GitLab の深刻な脆弱性 CVE-2025-25291/25292 などが FIX:SAML 認証バイパスの恐れ

GitLab Urgently Patches Critical Authentication Bypass Flaws – CVE-2025-25291 & CVE-2025-25292

2025/03/12 SecurityOnline — GitLab が発表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在するセキュリティ脆弱性を修正するための、新しいバージョン 17.9.2/17.8.5/17.7.7 のリリースである。このリリースは、深刻な認証バイパス脆弱性などの、さまざまなセキュリティ問題に対処するものだ。

Continue reading “GitLab の深刻な脆弱性 CVE-2025-25291/25292 などが FIX:SAML 認証バイパスの恐れ”

npm リポジトリ汚染:Lazarus にリンクする6つの悪意のパッケージを発見

North Korean Lazarus hackers infect hundreds via npm packages

2025/03/11 BleepingComputer — npm (node package manager) で発見された6つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取/侵害済みシステムへのバックドア展開/機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。

Continue reading “npm リポジトリ汚染:Lazarus にリンクする6つの悪意のパッケージを発見”

悪意の OSS パッケージを分析:1,000件以上に共通する特徴/戦術/手口とは? – Fortinet

Over 1000 Malicious Packages Found Exploiting Open-Source Platforms

2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。

Continue reading “悪意の OSS パッケージを分析:1,000件以上に共通する特徴/戦術/手口とは? – Fortinet”

Python ライブラリ “python-json-logger” の脆弱性 CVE-2025-27607 が FIX:PoC も提供

Popular Python Logging Library Vulnerable to Remote Code Execution (CVE-2025-27607)

2025/03/09 SecurityOnline — JSON ログの生成に用いられる、人気の Python ライブラリ “python-json-logger” で深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、ライブラリがインストールされているシステム上で、任意のコード実行の機会を手にする。

Continue reading “Python ライブラリ “python-json-logger” の脆弱性 CVE-2025-27607 が FIX:PoC も提供”

LLM トレーニングに用いられるデータセットの問題:約 12,000 個の API キーの発見

12,000+ API Keys and Passwords Found in Public Datasets Used for LLM Training

2025/02/28 TheHackerNews — LLM のトレーニングに使用されるデータセットに、認証を成功させるライブ・シークレットが約 12,000 個も取り込まれていることが判明した。

Continue reading “LLM トレーニングに用いられるデータセットの問題:約 12,000 個の API キーの発見”

GitLab の深刻な脆弱性 CVE-2025-0475/0555 などが FIX:XSS の恐れ

CVE-2025-0475 & CVE-2025-0555: GitLab’s High-Risk Patch Now

2025/02/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、すべてのセルフ・マネージド GitLab インストールを、バージョン 17.9.1/17.8.4/17.7. 6へと、直ちにアップグレードするよう求めている。この緊急対応の要請は、機密性の高いユーザー・データを漏洩する可能性のある、深刻度の高いクロス・サイト・スクリプティング (XSS) などの、複数の脆弱性の発見を受けてのものとなる。

Continue reading “GitLab の深刻な脆弱性 CVE-2025-0475/0555 などが FIX:XSS の恐れ”

PRevent という OSS SecTool:GitHub プルリクエストで悪意のコードをスキャン

PRevent: Open-source tool to detect malicious code in pull requests

2025/02/20 HelpNetSecurity — ユーザー組織におけるソフトウェア開発ライフサイクルの一環として、悪意のコードの検出に有益となる OSS ツールが、Apiiro のセキュリティ研究者たちによりリリースされた。それらは、プルリクエストに対するスキャナーである PRevent と、悪意のコードを検出するルールセットSemgrep、静的コード用の分析ツール Opengrep で構成されている。

Continue reading “PRevent という OSS SecTool:GitHub プルリクエストで悪意のコードをスキャン”

GitLab の深刻な XSS の脆弱性 CVE-2025-0376 などが FIX:その他の6件の欠陥にも対応

GitLab Patches High-Severity XSS Flaw (CVE-2025-0376) and Other Security Flaws in Latest Release

2025/02/12 SecurityOnline — GitLab が発行したセキュリティ・アドバイザリは、深刻度の高いクロス・サイト・スクリプティング (XSS) などの脆弱性に対処するものであり、ユーザーに対して速やかな更新を促すものである。GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.8.2/17.7.4/17.6.5 を対象とする、今回のアップデートに取り込まれたのは、合計で9件のセキュリティ問題に対する修正である。

Continue reading “GitLab の深刻な XSS の脆弱性 CVE-2025-0376 などが FIX:その他の6件の欠陥にも対応”

DeepSeek の人気に便乗:PyPI で公開されたインフォ・スティーラーとは?

