API – Page 2 – IoT OT Security News

Cisco NDFC の深刻な脆弱性 CVE-2024-20432 (CVSS 9.9) が FIX：ただちにパッチを！

CVE-2024-20432 (CVSS 9.9): Cisco Nexus Dashboard Fabric Controller Exposed to RCE

2024/10/02 SecurityOnline — Cisco が発表したのは、Nexus Dashboard Fabric Controller (NDFC) に存在する深刻な脆弱性 CVE-2024-20432 (CVSS：9.9) に対するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、認証された低権限のリモート攻撃者は、標的デバイス上においてネットワーク管理者権限を用いて、任意のコマンドを実行する可能性を手にする。

Windows Telephony の権限昇格の脆弱性 CVE-2024-26230：PoC が提供される

PoC Exploit Releases for Windows Elevation of Privilege Vulnerability CVE-2024-26230

2024/09/08 SecurityOnline — Windows Telephony サービスに存在する、パッチ適用済みの権限昇格の脆弱性 CVE-2024-26230 (CVSS：7.8) に対する、技術的な詳細と概念実証 PoC エクスプロイトを、セキュリティ研究者が公開した。この Telephony サービスの、use-after-free の脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で SYSTEM 権限を取得できるようになる。

Oracle NetSuite SuiteCommerce のミスコンフィグ：数千サイトの顧客データが危険に晒される

Thousands of Oracle NetSuite E-Commerce Sites Expose Sensitive Customer Data

2024/08/17 DarkReading — Oracle NetSuite の ERP (enterprise resource planning) プラットフォーム SuiteCommerce で発見された、数千の Web サイトに影響を及ぼす広範なミスコンフィグレーションにより、機密性の高い顧客データが不正アクセスの危機に晒されている。この問題を明らかにしたセキュリティ会社の AppOmni は、eコマースをサポートするために NetSuite を使用している多くの企業が、CRT (Custom Record Type) に対するアクセス制御のミスコンフィグにより、顧客データへの不正アクセスを許していると指摘している。これらの CRT には、個人の住所や電話番号などの重要なデータが保存されており、サイバー犯罪者にとって格好の標的になっている。

Spring Cloud Data Flow の脆弱性 CVE-2024-37084 (CVSS：9.8) が FIX：直ちにアップデートを！

CVE-2024-37084 (CVSS 9.8): Remote code execution in Spring Cloud Data Flow

2024/07/25 SecurityOnline — Cloud Foundry と Kubernetes 環境でマイクロサービス・ベースとして使用される、ストリーミング／バッチデータの処理プラットフォーム Spring Cloud Data Flow の、脆弱性 CVE-2024-37084 (CVSS：9.8) に関するセキュリティ・アドバイザリが公開された。

Windows Hello for Business に脆弱性：導入方法の弱点を突く PoC が公開

Critical Vulnerability in Windows Hello for Business Discovered by Researcher

2024/07/24 SecurityOnline — Microsoft の Windows Hello for Business (WHfB) 認証システムに存在する深刻な脆弱性を、研究者である Yehuda Smirnov が発見した。これまで、無敵と考えられていたバイオメトリック・セキュリティの信頼性に対して、彼の発見は疑問を投げかけるものだ。WHfB とは、2016年の時点で Windows 10 の商用／企業バージョンに導入されたものであり、フィッシング攻撃に対する防波堤として設計されている。このシステムは、コンピュータの TPM (Trusted Platform Module) に埋め込まれた暗号キーを採用し、生体認証または暗証番号により起動するものだ。しかし、Accenture の倫理的ハッカーで構成される Red Team の一員である Yehuda Smirnov が、認証要求のパラメーターを変更することで、この防御の回避が可能になることを発見した。

Docker に深刻な脆弱性 CVE-2024-41110 (CVSS:10) ：システム乗っ取りの恐れ

Docker Users Beware: CVE-2024-41110 (CVSS 10) Could Lead to System Takeover

2024/07/23 SecurityOnline — Docker が発表したセキュリティ・アドバイザリは、Docker Engine の特定のバージョンに影響を及ぼす重大な脆弱性に関するものだ。この脆弱性 CVE-2024-41110 (CVSS：10) の悪用に成功した攻撃者は、特定の状況下で認証プラグイン (AuthZ) のバイパスを可能とし、権限昇格などの不正なアクションを実施する機会を得る。基本的に、この脆弱性が悪用される可能性は低いが、影響は深刻と思われるため、Docker ユーザーは注意を払うべきである。

