Log4j exploitation risk is not as high as first thought, cyber MGA says
2022/02/11 HelpNetSecurity — 2021年12月に Log4Shell の脆弱性 (CVE-2021-44228) が公表されたとき、CISA の Director である Jen Easterly は、自身の数十年のキャリアの中で見てきた最も深刻な脆弱性であり、対策には何年もかかる可能性があると述べた。それは真実である。この欠陥は、熟練していない攻撃者であっても、リモートから悪用できるオープンソース・ライブラリに存在している。そして、脆弱なバージョンは随所で利用され、いまだにダウンロードされている。
Continue reading “Log4j 悪用のリスクは予測値ほど高くない:保険会社 MGA の視点とは?”Microsoft February 2022 Patch Tuesday fixes 48 flaws, 1 zero-day
2022/02/08 BleepingComputer — 本日、Microsoft は February 2022 Patch Tuesday で、ゼロデイ脆弱性1件を含む、合計で 48件の欠陥を修正した。なお、アップデートされた 48件の脆弱性 (22件の Microsoft Edge 脆弱性は除く) の中に、Critical に分類されるものはない。
Continue reading “Microsoft 2022-02 月例アップデートは1件のゼロデイと 48件の脆弱性に対応”CISA orders federal agencies to patch actively exploited Windows bug
2022/02/04 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府機関にパッチの適用を命じることで、攻撃者による SYSTEM 権限を許してしまう、Windows の脆弱性に対処しようとしている。今日の発表と、2021年11月の拘束力のある業務指令 (BOD 22-01) より、すべての連邦民間行政機関 (FCEB:Federal Civilian Executive Branch Agencies) は、2月18日までの2週間以内に、脆弱性 CVE-2022-21882 に関連する、すべてのシステムへのパッチ適用が求められている。
Continue reading “CISA が政府機関にパッチ適用を命令:Windows の深刻な脆弱性 CVE-2022-21882”Trend Micro fixed 2 flaws in Hybrid Cloud Security products
2022/02/03 SecurityAffairs — Trend Micro は、同社のハイブリッド・クラウド・セキュリティ製品の一部に影響をおよぼす、2つの深刻度の高い脆弱性 (CVE-2022-23119/CVE-2022-23120) を修正するセキュリティ・アップデートを公開した。これらの脆弱性は、ワークロード・セキュリティ・ソリューションである Deep Security と Cloud One に影響するものだ。
Continue reading “Trend Micro の Hybrid Cloud Security に存在する2つの深刻な脆弱性が FIX”Critical Log4j Vulnerabilities Are the Ultimate Gift for Cybercriminals
2022/02/02 DarkReading — いま、誰もがパッチ適用に追われている。Log4j のセキュリティ脆弱性が悪用されるのを防ぐために、ドアや窓に鍵をかけている。パッチの適用を急ぐことは理解できるが、多くの人が気づいていないのは、それが既に遅すぎるということだ。しかし、それは、Log4j を利用している組織にとって、悪いことだという意味ではない。この記事では、Log4j の被害を軽減するために知っておくべきこと、そして、やっておくべきことを説明していく。
まず、なぜ Log4j へのパッチ適用が、それほど複雑であるかを理解することが重要である。まず、自社のソフトウェア資産とサードパーティのコンポーネントの双方において、どれだけの資産がインターネットに公開されているかを、誰もが即座に判断できずにいる。また、組織のリスクを特定することも簡単ではない。そのためには、組織が Log4j パッケージを使用しているかどうかだけでなく、それが組織におけるミッション・クリティカルな資産と、どのように関連しているかを知る必要がある。
Continue reading “Log4j 脆弱性へのパッチ適用:もう遅いのか?その前に考えるべきことは?”IAB Prophet Spider Seizes Opportunity to Exploit Log4j Vulnerability
2022/02/02 SecurityBoulevard — イニシャル・アクセス・ブローカー (initial access broker:IAB) グループである Prophet Spider による攻撃は、最近になって発見された VMware Horizon での Log4j 脆弱性の悪用と相関関係があることが判明した。また、侵害の兆候を示すいくつかの指標は、自身の組織に対する攻撃の有無を、セキュリティ・チームが判断するのに役立つ。
Prophet Spider 攻撃を発見したBlackBerry Research & IntelligenceとIncident Response チームによると、昨年末に VMware は Log4Shell パッチと緩和のためのガイダンスを発行したが、多くの実装においてパッチが適用されていない。
Continue reading “アクセス・ブローカー Prophet Spider が Log4Shell 攻撃を増幅させる”Microsoft Outlook RCE zero-day exploits now selling for $400,000
2022/01/28 BleepingComputer — Exploit Brokerである Zerodium は、Microsoft Outlook メール・クライアントにおけるリモートコード実行 (RCE) を可能にする、ゼロデイ脆弱性に対する報酬を $400,000 に引き上げることを発表した。同社は、この新たな報酬額は永続的なものではないと短いツイートで述べているが、提出の終了日はまだ公表されていない。
Continue reading “Microsoft Outlook のゼロデイ/ゼロクリック RCE 脆弱性の報奨金は $400,000”How would zero trust prevent a Log4Shell attack?