DeepSeek’s popularity exploited to push malicious packages via PyPI

2025/02/03 HelpNetSecurity — DeepSeek の名前を悪用する、2つの悪意のパッケージが Python Package Index (PyPI) に公開され、その後の約 30分間で 36回もダウンロードされたという。この攻撃は、2025年1月29日の時点で、すでに存在するアカウントが、2つのパッケージを公開したときから始まっていた。

Continue reading “DeepSeek の人気に便乗:PyPI で公開されたインフォ・スティーラーとは?”

PyPI が導入した Project Archival:開発が止まったプロジェクトを固定して悪用を防止

PyPI adds project archiving system to stop malicious updates

2025/02/02 BleepingComputer — Python Package Index (PyPI) は、“Project Archival” の導入を発表した。それは、プロジェクトをアーカイブしたパブリッシャーが、更新を期待しないでほしいという旨のメッセージを、ユーザーに対して示す、新しいシステムである。

Continue reading “PyPI が導入した Project Archival:開発が止まったプロジェクトを固定して悪用を防止”

go-git の脆弱性 CVE-2025-21613/21614 が FIX:不正アクセス/DoS の可能性

Secure Your Repos: go-git Patches Critical Vulnerability – CVE-2025-21613 (CVSS 9.8)

2025/01/07 SecurityOnline — Git インタラクションに用いられる、Go ライブラリ go-git がリリースしたのは、2つの深刻な脆弱性を修正したバージョン 5.13.1 である。これらの脆弱性が悪用されると、不正アクセスや DoS にいたる可能性がある。開発者に対して強く推奨されるのは、依存関係を直ちに更新することだ。

Continue reading “go-git の脆弱性 CVE-2025-21613/21614 が FIX:不正アクセス/DoS の可能性”

Ethereum 開発環境 Hardhat を装う悪意の npmパッケージ:秘密鍵などが標的に

Malicious npm packages target Ethereum developers’ private keys

2025/01/03 BleepingComputer — Ethereum の開発者が使用する、Hardhat を装う 20件の悪意のパッケージが、秘密鍵などの機密データを標的にしている。研究者たちによると、これらの悪意のパッケージは、合計で 1,000回以上ダウンロードされているという。

Continue reading “Ethereum 開発環境 Hardhat を装う悪意の npmパッケージ:秘密鍵などが標的に”

Gogs の脆弱性 CVE-2024-39930 などが FIX:不正アクセス/機密データ窃取の可能性

Critical Vulnerabilities Found in Gogs Self-Hosted Git Service: Urgent Update Required

2024/12/24 SecurityOnline — 人気の OSS のセルフホスト型 Git サービスである Gogs に、複数の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、任意のコード実行/不正アクセス/機密データの窃取などの可能性を手にする。

Continue reading “Gogs の脆弱性 CVE-2024-39930 などが FIX:不正アクセス/機密データ窃取の可能性”

PyPI の悪意のパッケージ:キーストロークを盗みソーシャル・アカウントをハイジャック

Researchers Uncover PyPI Packages Stealing Keystrokes and Hijacking Social Accounts

2024/12/24 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた2つの悪意のパッケージが、侵害したホストから機密情報を盗み出していると、Fortinet FortiGuard Labs がフラグ付けしていることが発表された。

Continue reading “PyPI の悪意のパッケージ:キーストロークを盗みソーシャル・アカウントをハイジャック”

NPM リポジトリ汚染:タイポスワッティングで正規のパッケージを偽装

Thousands Download Malicious npm Libraries Impersonating Legitimate Tools

2024/12/19 TheHackerNews — npm レジストリへのアップロードが確認された悪意のパッケージは、正規のパッケージである ”typescript-eslint” や ”@types/node” などを装うものである。それらの偽のパッケージは ”@typescript_eslinter/eslint”/”types-node” と名付けられ、それぞれがトロイの木馬をダウンロードするものとして、また、2段階目のペイロードを取得するものとして設計されている。

Continue reading “NPM リポジトリ汚染:タイポスワッティングで正規のパッケージを偽装”

GitHub の偽 PoC リポジトリ:研究者たちの機密データと大量の WordPress 資格証明を窃取

390,000+ WordPress Credentials Stolen via Malicious GitHub Repository Hosting PoC Exploits