脆弱性 CosmicSting CVE-2024-34102：１時間に 3～5件のペースで侵害される Magento ストア

Critical Magento Flaw Exploited: CosmicSting (CVE-2024-34102) Strikes Global Brands

2024/07/15 SecurityOnline — Adobe Commerce と Magento を用いるストアへの、深刻な脅威である脆弱性 CVE-2024-34102 (別名：CosmicSting) は、現在も活発に悪用され続けている。セキュリティ企業 Sansec の新たな調査では、攻撃の急増が明らかになり、１時間あたり 3～5件のペースでオンラインストアが侵害されているとのことだ。その被害者には、国際的なブランドも含まれているようだ。

Microsoft SharePoint Server に３つの脆弱性： RCE の PoCも公開

RCE Vulnerabilities in Microsoft SharePoint Server: PoC Exploit Code Published

2024/07/10 SecurityOnline — Microsoft SharePoint Server に存在する、３つの脆弱性 (CVE-2024-38023／CVE-2024-38024／CVE-2024-38094) に対する PoC エクスプロイトが、セキュリティ研究者である Janggggg により公開された。現時点で、詳細な技術情報は開示されていないが、これらの脆弱性に関連する潜在的なリスクは、提供された PoC エクスプロイト・コードにより十分に証明される。これらの脆弱性は、すべて RCE の脆弱性に分類され、特権昇格された攻撃者は、影響を受けるシステムを乗っ取る可能性を手にする。

Twilio Authy の API に脆弱性：3,300万件の電話番号を含むユーザー情報が流出

Hackers abused API to verify millions of Authy MFA phone numbers

2024/07/03 BleepingComputer — Twilio が認めたのは、数百万人の Authy 多要素認証ユーザーの電話番号を確認できる脅威アクターたちが、SMS フィッシングや SIM スワッピングなどの攻撃を仕掛けてくる可能性があることだ。Authy は、MFA をサポートしている Web サイトにおいて、多要素認証コードを生成するモバイル・アプリだが、その API エンドポイントの安全性が欠如していた。2024年6月下旬に、ShinyHunters という脅威アクターが流出させた CSV ファイルには、Authy サービスに登録された 3,300万件の電話番号を含まれていた。

GeoServer の脆弱性 CVE-2024-36401 (CVSS 9.8) が FIX：RCE の恐れ

CVE-2024-36401 (CVSS 9.8): Urgent Patch Needed for GeoServer RCE Vulnerability

2024/07/02 SecurityOnline — 地理空間データを管理／共有するための、OSS プラットフォームとして広く利用されているGeoServer に、深刻な脆弱性 CVE-2024-36401 (CVSS：9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるサーバ上で任意のコード実行が可能となり、機密性の高い地図や位置情報が危険にさらされる。

ProxyLogon／ProxyShell の脆弱性が復活：政府機関の電子メールが侵害される

ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached

2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約３年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア／ヨーロッパ／南米などの、複数の地域の政府機関に影響を及ぼしている。

WordPress SEOPress Plugin の脆弱性 CVE-2024-5488 が FIX：30万のサイトに RCE 攻撃に可能性

SEOPress Plugin Alert: CVE-2024-5488 Flaw Exposes 300K Sites

2024/06/25 SecurityOnline — 300,000 万以上のアクティブなインストールを誇る WordPress プラグイン SEOPress に、脆弱性 CVE-2024-5488 (CVSS：8.1) が発見された。この脆弱性の悪用に成功した権限のない攻撃者は、認証をバイパスして機密データの操作を達成し、リモート・コード実行の可能性を手にする。

Bludit CMS に深刻な RCEなどの脆弱性：PoC の提供と緩和策について

Bludit CMS Faces Critical Security Vulnerabilities: RCE and More, No Patch Available