2022/01/27 HelpNetSecurity — どのようなリモートコード実行の攻撃であっても、一見すると些細に思える解決策がある。それは、インバウンド・トラフィックが、サーバーの脆弱性を引き起こすパターンと、一致しないようにすることだ。言うのは簡単だが、実行するのは困難である。致命的な深刻さを持つ Log4j の脆弱性を誘発する可能性のあるトラフィック・パターンには、ほぼ無限のバリエーションがある。
Continue reading “ゼロトラストと Log4Shell:どのように考えれば攻撃を防げるのか?”Linux system service bug gives root on all major distros, exploit released
2022/01/25 BleepingComputer — Polkit の pkexec コンポーネントには、脆弱性 CVE-2021-4034 が存在し、また、主要な Linux ディストリビューションのデフォルト設定に含まれているという。CVE-2021-4034 は PwnKit と名付けられ、その起源は 12年以上前の pkexec の最初のコミットまで追跡されており、すべての Polkit バージョンが影響を受けることになる。
Continue reading “Linux Polkit の深刻な脆弱性 CVE-2021-4034:PoC エクスプロイトが登場?”Linux kernel bug can let hackers escape Kubernetes containers
2022/01/25 BleepingComputer — Linux カーネルに影響する脆弱性 CVE-2022-0185 が、Kubernetes のコンテナを脱出する攻撃者に利用されると、ホストシステム上のリソースへのアクセスを許すことになる。セキュリティ研究者たちは、この欠陥の悪用は当初の予測よりも容易であり、間もなくエクスプロイト・コードが公開されるため、パッチの適用が急務であると警告している。
Continue reading “Linux カーネルのバグが Kubernetes コンテナからの脱出を許す?”Microsoft: SolarWinds fixes Serv-U bug exploited for Log4j attacks
2022/01/19 BleepingComputer — Microsoft が発見した Serv-U の脆弱性に対して、SolarWinds がパッチを適用した。この脆弱性は、脅威アクターが Log4j 攻撃を、ネットワーク上の内部デバイスに伝播させるために積極的に利用するものだ。Microsoft によると、Log4j 攻撃の監視中に、この脆弱性を発見したとのことだ。このバグは、Microsoft のセキュリティ研究者である Jonathan Bar Or が発見した不適切な入力検証の脆弱性であり、攻撃者により作成されたクエリが、無節操にネットワーク上に送信されることになる。
Continue reading “Microsoft が発見した新たな SolarWinds Serv-U バグが FIX:Log4j 攻撃を伝搬する?”SEC, FTC Issue Warning on Log4j Vulnerabilities
2022/01/14 SecurityBoulevard — 米国連邦取引委員会 (Federal Trade Commission : FTC) および米国証券取引委員会 (Securities and Exchange Commission : SEC) は、Log4j の脆弱性がもたらすリスクに対処していない企業に警告を発している。特に FTC は、消費者向けの製品やサービスに含まれる、様々なシステム・アクティビティを記録するために使用されている、ユビキタス・ソフトウェアである Log4j のセキュリティ脆弱性を修正するよう企業に警告している。
Continue reading “SEC と FTC の Log4j 脆弱性をめぐる警告:金融分野での悪用に備える米政府”TellYouThePass ransomware returns as a cross-platform Golang threat