2024/12/13 TheHackerNews — WordPress ツールとして宣伝され、現在は削除されている悪意の GitHub リポジトリにより、39万件以上の認証情報が流出したと推定されている。この狡猾なアクティビティは、MUT-1244 と名付けられた脅威アクターが展開する、広範な攻撃キャンペーンの一部であり、フィッシング情報や PoC コードをホストする、トロイの木馬化された複数の GitHub リポジトリで構成されるものだ。

Continue reading “GitHub の偽 PoC リポジトリ:研究者たちの機密データと大量の WordPress 資格証明を窃取”

GitLab CE/EE の脆弱性 CVE-2024-11274 (CVSS 8.7) などが FIX:不正アクセス/DoS の可能性

CVE-2024-11274: GitLab Vulnerability Exposes User Accounts

2024/12/11 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) 17.6.2/17.5.4/17.4.6 に影響を及ぼす、複数の脆弱性に対処するセキュリティ・アップデートである。このアップデートで対処される欠陥が悪用されると、アカウント乗っ取り/サービス拒否攻撃/情報漏洩などの、深刻な結果につながる恐れがある。

Continue reading “GitLab CE/EE の脆弱性 CVE-2024-11274 (CVSS 8.7) などが FIX:不正アクセス/DoS の可能性”

OSS リポジトリを汚染するマルウェア:2024 は前年比で 200% の増大

Open source malware up 200% since 2023

2024/12/11 HelpNetSecurity — Sonatype の 2024 Open Source Malware Threat Report によると、2019 年に追跡が開始された悪意のパッケージの数が 778,500 件を超えている。そして 2024年になり、カスタム AI モデルを構築する企業が、オープンソース・ツールを採用するケースが増えるにつれて、悪意のオープンソース・パッケージを用いる脅威アクターたちが、開発者を標的にするケースが増えている。この記事で概説するのは、こうしたトレンドについて調査した結果である。

Continue reading “OSS リポジトリを汚染するマルウェア:2024 は前年比で 200% の増大”

ソフトウェア・サプライチェーンが世界を飲み込む:いまなら Marc Andreessen は そう言うだろう

Lessons From the Largest Software Supply Chain Incidents

2024/12/11 DarkReading — 2011年の Marc Andreessen の言葉を覚えているだろうか。それは、「ソフトウェアが世界を飲み込んでいる」というフレーズであり、13年以上が経ったいまも、真実味を深め続けている。産業界はソフトウェアにより変革され、世界経済の活性化においてもソフトウェアは不可欠だ。つまり、世界はソフトウェアで動いている。いまの企業に求められるのは、ビジネス環境における苛烈な競争に生き残ることであり、そのために、かつてないスピードで大量のソフトウェアが生み出されている。

Continue reading “ソフトウェア・サプライチェーンが世界を飲み込む:いまなら Marc Andreessen は そう言うだろう”

PyPI における Ultralytics AI の悪用:ビルド環境の侵害と XMRig マルウェアの展開

Ultralytics AI Library with 60M Downloads Compromised for Cryptomining

2024/12/09 HackRead — PyPI (Python Package Index) で人気を博す、Ultralytics AI ライブラリに悪意のコードを注入して、暗号通貨のマイニングを行うという攻撃が、ReversingLabs のサイバーセキュリティ研究者たちにより発見された。

Continue reading “PyPI における Ultralytics AI の悪用:ビルド環境の侵害と XMRig マルウェアの展開”

GitLab CE/EE の脆弱性 CVE-2024-8114 (CVSS 8.2) などが FIX:特権昇格/DoS の可能性

CVE-2024-8114: GitLab Vulnerability Allows Privilege Escalation

2024/11/26 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) 17.6.1/17.5.3/17.4.5 に影響を及ぼす、6つの脆弱性に対処するセキュリティ・アップデートである。一連の脆弱性の影響を受けるバージョンを使用しているユーザーに対して、同社が推奨するのは、すべてのインストールを最新バージョンへと、可能な限り早急にアップグレードすることである。

Continue reading “GitLab CE/EE の脆弱性 CVE-2024-8114 (CVSS 8.2) などが FIX:特権昇格/DoS の可能性”

PyPI の “aiocpa” は悪意のライブラリ:Telegram Bot で Crypto Keys を盗み出す手口とは?