2024/06/24 SecurityOnline — 多数の Web サイトで使用されている Bludit の５つの深刻な脆弱性が、先日に Redguard のサイバー・セキュリティ研究者 Andreas Pfefferle により発見された。人気の OSS フラットファイル CMS で発生した、これらの脆弱性のうち２つは特に深刻であり、悪用に成功した攻撃者がリモート・コードを実行することで、標的とする Web サイトの制御が完全に奪われる可能性が生じる。

AI プラットフォーム Ollama に脆弱性 CVE-2024-37032：リモート・コード実行の恐れ

Critical RCE Vulnerability Discovered in Ollama AI Infrastructure Tool

2024/06/24 TheHackerNews — オープンソースの AI インフラ・プラットフォーム Ollama に存在する、リモート・コード実行の脆弱性 CVE-2024-37032 に関する詳細情報が、クラウド・セキュリティ企業 Wiz により公開された。この Wiz が Probllama と命名する脆弱性は、2024年5月5日に情報が開示され、その後の 5月7日にリリースされた Ollama 0.1.34 で対処されている。

Python ライブラリ js2py の脆弱性 CVE-2024-28397：PoC エクスプロイトと技術的詳細が公開

CVE-2024-28397: js2py Vulnerability Exposes Millions of Python Users to RCE

2024/06/21 SecurityOnline — 月間のダウンロード数が 100万を超える、Python ライブラリjs2py に存在する脆弱性 CVE-2024-28397 (CVSS：8.8) により、無数の Web スクレイパーやアプリケーションが、RCE (remote code execution) 攻撃にさらされる可能性が生じている。この脆弱性の悪用に成功した攻撃者は、JavaScript のサンドボックスを抜け出し、基盤となるシステム上で任意のコマンドを実行することが可能になるという。

AWS 環境を狙うキャンペーン：Secrets Manager／S3 Bucket に加えて Glacier vault も標的に

AWS Under Siege: Attackers Target Vaults, Buckets, and Secrets in Widespread Campaign

2024/06/19 SecurityOnline — Amazon Web Services (AWS) 環境を標的とするキャンペーンは、クラウド・リソースの侵害を目的とした活動の、新たな流れを浮き彫りにしている。この DataDog Security Labs が発見したキャンペーンにおいて、攻撃者が採用する多方面からのアプローチは、Secrets Manager／S3 Bucket からと、これまで未開拓であった S3 Glacier vaults からの、データの抽出と流出に焦点を当てたものとなっている。

Spring Cloud の脆弱性 CVE-2024-22263 が FIX：サーバ乗っ取りが生じる恐れ

CVE-2024-22263 Flaw in Spring Cloud Data Flow Could Lead to Server Takeover

2024/05/29 SecurityOnline — Cloud Foundry および Kubernetes 環境において、マイクロ・サービス・ベースのストリーミング／バッチ・データ処理に広く使用されている、Spring Cloud Data Flow フレームワークに脆弱性 CVE-2024-22263 が発見された。この脆弱性は深刻度が高いとされており、攻撃者に、任意のファイル書き込みを許し、深刻なサーバ侵害につながる恐れがある。

Dell API への侵害：4900万人分の顧客情報が容易に流出してしまった

Dell API abused to steal 49 million customer records in data breach

2024/05/10 BleepingComputer — 先日に発生した Dell におけるデータ流出の背後にいる脅威アクターは、自身で作った偽の会社からアクセスした Partner Portal API を介して、4900万人分の顧客情報をスクレイピングしたことを明らかにした。昨日に BleepingComputer が報じたのは、データ侵害により個人データが盗まれたことを警告する通知を、Dell が顧客に送り始めたことだ。このインシデントで流出したデータには、保証情報／サービスタグ／顧客名／設置場所／顧客番号／注文番号などが含まれていたという。