2022/01/12 BleepingComputer — TellYouThePass ランサムウェアは、Golang でコンパイルされたマルウェアとして再登場し、多様なオペレーティング・システムにおいて、特に macOS と Linux を標的にすることが容易になった。このマルウェアは、先月に Log4Shell エクスプロイトと組み合わせることで、脆弱なマシンを狙うために使用されたことで注目されている。今回、Crowdstrike が発表したレポートは、Windows 以外のプラットフォーム向けのコンパイルを容易にする、コードレベルの変更による復活に注目している。
Continue reading “TellYouThePass ランサムウェアが復活:Golang によるクロス・プラットフォームと Log4Shell”Oxeye Tool Can Counter Log4j Obfuscation Attacks
2022/01/12 SecurityBoulevard — 今日、Oxeye は、Ox4Shell と名付けられた、オープンソースの対難読化ツールを発表した。それにより、サイバーセキュリティ・チームは、脆弱性 Log4Shell を利用しようとする、隠れたペイロードをより簡単に発見できるようになる。多くの企業の IT 部門は、Java アプリケーションからログデータを収集するために広く使用されている、Log4j で発見された一連のゼロデイ脆弱性に悩まされている。Oxeye の CTO である Ron Vider は Ox4Shell について、脆弱性 Log4jShell を悪用するペイロードを隠すために、多くのサイバー犯罪者が用いる難読化戦術に対抗するために設計されていると述べている。
Continue reading “Oxeye の Ox4Shell は Log4Shell の難読化に対抗するためのツールだ”2022/01/12 DailySwig — Mozilla Firefox に存在する、セキュリティ問題にパッチが適用された。この問題は、攻撃者が密かに実行するフルスクリーン・モードを介して、正規の Web サイトに成りすますことを許すものだ。この脆弱性 CVE-2022-22746 は、Windows 版の Firefox に存在していたものであり、競合状態のバグにより、ブラウザのフルスクリーン通知の警告が回避されてしまうという。それにより、攻撃者はユーザーを騙すことが可能となり、悪意のリンクのクリックや、偽 Web サイトへの機密情報の入力といった、悪意のある行為を実行できる。
Continue reading “Firefox 96 でフィッシングを止めろ:フルスクリーン通知バイパスの脆弱性などが FIX”Night Sky ransomware uses Log4j bug to hack VMware Horizon servers
2022/01/11 BleepingComputer — ランサムウェア Night Sky が、Log4j ロギング・ライブラリに存在する深刻な脆弱性 CVE-2021-44228 (Log4Shell) を悪用し、VMware Horizon システムへのアクセスを開始した。このランサムウェアは、正規の企業を装ったドメインから、Web 上に公開されている脆弱なマシンを標的としており、その中にはテクノロジーやサイバー・セキュリティ分野の企業も含まれている。
Continue reading “Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された”Microsoft: New critical Windows HTTP vulnerability is wormable
2022/01/11 BleepingComputer — Microsoft は、Windows 11 および Windows Server 2022 などの、最新の Windows デスクトップ/サーバーに影響を与えることが判明した、wormable と呼ばれる深刻な脆弱性にパッチを適用した。この脆弱性 CVE-2022-21907 (CVSS 値 7.8) には、今月の Patch Tuesday が適用されている。
Continue reading “Microsoft Windows の HTTP プロトコル・スタックに存在する脆弱性 wormable が FIX”CISA Unaware of Any Significant Log4j Breaches in U.S.
