと脆弱性： 250,000 もの Kubernetes クラスタに影響

Google Kubernetes Misconfig Lets Any Gmail Account Control Your Clusters

2024/01/24 TheHackerNews — Google Kubernetes Engine (GKE) に影響を与える脆弱性が、ybersecurity の研究者たちにより発見された。この脆弱性は、クラウド・セキュリティ企業 Orca によりコードネーム Sys:All と命名されており、現存する 250,000 ものアクティブな GKE クラスタに影響を与える可能性があると推定される。

Windows XAML Diagnostics の脆弱性 CVE-2023-36003：PoC エクスプロイトが公開

Researchers Release PoC Exploit for Windows XAML Diagnostics EoP Flaw

2024/01/14 SecurityOnline — Windows XAML Diagnostics に存在する、すでにパッチが公開された深刻な脆弱性 CVE-2023-36003 に対して、PoC エクスプロイト・コードが公開された。この脆弱性は、セキュリティ研究者である Michael Maltsev が、2023年7 月に Microsoft に報告したものだ。

Google API を介したトークン窃取：OAuth MultiLogin 問題は軽視されている？

Google: Malware abusing API is standard token theft, not an API issue

2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する２つの情報窃盗マルウェア・オペレーション Lumma／Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。

OAuth エンドポイント MultiLogin：Google 認証クッキー復元の PoC もリリース

Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts

2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。

Google が提案する WEI API：大反対する Vivaldi／Brave／Firefox などの言い分は？

Browser developers push back on Google’s “web DRM” WEI API

2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi／Brave／Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。

VMware の深刻な脆弱性が FIX：Cloud Foundry API 管理者クレデンシャルへのアクセス

VMware fixes bug exposing CF API admin credentials in audit logs

2023/07/25 BleepingComputer — VMware の Tanzu Application Service for VMs (TAS for VMs) および Isolation Segment に存在する、情報漏えいの脆弱性が修正された。TAS for VMは、オンプレミス／パブリック／プライベート・クラウド (vSphere／AWS／Azure／GCP／OpenStack など) にまたがるアプリケーションを、ユーザー企業がデプロイする際の自動化を促進するものだ。この脆弱性 CVE-2023-20891 は、7月25日に Vmware が対処したものであり、パッチを適用していないシステムにおいて、Cloud Foundry API の管理者認証情報に対して、低権限のリモート攻撃者によるアクセスを許すものとなっている。

Ivanti EPMM (MobileIron) のゼロデイ CVE-2023-35078 が FIX：早急にパッチ適用を！

Ivanti patches MobileIron zero-day bug exploited in attacks

2023/07/24 BleepingComputer — 7月23日に、米国の IT ソフトウェア企業である Ivanti は、同社のモバイル・デバイス管理ソフトウェアである Endpoint Manager Mobile (EPMM／旧 MobileIron Core) のゼロデイ脆弱性にパッチを適用した。この、リモート認証を必要としない API アクセスの脆弱性は、CVE-2023-35078 として追跡されている。そしてパッチ適用は、EPM 11.8.1.1／11.9.1.1／11.10.0.2 で対処されている。なお、11.7.0.0／11.5.0.0 を含む、11.8.1.0 以下の未サポート／サポート終了のバージョンも対象となる。

AI と Open Source の関係：半数以上のプロジェクトで脆弱なパッケージが使用されている

Half of AI Open Source Projects Reference Buggy Packages

2023/07/20 InfoSecurity — AI テクノロジー・スタック全体で、オープンソースが役割を拡大しているが、大半のプロジェクト (52％) ではマニフェスト・ファイルを用いて、既知の脆弱な依存関係が参照されていると、Endor Labs は指摘している。セキュリティ・ベンダーである Endor Labs の最新レポート State of Dependency Management によると、ChatGPT の API はリリースから僅か５ヶ月で、”多様な問題領域”にまたがる 900件の npm／PyPI パッケージで使用されており、これらのパッケージの 70% は真新しいものだという。しかし、あらゆるオープンソース・プロジェクトと同様に、脆弱な依存関係に伴うセキュリティ・リスクは管理される必要があると、Endor Labs は警告している。

JumpCloud で APT データ侵害：顧客データの漏洩により深刻化している

JumpCloud Confirms Data Breach By Nation-State Actor

2023/07/18 InfoSecurity — ID およびアクセス管理のソリューション・プロバイダーである JumpCloud は、国家を標的とする脅威アクターによる、セキュリティ侵害の標的になったことを、2023年7月12日に明らかにした。この侵害は 6月27日に、社内のオーケストレーション・システムで異常なアクティビティが検出されたことで明らかになった。このインシデントは、6月22日に脅威アクターが開始したスピア・フィッシング・キャンペーンにより、JumpCloud インフラの特定のセクションに不正アクセスは発生したというものだ。