Apache ActiveMQ の脆弱性 CVE-2024-32114 が FIX：コンフィグ修正の緩和策も提供

CVE-2024-32114: High-Severity Vulnerability Exposed in Apache ActiveMQ

2024/05/02 SecurityOnline — Apache ActiveMQ は、最も人気のある Open-Source／Multi-Protocol／Java-based のメッセージ・ブローカーとして広く知られており、JavaScript／C／C++／Python／.Net などのプログラミング言語と、多様なクライアントソフトウェアとの間の通信を容易にする。さらに、AMQP のような標準プロトコルをサポートすることで、マルチ・プラットフォーム・アプリケーションを統合する際の、幅広い互換性と柔軟性を確保している。しかしながら、バージョン 6.x で発見された、深刻度の高いセキュリティ脆弱性 CVE-2024-32114 により、同プラットフォームのユーザーに重大なリスクが生じている。

Microsoft Graph API ：C2 インフラ構築のための悪用が増加している

Microsoft Graph API Emerges as a Top Attacker Tool to Plot Data Theft

2024/05/02 DarkReading — 国家によるスパイ活動において増加しているのは、C2 (command-and-control) サーバをホストするために、Microsoft のネイティブ・サービスを利用するケースである。近ごろ、多くのグループが、独自のインフラを構築し維持するよりも、Microsoft のサービスを利用した方が経済的／効果的であるということに気づき始めている。独自のインフラを構築／維持する必要がないため、コストや手間が省けるだけではなく、正規のサービスを利用することで、攻撃者の悪意の行動を巧妙に、正規のネットワーク・トラフィックに紛れ込ませることが可能になる。

Dropbox Sign のデータ侵害：ユーザー情報への不正アクセスが発生

Dropbox Discloses Breach of Digital Signature Service Affecting All Users

2024/05/02 TheHackerNews — 4月24日に Dropbox が明らかにしたのは、Dropbox Sign (旧 HelloSign) が正体不明の脅威アクターにより侵害され、電子署名製品の全ユーザーに関連するＥメール／ユーザー名／一般的なアカウント設定などが不正アクセスを受けたことだ。同社は、米国証券取引委員会 (SEC) に提出した書類の中で、4月24日に不正アクセスに気づいたと述べている。なお、Dropbox は、2019年1月に HelloSign の買収計画を発表していた。

node-mysql2 の脆弱性 CVE-2024-21508 などが FIX：PoC も公開！

Critical Vulnerabilities in Popular Database Library Expose Millions of Applications to Attack

2024/04/23 SecurityOnline — 無数の Web アプリケーションとバックエンド・システムの基盤である、JavaScript データベース・ライブラリ node-mysql2 に複数の脆弱性が存在することが、セキュリティ研究者たちにより発見された。これらの脆弱性は、CVE-2024-21508／CVE-2024-21509／CVE-2024-21511 として追跡されており、あらゆる業界の組織に対して、広範な影響を及ぼす可能性がある。

Akana Community Manager Developer Portal の SSRF 脆弱性 CVE-2024-2796 が FIX：直ちにアップデートを！

CVE-2024-2796: Critical Vulnerability Discovered in Popular API Developer Portal

2024/04/21 SecurityOnline — API 開発者のためのポータルを、構築／管理するために広く使用されている Perforce Akana Community Manager Developer Portal に、重大な脆弱性 CVE-2024-2796 (CVSS：9.3) が、セキュリティ研究者である Jakob Antonsson により発見された。この脆弱性を悪用する攻撃者は、SSRF (server-side request forgery) 攻撃を引き起こす可能性を持つ。

増加し続ける悪質なボット：全インターネット・トラフィックの約半数に到達 – Imperva

Bots dominate internet activity, account for nearly half of all traffic

2024/04/18 HelpNetSecurity — 2023 年の全インターネット・トラフィックの、49.6％はボットによるものであり、前年比で２％増加しているという。Thales の子会社である Imperva が 2013年に自動トラフィック監視を開始して以来、この数字は最も高い水準となった。悪質なボットが生み出す Web トラフィックの割合は、５年連続で増加し続けており、2022年の 30.2％から 2023年の 32％へと増加し、人間であるユーザーからのトラフィックは 50.4% に減少した。Web サイト／API／アプリケーションなどへの、自動化されたトラフィックが引き起こす攻撃により、年間で数十億ドル (USD) 相当の損害が、ユーザー組織に発生している。