PyPI Python Library “aiocpa” Found Exfiltrating Crypto Keys via Telegram Bot

2024/11/25 TheHackerNews — Python Package Index (PyPI) リポジトリの管理者が隔離したのは、Telegram 経由で秘密鍵を盗み出すための悪意のコードを埋め込んだ、“aiocpa” パッケージのアップデート版である。この問題のパッケージは、Crypto Pay API の同期/非同期クライアントとして説明されている。2024年9月にリリースされた “aiocpa” パッケージは、現在までに 12,100 回もダウンロードされている。今回の Python ライブラリの隔離により、クライアントにおけるインストールが防止され、メンテナーによる変更もできなくなった。

Continue reading “PyPI の “aiocpa” は悪意のライブラリ:Telegram Bot で Crypto Keys を盗み出す手口とは?”

Kubernetes の脆弱性 CVE-2024-10220 が FIX:任意のコマンド実行が可能に

CVE-2024-10220: Kubernetes Vulnerability Allows Arbitrary Command Execution

2024/11/20 SecurityOnline — Kubernetes に存在する、深刻な脆弱性 CVE-2024-10220 (CVSS:8.1) が明らかにされた。この脆弱性は、特定バージョンの kubelet を実行している、Kubernetes クラスタに影響を与えるものであり、悪用に成功した攻撃者は、コンテナの境界外での任意のコマンド実行の可能性を得る。

Continue reading “Kubernetes の脆弱性 CVE-2024-10220 が FIX:任意のコマンド実行が可能に”

Sonatype Nexus Repository 2 の脆弱性 CVE-2024-5082/5083 が FIX:RCE/XSS に至る恐れ

Sonatype Nexus Repository 2 Hit By RCE (CVE-2024-5082) and XSS (CVE-2024-5083) Flaws

2024/11/17 SecurityOnline — Sonatype が発行したセキュリティ勧告は、ソフトウェア・アーティファクトの保存/配布用リポジトリ・マネージャー Nexus Repository Manager 2.x 存在する、2件の脆弱性に関するものだ。これらの脆弱性 CVE-2024-5082/CVE-2024-5083 の悪用に成功した攻撃者は、悪意のコードを実行し、システムを侵害する可能性を得る。したがって、Sonatype はユーザーに対して、早急な対応を求めている。

Continue reading “Sonatype Nexus Repository 2 の脆弱性 CVE-2024-5082/5083 が FIX:RCE/XSS に至る恐れ”

GitLab CE/EE の脆弱性 CVE-2024-9693 (CVSS 8.5) などが FIX:XSS/DoS 攻撃の可能性

CVE-2024-9693: GitLab Issues Critical Patch for Kubernetes Agent

2024.11/13 SecurityOnline — GitLab がリリースしたセキュリティ・アップデートは、Kubernetes クラスタへの不正アクセスを許す可能性のある、深刻な脆弱性に対処するものだ。Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.5.2/17.4.4/17.3.7 では、Kubernetes の深刻な脆弱性 CVE-2024-9693 を含む、6件のセキュリティ脆弱性が修正されている。

Continue reading “GitLab CE/EE の脆弱性 CVE-2024-9693 (CVSS 8.5) などが FIX:XSS/DoS 攻撃の可能性”

新たな犯罪グループ EMERALDWHALE:Git コンフィグ・ファイルからクラウド認証情報を窃取

EMERALDWHALE Operation Exposes Over 15,000 Cloud Credentials in Widespread Git Exploit

2024/10/31 SecurityOnline — 世界規模の犯罪組織 EMERALDWHALE が、Git の無防備なコンフィグ・ファイルを悪用し、15,000件以上のクラウド認証情報を盗み出していることが、Sysdig の  Threat Research Team (TRT) により発見された。Sysdig TRT のレポートでは、認証情報を漏洩させる大量のミスコンフィグが存在するという、憂慮すべき Web サーバの状況が指摘されている。それらのミスコンフィグは、何千ものプライベート・リポジトリに影響を与え、1つのアカウントが侵害されるごとに、数多くの被害者に損失を与える可能性があるものだ。

Continue reading “新たな犯罪グループ EMERALDWHALE:Git コンフィグ・ファイルからクラウド認証情報を窃取”

悪意の Python 暗号通貨取引パッケージ:PyPI と GitHub で 1,300 回以上もダウンロード

Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code

2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。

Continue reading “悪意の Python 暗号通貨取引パッケージ:PyPI と GitHub で 1,300 回以上もダウンロード”

GitLab CE/EE の脆弱性 CVE-2024-8312/6826 が FIX:XSS/DoS 攻撃の可能性

GitLab Security Alert: CVE-2024-8312 and CVE-2024-6826 Patched

2024/10/23 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) の複数バージョンに影響を及ぼす、2つの脆弱性 CVE-2024-8312/CVE-2024-6826 に対処するセキュリティ・アップデートのリリースである。ユーザーに対して強く推奨されるのは、迅速なアップデートである。これらの脆弱性が悪用されると、XSS 攻撃や DoS 攻撃につながる恐れがある。

Continue reading “GitLab CE/EE の脆弱性 CVE-2024-8312/6826 が FIX:XSS/DoS 攻撃の可能性”

GitHub Enterprise Server 脆弱性 CVE-2024-9487 (CVSS 9.5) などが FIX:直ちにパッチ適用を!