2022/01/11 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) だが、先日に公開された Log4j の脆弱性に関連した深刻な侵害について、現在のところ検知していないと述べている。月曜日に行われたメディアへのブリーフィングで、CISA の Director である Jen Easterly と、Executive Assistant Director for Cybersecurity である Eric Goldstein は、深刻なインシデントは検知していないと述べている。これは、数多くの組織が迅速に対応した結果だと思われる。
Continue reading “CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い”Microsoft January 2022 Patch Tuesday fixes 6 zero-days, 97 flaws
2022/01/11 BleepingComputer — 今日は、Microsoft の January 2022 Patch Tuesday であり、それに伴い、6つのゼロデイ脆弱性を含む、合計で97件の脆弱性が修正された。Microsoft は、今日のアップデートで、97件の脆弱性 (29件の Microsoft Edge 脆弱性を除く) を修正し、9件を Critical に、88件を Important に分類している。
Continue reading “Microsoft 2022-01 月例アップデートは6件のゼロデイと 97件の脆弱性に対応”Extremely Critical Log4J Vulnerability Leaves Much of the Internet at Risk
2022/01/10 TheHackerNews — Apache Software Foundation は、広く利用されている Java ベース・ロギング・ライブラリ Log4j に存在する、悪意のコード実行と脆弱なシステムの乗っ取りを許す、ゼロデイ脆弱性の修正プログラムを公開した。この問題は、CVE-2021-44228 として追跡され、Log4Shell または LogJam というニックネームで呼ばれている。具体的に言うと、このオープンソース・ユーティリティを使用する全てのアプリケーションにおいて、認証を必要とせずにリモートコードが実行されるというものであり、Log4j Ver 2.0-beta9〜2.14.1 に影響する。このバグの深刻度は、CVSS 値 10.0 となっているで。
Continue reading “Log4j の脆弱性は極めて深刻:多くの問題をインターネット上に残した”Microsoft Warns of Continued Attacks Exploiting Apache Log4j Vulnerabilities
2022/01/04 TheHackerNews — Microsoft は、オープンソースのロギング・フレームワーク Log4j に存在する脆弱性の悪用により、システムにマルウェアを展開しようとする試みが、国家支援ハッカーやコモディティ攻撃者により継続されていると警告している。Microsoft Threat Intelligence Center (MSTIC) は、今週の初めに発表したガイダンスの改訂版で、「12月の最後の数週間、攻撃の試みとテストが高水準で推移している。既存の攻撃者の多くが、コインマイナーからハンズオン・キーボード攻撃にいたるまで、一連の Log4j 脆弱性の悪用を、既存のマルウェア・キットや戦術に追加していることが確認されている」と述べている。
Continue reading “Microsoft 警告:Log4j 脆弱性を悪用する攻撃ベクターは広がっていく”Log4j Highlights Need for Better Handle on Software Dependencies
2022/01/04 DarkReading — 新しい年を迎えたが、サイバー・セキュリティ業界は、またしてもソフトウェア・サプライチェーン・セキュリティの悪夢がもたらす、長期化が予測される問題に直面している。アプリケーション・セキュリティのゼロデイ問題が多発した1年の最後に生じた、Log4j の脆弱性 (Log4Shell) の問題は、2021年のテーマに沿ったブックエンドのようなもので、SolaWinds がスタートさせた年を、同じようなかたちで締め括る。
Continue reading “Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ”Log4j 2.17.1 out now, fixes new remote code execution bug
2021/12/28 BleepingComputer — Apache は、Log4j 2.17.0 における、新たなリモートコード実行 (RCE) 脆弱性 CVE-2021-44832 をに対して、新バージョン 2.17.1 をリリースし、この問題を修正した。今日までは、2.17.0 が Log4j の最新バージョンであり、アップグレードする対象として、最も安全であると考えられていたが、アドバイザリは進化している。
Continue reading “Apache から Log4j 2.17.1 がリリース:新たなリモートコード実行 CVE-2021-44832 に対応”Experts monitor ongoing attacks using exploits for Log4j library flaws