Grafana の脆弱性 CVE-2024-1313 が FIX：データ削除を防ぐために直ちにパッチを！

CVE-2024-1313: BOLA Flaw in Grafana Threatens Dashboard Integrity – Patch Immediately

2024/03/27 SecurityOnline — Grafana で、Broken Object Level Authorization (BOLA) の脆弱性 CVE-2024-1313 が発見された。したがって、このソフトウェアに依存して、重要なデータを可視化している組織には、早急にパッチを適用する必要性が生じている。この脆弱性は、Palo Alto Research の Ravid Mazon と Jay Chen により検出されたものであり、その悪用に成功した権限のないユーザーが、悪意を持ってスナップショットを削除できるため、ダッシュボードに混乱が生じ、データの整合性が毀損し、業務に支障が発生する可能性がある。

企業の 95％が API のセキュリティ問題に直面している – Fastly 調査

95% of companies face API security problems

2024/03/22 HelpNetSecurity — API が重要な役割を担っているにもかかわらず、ビジネスにおける意思決定者の大多数は、急増している企業のセキュリティ・リスクに対して無関心であることが、Fastly の調査で明らかになった。API (Application Programming Interfaces) は、長い間にわたってデジタル経済の基盤として認識されてきた。最近の統計によると、全インターネット・トラフィックの大半が API を経由していることが分かる。

API セキュリティ戦略を見直す：魅力的な侵入経路を脅威アクターに提供しないために

The importance of a good API security strategy

2024/02/21 HelpNetSecurity — Cloudflare 2024 API Security & Management Report によると、今年の API リクエストはグローバルにおけるインターネット・トラフィックの 57% を占めることになり、現代のソフトウェア開発における極めて重要な要素としての、API の存在が裏付けられている。しかし、API の採用が毎年のように増加するにつれて、関連するセキュリティ上の課題も増加している。過去の２年間において、60％のユーザー組織が、API に関連する侵害を少なくとも１回は経験している。これは憂慮すべき傾向であり、対処すべき問題である。

OpenObserve の脆弱性 CVE-2024-25106／CVE-2024-24830：不正アクセスと権限昇格が生じる恐れ

Critical Flaws Uncovered in OpenObserve: A Deep Dive into CVE-2024-25106 & CVE-2024-24830

2024/02/12 SecurityOnline — クラウド・ネイティブの観測プラットフォームである OpenObserve は、ログ／メトリクス／トレース／アナリティクス／RUM (Real User Monitoring) などに関する、詳細を把握するための機能を搭載している。さらに OpenObserve は、PB (ペタバイト) 規模での運用を想定して設計されており、データ観測の複雑なタスクを簡素化し、Elasticsearch に代わる使いやすいプラットフォームを提供している。近ごろ、その OpenObserve に、攻撃者に不正アクセスと権限昇格をゆるす可能性がある、２つの深刻な脆弱性 CVE-2024-25106／CVE-2024-24830 が発見された。

Cisco Expressway の脆弱性 CVE-2024-20252／CVE-2024-20254 などが FIX：ただちにパッチを！

Critical Cisco bug exposes Expressway gateways to CSRF attacks

2024/02/07 BleepingComputer — Cisco Expressway シリーズ・コラボレーション・ゲートウェイに影響を及ぼす、複数の脆弱性に対してパッチが適用された。そのうちの２つは、深刻度が Critical と評価されるものであり、脆弱なデバイスがクロス・サイト・リクエスト・フォージェリ (CSRF) 攻撃にさらされる可能性がある。

Oracle WebLogic Server の RCE 脆弱性 CVE-2024-20931 が FIX：PoC も公開された

PoC Releases for Oracle WebLogic Server Servers RCE Flaw (CVE-2024-20931)

2024/02/07 SecurityOnline — 最近にパッチが適用された Oracle WebLogic Server の脆弱性 CVE-2024-20931 (CVSS：7.5) に対して、任意のコード実行を可能にする PoC エクスプロイト・コードが公開された。この脆弱性は、Oracle WebLogic Server の、特に T3/IIOP プロトコルに影響するものであり、新しいクラスのサイバー脅威に対する防御を強化することを目的とする、Oracle の 2024年1月の Patch Update で公開されたものだ。