GitHub Enterprise Server Patches Critical Security Flaw – CVE-2024-9487 (CVSS 9.5)

2024/10/13 SecurityOnline — GitHub が公表したのは、GitHub Enterprise Server に存在する2件の脆弱性に対処するためのセキュリティ・アップデートのリリースである。そのうちの1つは、このプラットフォームの SAML SSO 認証メカニズムに存在する、認証バイパスの脆弱性 CVE-2024-9487 (CVSS:9.5) であり、 攻撃者に不正アクセスを許す可能性が生じている。

Continue reading “GitHub Enterprise Server 脆弱性 CVE-2024-9487 (CVSS 9.5) などが FIX:直ちにパッチ適用を!”

オープンソースと悪意のパッケージ:前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査

Sonatype Reports 156% Increase in OSS Malicious Packages

2024/10/11 InfoSecurity — OSS (open source software) の利用が急増しているが、そこに含まれるマルウェアが 156%も増加しているという調査結果が、Sonatype から公表された。2019年以降において、704,102 件以上の悪意のパッケージが確認されているが、そのうちの 512,847 件は、2023年11月以降に発見されたものであるという。詳しくは、同社の 10回目となる年次報告書 “Annual State of the Software Supply Chain” を参照してほしい。

Continue reading “オープンソースと悪意のパッケージ:前年比で 156% 増のリポジトリ汚染の状況 – Sonatype 調査”

GitLab CE/EE の脆弱性 CVE-2024-9164 などが FIX:直ちにアップデートを!

CVE-2024-9164 (CVSS 9.6): GitLab Users Urged to Update Now

2024/10/09 SecurityOnline — 10月9日に GitLab がリリースした、 Community Edition(CE)/Enterprise Edition(EE) のバージョン 17.4.2/17.3.5/17.2.9 は、いくつかのセキュリティ・アップデートを取り込んだものである。これらのアップデートは、8件の脆弱性に対処するものだが、その中には、深刻度 Critical と評価される、脆弱性 CVE-2024-9164 も含まれている。この脆弱性の悪用に成功した攻撃者は、任意のブランチでパイプラインを実行する可能性を得るため、影響を受けるインスタンスに重大なセキュリティ・リスクが生じる。

Continue reading “GitLab CE/EE の脆弱性 CVE-2024-9164 などが FIX:直ちにアップデートを!”

Grafana Plugin SDK の脆弱性 CVE-2024-8986 が FIX:機密情報の漏えいに至る恐れ

CVE-2024-8986 (CVSS 9.1): Critical Grafana Plugin SDK Flaw Exposes Sensitive Information

2024/09/22 SecurityOnline — Grafana Plugin SDK for Go に、重大なセキュリティ脆弱性 CVE-2024-8986 (CVSS:9.1) が発見された。この脆弱性に悪用により、リポジトリ認証情報などの機密情報の漏洩につながる可能性が生じている。Grafana Plugin SDK は、Go プログラミング言語を使用するバックエンド・プラグインの、容易な開発を目的として設計されている。しかし、Grafana Labs のアドバイザリによると、それらのプラグインでは、コンパイル済みバイナリにビルド・メタデータがバンドルされているという。このメタデータには、git remote get-url origin コマンドを実行することで取得される、プラグインで使用されるリポジトリ URI が含まれる。

Continue reading “Grafana Plugin SDK の脆弱性 CVE-2024-8986 が FIX:機密情報の漏えいに至る恐れ”

GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX:直ちにアップデートを!

GitLab releases fix for critical SAML authentication bypass flaw

2024/09/18 BleepingComputer — GitLab リリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)/Enterprise Edition(EE) のセルフマネージド・インストールに影響を与える、重大な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。SAML (Security Assertion Markup Language) とは、ユーザーが同じ認証情報を使用して異なるサービスにログインするための、SSO (Single Sign-On) 認証プロトコルである。脆弱性 CVE-2024-45409 は、GitLab が SAML ベースの認証を処理するために使用している、OmniAuth-SAML/Ruby-SAML ライブラリの問題に起因する。

Continue reading “GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX:直ちにアップデートを!”