2021/12/27 SecurityAffairs — DrWeb の研究者たちは、Apache Log4j ライブラリの脆弱性 (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104/CVE-2021-42550) を悪用した攻撃を監視し、また、防御策を講じる必要性を警告している。これらの脆弱性を悪用することで、脅威アクターによるターゲット・システム上での、任意のコード実行/サービス妨害 (Denial of Service)/機密情報の開示などを許してしまう。
Continue reading “Log4j ライブラリの脆弱性悪用:専門家たちが仕掛けたハニーポットからの情報”Log4j Reveals Cybersecurity’s Dirty Little Secret
2021/12/23 DarkReading — 技術系メディアが、インターネットが炎上していると報じ始めたら、重大な事態に陥っていることを意味する。Log4Shell と呼ばれる Log4j の脆弱性は、時間の経過と伴に、その深刻さが判明し、範囲と影響が拡大する一方である。米国の Cybersecurity and Infrastructure Security Agency (CISA) や英国の機関などが、直ちに対策を講じることを推奨しており、また、現代のハイテク業界の有名企業たちは、この数年で最も深刻なゼロデイ脅威に対して、深刻な脆弱性を抱えていることが判明している。
Continue reading “Log4j インシデントに暴露されたサイバー・セキュリティの駄目なところ”Arctic Wolf Script Can Discover Log4Shell Vulnerabilities
2021/12/23 SecurityBoulevard — 今週のこと、マネージド・セキュリティ・サービスを提供している Arctic Wolf は、スキャン・ツールによる Log4Shell 脆弱性の発見を支援するスクリプトを公開した。Arctic Wolf の Field CTO である Ian McShane によると、同社は Log4Shell Deep Scan スクリプトを使用して、ネストされた JAR/WAR/EAR ファイル内の CVE-2021-45046/CVE-2021-44228 の脆弱性を検出している。
Continue reading “Arctic Wolf の Log4Shell Deep Scan スクリプト:入れ子になっている Log4j を探査”Crooks bypass a Microsoft Office patch for CVE-2021-40444 to spread Formbook malware
2021/12/23 SecurityAffairs — Microsoft Office に存在する脆弱性 CVE-2021-40444 (CVSS 8.8) に関して、サイバー犯罪者たちはパッチを回避する方法を見つけ出した。そして、この脆弱性を悪用し、マルウェア Formbook を配布している。CVE-2021-40444 は、MSHTML ファイル・フォーマットに影響を与える、リモートコード実行の脆弱性である。
Continue reading “Microsoft Office の脆弱性 CVE-2021-40444:パッチ回避とマルウェア投下”Bug bounty platforms handling thousands of Log4j vulnerability reports
2021/12/22 DailySwig — 世界のソフトウェア・エコシステムに衝撃を与え続けている、Apache Log4j のバグに関連する脆弱性報告が、バグバウンティ・ハンターにより何千件も提出されている。このバグは、オープンソースの Java ロギング・ライブラリ Log4j に存在する、CVSS 値 10 という深刻な欠陥であり、これまでにない数の潜在的な標的に対して、サイバー犯罪者によるリモートコード実行 (RCE) 攻撃を許してしまうものとなる。
Continue reading “Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた”China disciplines Alibaba Cloud for handling of Log4j bug
2021/12/22 SCMP — 中国のインターネット・セキュリティ当局が、Alibaba Group Holding のクラウド・コンピューティング・サービス部門を懲戒処分にした。水曜日に中国メディアが報じたところによると、サイバー・セキュリティ業界を震撼させた Apache Log4j ソフトウェアの深刻な脆弱性を、最初に政府に報告しなかったことが原因のようだ。
Continue reading “Log4Shell を最初に中国政府に報告しなかった Alibaba:これでペナルティは可哀想”‘Hack DHS’ bug bounty program expands to Log4j security flaws
2021/12/22 BleepingComputer — 米国の国土安全保障省 (Department of Homeland Security : DHS) は、Log4j の脆弱性の影響を受けた DHSシステムを追跡してくれるバグバウンティ・ハンターにも、Hack DHS プログラムを開放することを発表した。