Fortinet FortiSIEM の脆弱性 CVE-2024-23108／CVE-2024-23109 が FIX：直ちにパッチを！

CVE-2024-23108 & CVE-2024-23109 (CVSS 10): Critical Command Injection Flaws in Fortinet FortiSIEM

2024/02/05 SecurityOnline — Fortinet の FortiSIEM supervisor に、２つの深刻な OS コマンド・インジェクションの脆弱性があるという警告が発せられている。脆弱性 CVE-2024-23108／CVE-2024-23109 は、リモートの認証されていない攻撃者による、特別に細工された API リクエストを介して、不正なコマンド実行にいたる恐れがあるものだ。これらの脆弱性の CVSS 値は 10.0 であり、深刻度 Critical と評価されているため、世界中の組織にとって重大な脅威になっている。

Chrome サードパーティ Cookie の段階的な廃止が始まる：あなたはテストの対象？

Check if you’re in Google Chrome’s third-party cookie phaseout test

2024/02/03 BleepingComputer — Google Chrome のサードパーティ Cookie の、段階的な廃止のテストが開始された。このテストは、ユーザーの約１％にあたる、約 3,000万人を対象に実施されるという。この記事では、自分がテストの対象に該当するかどうかを、確認する方法を紹介する。サードパーティ Cookie とは、ターゲット広告のために、さまざまな Web サイトでのユーザーの閲覧習慣を追跡するものだが、Google の Privacy Sandbox API へと、徐々に置き換えられている。Privacy Sandbox API とは、ユーザーのプライバシーを損なうことなく、ユーザーの興味に基づき、パーソナライズされた広告表示を行うことを目的としている。

GKE ミスコンフィグと脆弱性： 250,000 もの Kubernetes クラスタに影響

Google Kubernetes Misconfig Lets Any Gmail Account Control Your Clusters

2024/01/24 TheHackerNews — Google Kubernetes Engine (GKE) に影響を与える脆弱性が、ybersecurity の研究者たちにより発見された。この脆弱性は、クラウド・セキュリティ企業 Orca によりコードネーム Sys:All と命名されており、現存する 250,000 ものアクティブな GKE クラスタに影響を与える可能性があると推定される。

Windows XAML Diagnostics の脆弱性 CVE-2023-36003：PoC エクスプロイトが公開

Researchers Release PoC Exploit for Windows XAML Diagnostics EoP Flaw

2024/01/14 SecurityOnline — Windows XAML Diagnostics に存在する、すでにパッチが公開された深刻な脆弱性 CVE-2023-36003 に対して、PoC エクスプロイト・コードが公開された。この脆弱性は、セキュリティ研究者である Michael Maltsev が、2023年7 月に Microsoft に報告したものだ。

Google API を介したトークン窃取：OAuth MultiLogin 問題は軽視されている？

Google: Malware abusing API is standard token theft, not an API issue

2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する２つの情報窃盗マルウェア・オペレーション Lumma／Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。

OAuth エンドポイント MultiLogin：Google 認証クッキー復元の PoC もリリース

Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts

2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。

Google が提案する WEI API：大反対する Vivaldi／Brave／Firefox などの言い分は？

Browser developers push back on Google’s “web DRM” WEI API

2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi／Brave／Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。

VMware の深刻な脆弱性が FIX：Cloud Foundry API 管理者クレデンシャルへのアクセス

VMware fixes bug exposing CF API admin credentials in audit logs

2023/07/25 BleepingComputer — VMware の Tanzu Application Service for VMs (TAS for VMs) および Isolation Segment に存在する、情報漏えいの脆弱性が修正された。TAS for VMは、オンプレミス／パブリック／プライベート・クラウド (vSphere／AWS／Azure／GCP／OpenStack など) にまたがるアプリケーションを、ユーザー企業がデプロイする際の自動化を促進するものだ。この脆弱性 CVE-2023-20891 は、7月25日に Vmware が対処したものであり、パッチを適用していないシステムにおいて、Cloud Foundry API の管理者認証情報に対して、低権限のリモート攻撃者によるアクセスを許すものとなっている。