GCP Composer の RCE 脆弱性が FIX:依存関係を撹乱させる CloudImposer とは?

Google Fixes GCP Composer Flaw That Could’ve Led to Remote Code Execution

2024/09/16 TheHackerNews — Google Cloud Platform (GCP) Composer に発見された深刻なセキュリティ脆弱性は、サプライチェーン攻撃の手法である “Dependency Confusion” (依存関係かく乱) により、クラウド・サーバ上でのリモート・コード実行を攻撃者に許すものだ。この脆弱性には、 CloudImposer というコードネームが、Tenable Research により付けられている。Tenable のセキュリティ研究者である Liv Matan は、「この脆弱性の悪用に成功した攻撃者は、Google Cloud Composer の各パイプライン・オーケストレーション・ツールにあらかじめインストールされている、内部ソフトウェアの依存関係を乗っ取りが可能になると推測される」と説明している。

Continue reading “GCP Composer の RCE 脆弱性が FIX:依存関係を撹乱させる CloudImposer とは?”

GitLab CE/EE の脆弱性 CVE-2024-6678 などが FIX:直ちにアップデートを!

Urgent: GitLab Patches Critical Flaw Allowing Unauthorized Pipeline Job Execution

2024/09/11 TheHackerNews — 9月11日に GitLab がリリースしたのは 、17件のセキュリティ脆弱性に対処するためのセキュリティ・アップデートである。その中には、任意のユーザーである攻撃者が、パイプライン・ジョブを実行できる、深刻な脆弱性 CVE-2024-6678 (CVSS:9.9) も含まれている。

Continue reading “GitLab CE/EE の脆弱性 CVE-2024-6678 などが FIX:直ちにアップデートを!”

PyPI の Revival Hijack 攻撃:パッケージ再登録のギャップを狙う脅威が判明

Researchers Find Over 22,000 Removed PyPI Packages at Risk of Revival Hijack

2024/09/04 TheHackerNews — Python Package Index (PyPI) レジストリを標的とする、新たなサプライチェーン攻撃手法が、下流組織への侵入手段として悪用されていると、ソフトウェア・サプライチェーン・セキュリティ企業 JFrog が指摘している。この Revival Hijack と命名された攻撃手法により、既存の PyPI パッケージ 2万2000個に乗っ取りの可能性が生じ、さらに、数十万の悪意のパッケージのダウンロードへといたる恐れがあるとしている。なお、それらの脆弱なパッケージとは、ダウンロード数が10万回を超えているものであり、また、6か月以上にわたってアクティブになっているものである。

Continue reading “PyPI の Revival Hijack 攻撃:パッケージ再登録のギャップを狙う脅威が判明”

npm へ攻撃:難読化された悪意のパッケージを展開する北朝鮮の脅威グループ

North Korean Hackers Launch New Wave of npm Package Attacks

2024/08/29 InfoSecurity — 北朝鮮に関連する脅威グループが関与する悪意のアクティビティが、最近になって急増していることがサイバー・セキュリティ研究者によって特定された。それにより明らかになったのは、npm エコシステムを標的とする組織的なキャンペーンの存在である。この、2024年8月12日に始まったキャンペーンは、開発者たちの環境に侵入して、機密データを盗むように設計された悪意の npm パッケージを公開するものである。

Continue reading “npm へ攻撃:難読化された悪意のパッケージを展開する北朝鮮の脅威グループ”

GitHub Enterprise Server の脆弱性 CVE-2024-6800 (CVSS 9.5) などが FIX:直ちにパッチ適用を!

CVE-2024-6800 (CVSS 9.5): Critical GitHub Enterprise Server Flaw Patched, Admin Access at Risk

2024/08/20 SecurityOnline — 先日に GitHub が公表したのは、GitHub Enterprise Server (GHES) に存在する、複数のセキュリティ脆弱性に関するアドバイザリである。それらの脆弱性 CVE-2024-6800/CVE-2024-6337/CVE-2024-7711 については、最新のセキュリティ・パッチにおいて、すでに対処されている。

Continue reading “GitHub Enterprise Server の脆弱性 CVE-2024-6800 (CVSS 9.5) などが FIX:直ちにパッチ適用を!”