Continue reading “米国の国土安全保障省:Hack DHS バグバウンティ・プログラムを Log4j に拡大”Active Directory Bugs Could Let hackers Take Over Windows Domain Controllers
2021/12/21 TheHackerNews — Microsoft は、11月に対処した Active Directory ドメイン・コントローラの2つのセキュリティ脆弱性に関して、12月12日に PoC ツールを公開し、パッチを適用するよう顧客に呼びかけている。この2つの脆弱性は、CVE-2021-42278 および CVE-2021-42287 として追跡されており、深刻度を示す CVSS 値は 7.5 であり、Active Directory Domain Services (AD DS) コンポーネントに影響を与える特権昇格の欠陥を示す。この2つのバグを発見/報告したのは、Catalyst IT の Andrew Bartlett である。
Continue reading “Active Directory の脆弱性:Windows ドメイン・コントローラ乗っ取りの PoC が公開”New Log4j Attack Vector Discovered
2021/12/21 DarkReading — 12月9日に公開された Log4j のリモートコード実行 (RCE) の脆弱性だが、それを狙う攻撃への対応を進めている企業は、いくつかの新たな検討事項を念頭に置いている。Blumira のセキュリティ研究者たちは、内部およびローカルに公開された Log4j アプリケーションに対して、JavaScript による WebSocket 接続を介した、RCE の脆弱性がトリガーされる可能性があることを発見した。
Continue reading “Log4j の新たな攻撃ベクター WebSocket と3つの脆弱性に関する整理”WhiteSource Open Source Tool Can Discover Log4j Vulnerabilities
2021/12/20 SecurityBoulevard — WhiteSource は、Log4j ロギング・ソフトウェアの脆弱なインスタンスを検出するための、オープンソース・ツールを公開した。最近になって公開された Log4j の欠陥は、サイバー犯罪者が Java アプリケーションを介して、リモートコード実行 (RCE) 攻撃を仕掛けることを許してしまう。
Continue reading “WhiteSource の OSS Tool:Log4j 脆弱性の発見を容易にする”Intruders leverage Log4j flaw to breach Belgian Defense Department
2021/12/20 CyberScoop — ベルギー国防省 (Belgian Defense Ministry) のコンピュータ・ネットワークの一部が、Apache Log4j の脆弱性を悪用するサイバー攻撃を受け、木曜日から停止していると、同国の政府関係者が発表した。Olivier Séverin 報道官は VRT ニュースの取材に対して、「この週末は、すべてチームを動員して問題をコントロールし、活動を継続し、パートナーに警告を発している。最優先事項は、ネットワークの運用を継続することであり、引き続き状況を監視していく」と述べている。
Continue reading “Log4j 脆弱性を悪用する侵入者:ベルギー国防総省のネットワークを侵害”CISA Issues Emergency Directive on Log4j
2021/12/20 SecurityBoulevard — 人気の Java ベースのロギング・ライブラリ Log4j に存在する、一連の脆弱性への警戒レベルを高めるために、Cybersecurity and Infrastructure Security Agency (CISA) が緊急指令を発出した。この脆弱性は、2021年12月9日に公開された、複数の脅威アクターたちにより活発に悪用されている。
Continue reading “CISA の Log4j 緊急指令:さまざまな報告義務は意図どおりに機能するのか?”Google Finds 35,863 Java Packages Using Defective Log4j
2021/12/20 SecurityWeek — コンピュータ・セキュリティ業界は、Log4j のセキュリティ問題が散見される、長くて険しい道のりに気を引き締めている。専門家たちは、ソフトウェアの依存関係にパッチを当てる作業が上手くいかないと、世界的な緩和策が遅れてしまうと警告している。今週に、Google のオープンソース・チームが、Maven Central にある 35,863個のJava パッケージが、欠陥のある Log4j ライブラリ。バージョンを使用していると報告したことで、この危機の規模と影響が明らかになった。(編集部注:Maven Centralは最大かつ最重要な Java パッケージ・リポジトリ)
Continue reading “Google 調査:Log4j の影響を受ける Java Packages は 35,863 種類”Log4Shell Vulnerability Risks for OT Environments — and How You Can Better Protect Against Them