Ivanti EPMM (MobileIron) のゼロデイ CVE-2023-35078 が FIX：早急にパッチ適用を！

Ivanti patches MobileIron zero-day bug exploited in attacks

2023/07/24 BleepingComputer — 7月23日に、米国の IT ソフトウェア企業である Ivanti は、同社のモバイル・デバイス管理ソフトウェアである Endpoint Manager Mobile (EPMM／旧 MobileIron Core) のゼロデイ脆弱性にパッチを適用した。この、リモート認証を必要としない API アクセスの脆弱性は、CVE-2023-35078 として追跡されている。そしてパッチ適用は、EPM 11.8.1.1／11.9.1.1／11.10.0.2 で対処されている。なお、11.7.0.0／11.5.0.0 を含む、11.8.1.0 以下の未サポート／サポート終了のバージョンも対象となる。

AI と Open Source の関係：半数以上のプロジェクトで脆弱なパッケージが使用されている

Half of AI Open Source Projects Reference Buggy Packages

2023/07/20 InfoSecurity — AI テクノロジー・スタック全体で、オープンソースが役割を拡大しているが、大半のプロジェクト (52％) ではマニフェスト・ファイルを用いて、既知の脆弱な依存関係が参照されていると、Endor Labs は指摘している。セキュリティ・ベンダーである Endor Labs の最新レポート State of Dependency Management によると、ChatGPT の API はリリースから僅か５ヶ月で、”多様な問題領域”にまたがる 900件の npm／PyPI パッケージで使用されており、これらのパッケージの 70% は真新しいものだという。しかし、あらゆるオープンソース・プロジェクトと同様に、脆弱な依存関係に伴うセキュリティ・リスクは管理される必要があると、Endor Labs は警告している。

JumpCloud で APT データ侵害：顧客データの漏洩により深刻化している

JumpCloud Confirms Data Breach By Nation-State Actor

2023/07/18 InfoSecurity — ID およびアクセス管理のソリューション・プロバイダーである JumpCloud は、国家を標的とする脅威アクターによる、セキュリティ侵害の標的になったことを、2023年7月12日に明らかにした。この侵害は 6月27日に、社内のオーケストレーション・システムで異常なアクティビティが検出されたことで明らかになった。このインシデントは、6月22日に脅威アクターが開始したスピア・フィッシング・キャンペーンにより、JumpCloud インフラの特定のセクションに不正アクセスは発生したというものだ。

Google Cloud Build の深刻な脆弱性：MOVEit 悪用のような問題を生じる恐れ

Google Cloud Build bug lets hackers launch supply chain attacks

2023/07/18 BleepingComputer — クラウド・セキュリティ企業 Orca Security が発見した、Google Cloud Build サービスの重大な設計上の欠陥は、攻撃者を特権へとエスカレートさせ、Google Artifact Registry コード・リポジトリへの、ほぼ完全なアクセスを提供する可能性があるというものだ。この Bad.Build と名付けられた欠陥を悪用する脅威アクターたちは、Google Cloud Build の CI/CD (continuous integration and delivery) サービスのアカウントになりすまし、アーティファクト・レジストリに対して API コールを実行し、アプリケーション・イメージを制御することが可能になる。たとえば、悪意のコードの注入や、脆弱なアプリの作成などを行った後に、顧客の環境内に悪意のあるアプリをデプロイした攻撃者が、サプライチェーン攻撃を仕掛ける可能性が生じてくる。

Azure AD 署名キーが盗まれた方法：依然として不明だと Microsoft が公表

Microsoft still unsure how hackers stole Azure AD signing key

2023/07/14 BleepingComputer — 中国のハッカーが、米政府機関を含む 20以上の組織の Exchange Online および Azure AD アカウントに侵入したが、そこで使用された非アクティブな Microsoft Account (MSA) のコンシューマー署名キーが、盗まれた方法は依然として不明だと Microsoft が発表した。7月14日に Microsoft が発表した最新アドバイザリには、「犯人が、このキーを入手した方法については、現在調査中である」と記されている。複数の政府機関の Exchange Online メール・サービスへの不正アクセスが発見された後に、このインシデントは米国政府当局により報告されている。