GitHub の新たな攻撃ベクター:Google/Microsoft/AWS などのプロジェクトをクラック – Unit 42 調査

GitHub Attack Vector Cracks Open Google, Microsoft, AWS Projects

2024/08/14 DarkReading — Google/Microsoft/Amazon Web Services などが所有する、GitHub オープンソース・プロジェクトに影響を与える攻撃ベクターが、Palo Alto Networks の Unit 42 により発見された。Unit 42 の主任研究者である Yaron Avital は、グローバル企業が所有する知名度の高いオープンソース・プロジェクトに対しても、この攻撃は有効であると言う。それらのプロジェクトが侵害されると、何百万もの消費者に影響を及ぶ可能性があると、 8月13日に発表されたブログで、彼は述べている。

Continue reading “GitHub の新たな攻撃ベクター:Google/Microsoft/AWS などのプロジェクトをクラック – Unit 42 調査”

JFrog Artifactory の脆弱性 CVE-2024-6915 (CVSS 9.3) が FIX:キャッシュ・ポイズニングの恐れ

CVE-2024-6915 (CVSS 9.3): JFrog Artifactory Flaw Exposes Software Supply Chains to Cache Poisoning

2024/08/05 SecurityOnline — ソフトウェア・アーティファクト管理ソリューションを提供する JFrog が発表したのは、同社の Artifactory プラットフォームに存在する深刻な脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-6915 (CVSS 9.3) は、JFrog Artifactory の複数バージョンに影響を及ぼし、攻撃に成功した攻撃者に対して、アーティファクト・キャッシュの汚染を許してしまう。その結果として、それらのリポジトリからデプロイされたソフトウェアの完全性が損なわれる可能性が生じる。

Continue reading “JFrog Artifactory の脆弱性 CVE-2024-6915 (CVSS 9.3) が FIX:キャッシュ・ポイズニングの恐れ”

lr-utils-lib という悪意の PyPI パッケージ:macOS 開発者から Google Cloud の認証情報を窃取

Targeted PyPi Package Steals Google Cloud Credentials from macOS Devs

2024/07/27 DarkReading — macOS ユーザーの一部から Google Cloud Platform の認証情報を盗み出す、かなり奇妙な悪意の Python コードのパッケージを、研究者たちが発見した。Checkmarx の 7月26日のブログによると、このパッケージ “lr-utils-lib” は、6月初旬の時点で Python Package Index (PyPI) にアップロードされたものだが、セットアップ・ファイルに悪意のコードを隠し持っていた。 そのコードは、macOS システム上で実行されていることをチェックし、続いて、システムの IOPlatformUUID をチェックする。この値は、特定の Mac コンピュータを識別するために使用されるものである。

Continue reading “lr-utils-lib という悪意の PyPI パッケージ:macOS 開発者から Google Cloud の認証情報を窃取”

GitHub 上の 3,000以上の偽アカウントで構成される DaaS:マルウェア配布で成功している

Over 3,000 GitHub accounts used by malware distribution service

2024/07/24 BleepingComputer — Stargazer Goblin として知られる脅威アクターが作成したのは、GitHub 上の 3,000以上の偽アカウントで構成される Distribution-as-a-Service (DaaS) であり、そこから情報スティーラー・マルウェアをプッシュしているという。このマルウェア配信サービスは Stargazers Ghost Network と呼ばれ、GitHub リポジトリと侵害済みの WordPress サイトを利用して、パスワード保護されたアーカイブを配布するが、その中にマルウェアが含まれている。ほとんどのケースにおいて、そこから配布されるマルウェアは、RedLine/Lumma Stealer/Rhadamanthys/RisePro/Atlantida Stealer などのインフォ・スティーラーである。

Continue reading “GitHub 上の 3,000以上の偽アカウントで構成される DaaS:マルウェア配布で成功している”

Python Setuptools ライブラリの脆弱性 CVE-2024-6345 が FIX:PoC も公開される

Security Flaw CVE-2024-6345 in Setuptools Exposes Python Projects to RCE

2024/07/15 SecurityOnline — Python プロジェクトのパッケージ化/配布/インストールにおいて、広範に使用されるライブラリ Setuptools に、深刻な脆弱性が発見された。この脆弱性 CVE-2024-6345 (CVSS:8.8) は、”package_index” モジュールに存在するものであり、システム上で RCE を引き起こす恐れがある。

Continue reading “Python Setuptools ライブラリの脆弱性 CVE-2024-6345 が FIX:PoC も公開される”

GitLab CE/EE の脆弱性 CVE-2024-6385 などが FIX:直ちにアップデートを!