2021/12/19 SecurityIntelligence — Log4Shell の脆弱性を知らない (対応していない) IT 担当者はいない、と言っても過言ではないだろう。オペレーショナル・テクノロジー (OT) の分野も例外ではないが、この脆弱性が OT テクノロジーにおよぼす影響については、まだ完全には解明されていない。今月の初めに公開された、この脆弱性については、最新のパッチ情報を含め、ココで詳細を確認できる。IT 業界は、ネットワークを強化して不正侵入を防ごうとしているが、OT 環境では更に集中的なアプローチが必要になるかもしれない。
Continue reading “OT 環境での Log4Shell リスク:防御のための最適な手段を探る”Apache releases the third patch to address a new Log4j flaw
2021/12/18 SecurityAffairs — 専門家たちが、Log4j ライブラリ上の公開された2つ目の脆弱性 CVE-2021-45046 の悪用を警告する一方で、3つ目のセキュリティ脆弱性も話題になっている。ここでは、Log4j の脆弱性の時系列を整理する。1つ目の脆弱性 CVE-2021-44228 (Log4Shell) は、先週に中国のセキュリティ研究者 p0rz9 が PoC エクスプロイトを公開したことで話題になったものだ。
Continue reading “Apache Log4j の3度目のパッチ:Lookup による制御不能な再帰に対応”New Local Attack Vector Expands the Attack Surface of Log4j Vulnerability
2021/12/18 TheHackerNews — サイバー・セキュリティ研究者たちが、JavaScript による WebSocket 接続を介して、ローカル・サーバー上の Log4Shell 脆弱性を悪用するという、まったく新しい攻撃ベクターを発見した。
Continue reading “Log4j 脆弱性:WebSocket を介した新たな攻撃ベクターと参入ランサムウェア”Conti ransomware uses Log4j bug to hack VMware vCenter servers
2021/12/17 BleepingComputer — Conti のランサムウェアは、深刻な脆弱性である Log4Shell を利用して、組織内の VMware vCenter Server インスタンスに素早くアクセスし、仮想マシンを暗号化している。Conti は、この新しい攻撃手法の具体化に時間をかけることなく、Log4j の脆弱性を武器にした、最初の一線級のランサムウェア・ギャングとなった。
Continue reading “Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める”Russian Cyberspy Groups Start Exploiting Log4Shell Vulnerability
2021/12/17 SecurityWeek — 先日に公開された、Log4Shell の脆弱性を狙う国家のリストにロシアが追加されたが、すでに複数のロシアン・サイバースパイ・グループが悪用を試みている。この、CVE-2021-44228/Log4Shell/LogJam として追跡されている、Log4j の脆弱性の悪用は 12月初旬に始まっている。最初の攻撃報告では、暗号通貨マイナー/DDoS マルウェア/ランサムウェア/悪意のプログラムの配信などの、利益を追求するサイバー犯罪者に関連する活動が報告されていた。
Continue reading “ロシアのスパイグループが Log4Shell の悪用を開始:APT28/Turla/Ursnif などによる探索を検知”Log4Shell – The API Security Challenge
2021/12/16 SecurityBoulevard — 先週に発生した Log4Shell CVE-2021-44228 の脆弱性は、現代のアプリケーションや、相互に接続されたサービス、そして普及した API が、いかにしてセキュリティに大きな課題を引き起こすかを示す顕著な例である。長年にわたり、API の脆弱性を調査してきたセキュリティ・リサーチャーとしては、これは、どのようにして物事が上手くいかなくなるかを示す好例だと言いたい。私は最近、この新たな脅威に対する、私の理解を共有するために、このエクスプロイトの詳細を説明するウェビナーに参加した。
Continue reading “Log4Shell という API セキュリティの課題:ユーザー入力/JNDI/LDAP が生み出すモンスター”Log4j attackers switch to injecting Monero miners via RMI
2021/12/16 BleepingComputer — Apache Log4j の脆弱性を悪用する一部の脅威アクターたちは、LDAP コールバック URL から RMI への切り替えを図り、また、成功の可能性を最大限に高めるために、1つのリクエストで双方を使用しているようだ。この移行は、進行中の攻撃における顕著な変化であり、すべての潜在的な攻撃ベクターを、防御者が保護しようとする際に注意する必要が生じる。