Google Cloud Build の深刻な脆弱性：MOVEit 悪用のような問題を生じる恐れ

Google Cloud Build bug lets hackers launch supply chain attacks

2023/07/18 BleepingComputer — クラウド・セキュリティ企業 Orca Security が発見した、Google Cloud Build サービスの重大な設計上の欠陥は、攻撃者を特権へとエスカレートさせ、Google Artifact Registry コード・リポジトリへの、ほぼ完全なアクセスを提供する可能性があるというものだ。この Bad.Build と名付けられた欠陥を悪用する脅威アクターたちは、Google Cloud Build の CI/CD (continuous integration and delivery) サービスのアカウントになりすまし、アーティファクト・レジストリに対して API コールを実行し、アプリケーション・イメージを制御することが可能になる。たとえば、悪意のコードの注入や、脆弱なアプリの作成などを行った後に、顧客の環境内に悪意のあるアプリをデプロイした攻撃者が、サプライチェーン攻撃を仕掛ける可能性が生じてくる。

Azure AD 署名キーが盗まれた方法：依然として不明だと Microsoft が公表

Microsoft still unsure how hackers stole Azure AD signing key

2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。

Cisco SD-WAN vManage の深刻な脆弱性 CVE-2023-20214 が FIX：REST API に注意

Cisco SD-WAN vManage impacted by unauthenticated REST API access

2023/07/13 BleepingComputer — Cisco SD-WAN vManage 管理ソフトウェアには、影響を受けるインスタンスの設定における限定的な読取／書込みの権限を、認証されていないリモートの攻撃者に許してしまう脆弱性が存在する。Cisco SD-WAN vManage はクラウドベースのソリューションであり、複数の場所に分散したネットワークの、ユーザー企業による設計／展開／管理を可能にする。vManage のインスタンスは、集中型ネットワーク管理／VPN の設定／SD-WAN オーケストレーション／デバイス設定の展開／ポリシーの適用などに使用される。

Mockingjay という新たなプロセス・インジェクションの手法：既存の EDR 検出を回避していく

New Mockingjay process injection technique evades EDR detection

2023/06/27 BleepingComputer — Mockingjay と名付けられた、新しいプロセス・インジェクションの手法により、脅威たちは EDR (Endpoint Detection and Response) などのセキュリティ製品による検知を回避し、侵害したシステム上で悪意のコードを密かに実行できるという。この手法を発見したのは、サイバー・セキュリティ企業 Security Joes の研究者たちである、具体的に言うと、RWX (Read／Write／Execute) セクションを持つ正規の DLL を利用して、EDR のフックを回避し、リモート・プロセスにコードを注入するものとなる。

CISO の最大の懸念：サプライチェーンと API のセキュリティ – Salt Security

Supply Chain and APIs Top Security Concerns, CISO Survey Shows

2023/06/21 InfoSecurity — 最近の CISO (Chief Information Security Officers) 調査により、主要なセキュリティ懸念事項として、サプライチェーンと API が浮上していることが分かった。この調査は、API セキュリティ企業の Salt Security が委託し、Global Surveyz が実施したものであり、グローバルにおける 300人の CISO／CSO からの意見がまとめられている。この調査結果によると、CISO の 89％が、デジタル・サービスの急速な展開から生じ、重要なビジネス・データのセキュリティを脅かす、予期せぬリスクに取り組んでいるという。

API セキュリティの強化：そのための管理体制とベストプラクティスとは？

How to Improve Your API Security Posture

2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信／共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。

OWASP API Top-10 Risk の 2023版が公開：これまでの 2019版との違いは？

OWASP’s 2023 API Security Top 10 Refines View of API Risks

2023/06/07 SecurityWeek — 2023年の主要な API セキュリティ・リスクに関する、OWASP のランキングが発表された。このランキングは、2019年との類似点が多いが、いくつかが再編成／再定義されたのに加えて、新しいコンセプトも含まれている。

API は何ができる？何ができない？どうしたら安全に使える？

What APIs Do and Don’t Do

2023/06/06 tripwire — 最近のテクノロジーの世界で、API について耳にしない日はない。ChatGPT の API が登場したときも、Twitter の深刻なデータ漏洩のニュースが報じられたときも、API が主役であった。しかし、どこにでもある API なのだが、多くの人々は API の機能 (限界) について疑問を抱いている。API は何のためにあるのか？APIは何をするものなのか？そして、今の時代にできないものは何なのか？