Cisco SD-WAN vManage の深刻な脆弱性 CVE-2023-20214 が FIX：REST API に注意

Cisco SD-WAN vManage impacted by unauthenticated REST API access

2023/07/13 BleepingComputer — Cisco SD-WAN vManage 管理ソフトウェアには、影響を受けるインスタンスの設定における限定的な読取／書込みの権限を、認証されていないリモートの攻撃者に許してしまう脆弱性が存在する。Cisco SD-WAN vManage はクラウドベースのソリューションであり、複数の場所に分散したネットワークの、ユーザー企業による設計／展開／管理を可能にする。vManage のインスタンスは、集中型ネットワーク管理／VPN の設定／SD-WAN オーケストレーション／デバイス設定の展開／ポリシーの適用などに使用される。

Mockingjay という新たなプロセス・インジェクションの手法：既存の EDR 検出を回避していく

New Mockingjay process injection technique evades EDR detection

2023/06/27 BleepingComputer — Mockingjay と名付けられた、新しいプロセス・インジェクションの手法により、脅威たちは EDR (Endpoint Detection and Response) などのセキュリティ製品による検知を回避し、侵害したシステム上で悪意のコードを密かに実行できるという。この手法を発見したのは、サイバー・セキュリティ企業 Security Joes の研究者たちである、具体的に言うと、RWX (Read／Write／Execute) セクションを持つ正規の DLL を利用して、EDR のフックを回避し、リモート・プロセスにコードを注入するものとなる。

CISO の最大の懸念：サプライチェーンと API のセキュリティ – Salt Security

Supply Chain and APIs Top Security Concerns, CISO Survey Shows

2023/06/21 InfoSecurity — 最近の CISO (Chief Information Security Officers) 調査により、主要なセキュリティ懸念事項として、サプライチェーンと API が浮上していることが分かった。この調査は、API セキュリティ企業の Salt Security が委託し、Global Surveyz が実施したものであり、グローバルにおける 300人の CISO／CSO からの意見がまとめられている。この調査結果によると、CISO の 89％が、デジタル・サービスの急速な展開から生じ、重要なビジネス・データのセキュリティを脅かす、予期せぬリスクに取り組んでいるという。

API セキュリティの強化：そのための管理体制とベストプラクティスとは？

How to Improve Your API Security Posture

2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信／共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。

OWASP API Top-10 Risk の 2023版が公開：これまでの 2019版との違いは？

OWASP’s 2023 API Security Top 10 Refines View of API Risks

2023/06/07 SecurityWeek — 2023年の主要な API セキュリティ・リスクに関する、OWASP のランキングが発表された。このランキングは、2019年との類似点が多いが、いくつかが再編成／再定義されたのに加えて、新しいコンセプトも含まれている。

API は何ができる？何ができない？どうしたら安全に使える？

What APIs Do and Don’t Do

2023/06/06 tripwire — 最近のテクノロジーの世界で、API について耳にしない日はない。ChatGPT の API が登場したときも、Twitter の深刻なデータ漏洩のニュースが報じられたときも、API が主役であった。しかし、どこにでもある API なのだが、多くの人々は API の機能 (限界) について疑問を抱いている。API は何のためにあるのか？APIは何をするものなのか？そして、今の時代にできないものは何なのか？

CAPTCHA 解除サービスの蔓延：API を介して手作業を実施する犯罪組織の存在

CAPTCHA-Breaking Services with Human Solvers Helping Cybercriminals Defeat Security

2023/05/30 TheHackerNews — ボットと正規ユーザーのトラフィックを識別する CAPTCHA システムを、バイパスするための解除サービスが販売されていると、サイバーセキュリティ研究者たちが警告している。Trend Micro は先週のレポートで、「サイバー犯罪者は、CAPTCHA を解除することに熱心であり、この需要に対応した、いくつかのサービスが展開されている。これらの CAPTCHA 解除サービスは、光学式文字認識や機械学習手法などを使用するのではなく、CAPTCHA の解除を実際の人間に委託して解除している」と述べている。