Continue reading “Log4j の攻撃手法が LDAP から RMI へ:現時点では Monero マイナーが使用”Nation-state hackers aim to exploit Log4j software flaw, Microsoft warns
2021/12/15 CyberScoop — 火曜日に、Microsoft の Threat Intelligence Team が発表したところによると、中国/北朝鮮/イラン/トルコの政府に関連するハッカーたちが、Apache Log4j の脆弱性を利用する方法を模索しているとのことだ。この脆弱性を利用して、米国の連邦政府機関を標的した例はないが、依然として攻撃を警戒していると、Cybersecurity and Infrastructure Security Agency (CISA) が述べている。
Continue reading “Microsoft 警告:国家に支援されたハッカーたちが Log4j 悪用を開始”Hackers Begin Exploiting Second Log4j Vulnerability as a Third Flaw Emerges
2021/12/15 TheHackerNews — 水曜日に、Web インフラ企業である Cloudflare は、幅広く利用されている Log4j ロギング・ユーティリティーの2つ目のバグを悪用しする脅威が存在することを明らかにした。パッチを適用していないシステムに対して、多様なマルウェアによる攻撃が続いているため、顧客は最新バージョンのインストールを迅速に行う必要がある。
Continue reading “Log4j の2つ目の脆弱性 CVE-2021-45046 が悪用されている:3つ目の脆弱性も浮上”Attackers Target Log4J to Drop Ransomware, Web Shells, Backdoors
2021/12/15 DarkReading — 新たに公開された Log4j の脆弱性を利用して、ランサムウェア/リモートアクセス型トロイの木馬/Web シェルなどを、脆弱なシステム上に展開しようとするアクティビティが、少なくとも1つの国家機関を含む脅威アクターたちにより行われている。その一方で、複数のユーザー組織が、このログツールの脆弱性を含むバージョンをダウンロードし続けている。
Continue reading “Log4J と攻撃者たち:IT/IoT/OT を狙うランサムウェア・ギャングから国家支援ハッカーまで”CISA probes scope, potential fallout of Log4j vulnerability
2021/12/14 CyberScoop — この火曜日に、米政府のサイバー担当トップが語ったところによると、Cybersecurity and Infrastructure Security Agency (CISA) では、Apache Log4j の脆弱性を悪用したハッカーによる連邦政府機関への危害を確認していないが、この脆弱性を原因とする広範な攻撃を依然として恐れているという。
Continue reading “CISA の Log4j 対策:Log4Shell による被害の範囲と深刻さを把握したい”US CISA orders federal agencies to fix Log4Shell by December 24th
2021/12/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府の各組織に対して 2021年12月24日までに、Log4j ライブラリに存在する深刻な脆弱性 Log4Shell に対処するよう命じた。この命令は、脆弱性 Log4Shell を悪用する脅威アクターによるたちが、政府システムを攻撃することを防ぐことを目的としている。
Continue reading “米国 CISA から連邦政府各組織へ:Log4Shell への対応を 12月24日までに完了せよ”New ransomware now being deployed in Log4Shell attacks
2021/12/14 BleepingComputer — 脆弱性 Log4Shell が、ランサムウェアのダウンロード/インストールに使用されるという、最初の事例が研究者により発見された。先週の金曜日に、Java ベースのロギング・プラットフォーム Apache Log4j に存在する、Log4Shell (CVE-2021-44228) と名付けられた深刻なゼロデイ脆弱性に対するエクスプロイトが公開された。Log4j は、開発者が Java アプリケーションに対して、エラーやイベントのログを追加するための開発フレームワークである。
Continue reading “Log4Shell 攻撃で最初のランサムウェアを検出:Khonsari はワイパー型マルウェアかも?”40% of Corporate Networks Targeted by Attackers Seeking to Exploit Log4j
2021/12/14 DarkReading — Log4j の脆弱性が、インターネット・セキュリティにとって最大の脅威の1つであるという初期の懸念は、週末に爆発的に増加した脆弱性の悪用と悪用活動により早急に確認されており、企業が行うべき修復作業の膨大さが明らかになっている。
Continue reading “Log4j の悪用:企業ネットワークの 40% が攻撃者の標的になり得る”
IoT OT Security News 
You must be logged in to post a comment.