CAPTCHA 解除サービスの蔓延：API を介して手作業を実施する犯罪組織の存在

CAPTCHA-Breaking Services with Human Solvers Helping Cybercriminals Defeat Security

2023/05/30 TheHackerNews — ボットと正規ユーザーのトラフィックを識別する CAPTCHA システムを、バイパスするための解除サービスが販売されていると、サイバーセキュリティ研究者たちが警告している。Trend Micro は先週のレポートで、「サイバー犯罪者は、CAPTCHA を解除することに熱心であり、この需要に対応した、いくつかのサービスが展開されている。これらの CAPTCHA 解除サービスは、光学式文字認識や機械学習手法などを使用するのではなく、CAPTCHA の解除を実際の人間に委託して解除している」と述べている。

PowerExchange という新たなマルウェア：Exchange サーバを悪用して C2 通信

New PowerExchange malware backdoors Microsoft Exchange servers

2023/05/24 BleepingComputer — PowerExchange という名の新たな PowerShell ベースのマルウェアが、イランの国家支援ハッカー APT34 が関与する攻撃で使用され、オンプレミスの Microsoft Exchange サーバをバックドア化している。この脅威アクターは、アーカイブ化された悪意の実行ファイルを取り込んだ、フィッシングメールを介してメール・サーバに侵入した後に、ユーザー認証情報を窃取するための ExchangeLeech と呼ばれる Web シェルを展開している。なお、ExchangeLeech は、2020年の時点で、Digital14 Incident Response チームにより発見されたものだ。

API と Security：責任者は CISO なのか？それとも DevOps なのか？

The fragmented nature of API security ownership

2023/05/23 HelpNetSecurity — Traceable AI によると、API セキュリティの重要性が、今年もサイバーセキュリティにおける最大の課題であるが、ほとんどの企業において、驚くほど対策が実施されていないという。それぞれの企業が苦慮しているのは、チェックされていない API の氾濫 (API Sprawl) および、API セキュリティにおける不明確な責任の所在に加えて、セキュリティ能力の一部として、その動作がベースライン化されていない点である。

Microsoft Teams を狙うソーシャル・エンジニアリング：新たな手口が発見された

Social Engineering Risks Found in Microsoft Teams

2023/05/17 InfoSecurity — ソーシャル・エンジニアリングを介して、Microsoft Teams を悪用しようとする、いくつかの新たな手口が、Proofpoint のセキュリティ研究者たちにより発見された。同社が 2023年5月17日に発表したレポートには、「最近のことだが、2022年後半にかけて確認された、Microsoft 365 クラウド・テナントを標的とした 4億5000万以上の悪意のセッションを分析した。この調査結果によると、Microsoft Teams は、最も標的とされた 10 のサインイン・アプリケーションの１つであり、標的とされた組織の 40％近くで、少なくとも１回の不正ログインが試みられていた」と記されている。

悪意のボット・トラフィックの増大：ついにインターネット全体の 30% を埋め尽くす – Imperva 調査

Bad Bots Now Account For 30% of All Internet Traffic

2023/05/11 InfoSecurity — 自動化された悪意のソフトウェアに起因するインターネット・トラフィックの量は、2021年以降において 2.5% ほど増加し、いまでは 30% を超えているようだ。この値は、2013年に Imperva が Bad Bot Report の初版を発表した以降において、最高の数値となっている。この、長期にわたるレポートの最新版で Imperva が主張しているのは、アカウント侵害／データ窃取／スパム／インフラ・コスト増加／オンライン・サービス劣化／顧客離れなどにつながる、悪質なボット攻撃により年間で数十億ドルが失われているという点だ。

API の氾濫という深刻な問題：過去のインシデントを学習して将来を見据える

Unattended API challenge: How we’re losing track and can we get full visibility

2023/05/09 HelpNetSecurity — かつてないスピードで、API が開発／導入される現代の企業において、API スプロール (氾濫) の問題が広まり始めている。Postman の 2022 State of the API Report では、「回答者の 89％が、組織の API への時間とリソースの投資は、今後 12ヶ月間で増加するか、変わらないだろうと答えている」と指摘されている。つまり、API の開発／展開が進むだろうと、それぞれの組織は自信を持っているのだ。

Akira というランサムウェアが登場：すでに 16社を侵害したと主張している

Meet Akira — A new ransomware operation targeting the enterprise

2023/05/07 BleepingComputer — 新たなランサムウェア Akira が、世界中の企業ネットワークに侵入してファイルを暗号化し、徐々に犠牲者のリストを増やし、million-dollar の身代金を要求している。2023年3月に検出された Akira は、すでに 16社の企業に対して攻撃を行ったと主張している。それらの企業には、教育／金融／不動産／製造／コンサルティングなどの、さまざまな業種が含まれている。Akira という名前の、別のランサムウェアが、2017年にリリースされているが、今回のオペレーションとは関連性はないと考えられている。

Microsoft Azure の API Management の脆弱性が FIX：SSRF などに対応 – Ermetic

Researchers Discover 3 Vulnerabilities in Microsoft Azure API Management Service

2023/05/04 TheHackerNews — Microsoft Azure API Management サービスにおいて、機密情報やバックエンド・サービスへのアクセスを試みる脅威アクターに、悪用される可能性のある３つの新たな脆弱性が公開された。イスラエルのクラウド・セキュリティ企業 Ermetic によると、そこに含まれるのは、２つの SSRF (Server-Side Request Forgery) の欠陥と、API Management 開発者ポータルにおける無制限ファイル・アップロード機能の欠陥である。

Facebook を攻撃する NodeStealer は情報窃取マルウェア：セッション・クッキー侵害の容易さを証明

Facebook disrupts new NodeStealer information-stealing malware

2023/05/03 BleepingComputer — Facebook が発見したのは、新たな情報スティーラー・マルウェア NodeStealer であり、ブラウザ・クッキーを盗み出した脅威アクターに対して、Meta／Gmail／Outlook アカウントの乗っ取りを許すものである。有効なユーザー・セッション・トークンを含むクッキーのキャプチャは、サイバー犯罪者の間で人気が高まっている戦術であり、二要素認証による保護をバイパスしながら認証情報を盗み出し、ターゲットとの対話を必要とすること無く、アカウントの乗っ取りへと至るものだ。

hVNC は高スティルス性のマルウェア：ロシアの犯罪グループ Lobshot が API を介して悪用

New ‘Lobshot’ hVNC Malware Used by Russian Cybercriminals

2023/05/01 SecurityWeek — ロシアのサイバー犯罪グループ TA505 が、最近の攻撃で新たな hVNC (Hidden Virtual Network Computing) マルウェアを使用していると、脅威情報会社 Elastic が報告している。この、Lobshot と呼ばれるマルウェアは、不正検知エンジンを回避し、感染させたマシンに対して、攻撃者によるステルス・アクセスを可能にする。その攻撃は、Google 広告や偽サイトのネットワークを悪用して、ユーザーを騙すところから始まる。そして、バックドアを含む正規のインストーラをダウンロードさせる、マルバタイジングにより配布されていく。

Kubernetes の RBAC を悪用：暗号マイニングの大規模キャンペーンが始まっている – Aqua

Kubernetes RBAC Exploited in Large-Scale Campaign for Cryptocurrency Mining

2023/04/21 TheHackerNews — この、野放し状態の大規模な攻撃キャンペーンは、Kubernetes (K8s) の Role-Based Access Control (RBAC) を悪用してバックドアを作成し、暗号通貨マイナーを走らせていた。クラウド・セキュリティ会社の Aqua は、「攻撃者は、標的である K8s クラスターのリソースを乗っ取り、ハイジャックするために DaemonSets を展開した。この攻撃を RBAC Buster と名付けた同社は、このキャンペーンの背後にいる脅威アクターにより悪用された、60 件の露出した K8s クラスターを発見した」と、The Hacker News と共有したレポートの中で述べている。

Shadow API の調査：監視／監査されない最も脆弱な存在について考える

Why Shadow APIs are More Dangerous than You Think

2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化／サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視／監査されない、最も脆弱な存在なのだ。

Google が発表した Assured OSS サービス：Java／Python エコシステムからサポートを開始

Google delivers secure open source software packages

2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。

クラウド環境の ID を再考する：人間とマシンに付与された権限の 1% だけが使用されている

Just 1% of Cloud Permissions Are Actively Used

2023/03/29 InfoSecurity — Microsoft によると、クラウド・インフラを運用する組織における、ワークロード ID／スーパー・アドミン／過剰な権限付与の急増が、サイバー・リスクの増大に拍車をかけているという。Microsoft が発表した 2023 State of Cloud Permissions Risks レポートによると、主要なクラウド・プラットフォームでは４万以上の権限が付与されているが、そのうちの半数以上が高リスクであることが判明した。パーミッションとは、ユーザーやマシンが特定のリソースに対して、アクセスするために与えられる権限のことを指す。

API セキュリティの調査：この６ヶ月の攻撃件数が 400％も増加している！

Attacks Targeting APIs Increased By 400% in Last Six Months

2023/03/29 InfoSecurity — API (Application Programming Interfaces) を標的とした攻撃が、この６ヶ月間で 400% も増加している。この調査結果は、Salt Security の最新レポートからのものであり、これらの攻撃における 80％が、認証された API で生じているという。このレポート ”State of API Security Q1 Report 2023″ は、400人のセキュリティ専門家と API 開発者を対象とした、調査の回答から作成されたものだ。この１年間の特筆すべき数値として、回答者の 94％がプロダクション環境での API でセキュリティ問題を経験し、17％が API 関連の侵害を経験したことも示されている。このような問題が生じたことで、API セキュリティが経営陣で議論されたと、48% が回答している。

WooCommerce 決済プラグインの深刻な脆弱性：WordPress サイト 50万以上に影響を及ぼす？

Critical WooCommerce Payments Plugin Flaw Patched for 500,000+ WordPress Sites

2023/03/24 TheHackerNews — WordPress のプラグインであり、50万以上の Web サイトにインストールされている WooCommerce Payments に影響を及ぼす、深刻なセキュリティ欠陥に対するパッチがリリースされた。この欠陥を放置すると、脆弱なオンラインショップに対して、脅威アクターによる不正なアクセスが可能になると、2023年3月23日のアドバイザリで同社は発表している。この問題は、バージョン 4.8.0〜5.6.1 に影響を及ぼすという。

Veeam Backup & Replication の脆弱性 CVE-2023-27532：PoC エクスプロイトが登場

Exploit released for Veeam bug allowing cleartext credential theft

2023/03/23 BleepingComputer — Veeam Backup & Replication (VBR)ソフトウェアに影響を及ぼす、Backup Service の深刻な脆弱性に対して、クロスプラット・フォームのエクスプロイト・コードが登場した。この脆弱性 CVE-2023-27532 は、すべての VBR バージョンに影響し、未認証の攻撃者に対して、平文の認証情報の窃取とバックアップ・インフラへの侵入を許し、SYSTEM としてのリモート・コード実行にいたる可能性が生じる。

WordPress 上の eコマース侵害：決済の瞬間を狙ってクレカ情報を盗み出す手口とは？

Hackers inject credit card stealers into payment processing modules

2023/03/22 BleepingComputer — クレジットカードを盗み出す新たなハッキング・キャンペーンは、これまでに見られたものとは異なり、悪意のコードを WooCommcerce の “Authorize.net” 決済ゲートウェイ・モジュール内に隠すことで、セキュリティ・スキャンによる検出の回避を可能にしているようだ。これまでの脅威アクターたちが、Magenta および WooCommerce + WordPress のようなコマース・サイトを侵害する場合には、店舗や顧客のチェックアウト・ページ HTML に、悪意の JavaScript を注入するのが一般的だった。

Facebook アカウント・ハイジャック：悪意の ChatGPT Chrome エクステンションが導線

Facebook accounts hijacked by new malicious ChatGPT Chrome extension

2023/03/22 BleepingComputer — 正規の ChatGPT Extension for Chrome のトロイの木馬バージョンが、Chrome Web Store で人気を博しており、9,000 回以上のダウンロードを達成し、Facebook アカウントを盗み続けている。この Chrome エクステンションは、検索結果に ChatGPT の統合を提供する ChatGPT for Google という名前の、正規の Chrome アドオンをコピーしたものだ。そして、この悪意のバージョンは、Facebook のセッション・クッキーを盗み出すための追加コードを含んでいる。

PowerMagic／CommonMagic というマルウェア：新たなバックドアと悪意のフレームワーク

Hackers use new PowerMagic and CommonMagic malware to steal data

2023/03/21 BleepingComputer — セキュリティ研究者たちが発見したのは、CommonMagic と呼ばれる “かつてない悪意のフレームワーク” と、PowerMagic と呼ばれる新しいバックドアを使用した、先進的な脅威アクターによる攻撃だ。これらのマルウェアは、2021年9月ころから現在まで続くオペレーションで使用され、行政／農業／輸送分野の組織をスパイ目的で狙っている。

API 悪用の脅威がスピードアップ：脆弱性の発生と攻撃の頻度も増大している

Attackers exploit APIs faster than ever before

2023/03/08 HelpNetSecurity — Wallarm が35 万件のレポートを精査したところ、337 のベンダーが関連する、650 の API 固有の脆弱性が確認されたという。さらに、これらの脆弱性に影響を与える 115 の公開されたエクスプロイトを追跡した結果、API の脅威の状況は、さらに危険度を増していることが判明したという。