GitLab: Critical bug lets attackers run pipelines as other users

2024/07/10 BleepingComputer — 7月10日に GitLab CE/EE のパッチがリリースされ、6つの脆弱性が修正された。GitLab DevSecOps プラットフォームは、3,000万人以上の登録ユーザーを誇り、T-Mobile/Goldman Sachs/Airbus/Lockheed Martin/Nvidia/UBS などの Fortune 100 の 50%以上で利用されている。修正された脆弱性のうち、最も深刻度が高いものは、攻撃者がユーザーとしてパイプライン・ジョブを実行できる、脆弱性 CVE-2024-6385 (CVSS:9.6) である。

Continue reading “GitLab CE/EE の脆弱性 CVE-2024-6385 などが FIX:直ちにアップデートを!”

Ubuntu Snap の Sandbox Escape の脆弱性 CVE-2024-1724 が FIX:Linux システムを脅かす恐れ

CVE-2024-1724: Snap Sandbox Escape Vulnerability Threatens Linux Systems

2024/07/01 SecurityOnline — Ubuntu などの Linux ディストリビューションで人気のパッケージ・マネージャーである Snap に存在する深刻な脆弱性が、セキュリティ研究者 McPhail のセキュリティ情報公開で特定された。この脆弱性 CVE-2024-1724 の悪用に成功した攻撃者は、Snap のサンド・ボックス環境を回避しながら、ユーザーのシステム上で任意のコード実行が可能にするという。

Continue reading “Ubuntu Snap の Sandbox Escape の脆弱性 CVE-2024-1724 が FIX:Linux システムを脅かす恐れ”

GitLab の緊急アップデート:脆弱性 CVE-2024-5655 (CVSS 9.6) などが FIX

GitLab Releases Critical Updates to Address Multiple Vulnerabilities

2024/06/26 SecurityOnline — DevOps ライフサイクル・ツールの主要プラットフォームである GitLab は、Community Edition (CE)/Enterprise Edition (EE) 向けのクリティカル・アップデートをリリースした。新バージョンの 17.1.1/17.0.3/16.11.5 には、重要なセキュリティとバグの修正が含まれている。GitLab は全てのユーザーに対して、潜在的な悪用からインストールを保護するため、直ちにアップグレードするよう呼びかけている。

Continue reading “GitLab の緊急アップデート:脆弱性 CVE-2024-5655 (CVSS 9.6) などが FIX”

WordPress サイトへの広範なサプライチェーン攻撃:5種類のプラグインが侵害されていた

Breaking News: Widespread WordPress Plugin Compromise in Active Supply Chain Attack

2024/06/24 SecurityOnline — 世界で最も人気の CMS である WordPress が、広範なサプライチェーン攻撃に遭遇するという、重大なセキュリティ脅威に直面している。WordPress.org の公式リポジトリで提供されている5種類の人気プラグインが侵害され、数千の Web サイトが危険にさらされる可能性があるという。この、Wordfence Threat Intelligence により発見された侵害は、Social Warfare plugin 注入された悪質なコードから始まっていた。同チームが調査を進めたところ、4種類プラグインにも同じコードが含まれていることが判明し、協調的かつ継続的な攻撃が行われていることが判明した。

Continue reading “WordPress サイトへの広範なサプライチェーン攻撃:5種類のプラグインが侵害されていた”

JetBrains のトークン漏えいの脆弱性 CVE-2024-37051:PoC が公開された

CVE-2024-37051: Critical JetBrains Flaw Exposes GitHub Tokens in IntelliJ IDEs, PoC Published

2024/06/12 SecurityOnline — IDE (IntelliJ integrated development) アプリである、IntelliJ に存在する脆弱性 CVE-2024-37051 (CVSS:9.3) の詳細情報と PoC (Proof-of-Concept) エクスプロイト・コードが公開された。この脆弱性は GitHub のアクセス・トークンを流出させる可能性を持ち、JetBrains GitHub プラグインが有効化されている、バージョン 2023.1 以降の全ての IntelliJ ベースの IDE に影響するものだ。

Continue reading “JetBrains のトークン漏えいの脆弱性 CVE-2024-37051:PoC が公開された”

JetBrains の脆弱性 CVE-2024-37051 が FIX:IDE ユーザーの GitHub アクセストークンが漏洩の恐れ

Users of JetBrains IDEs at risk of GitHub access token compromise (CVE-2024-37051)

2024/06/11 HelpNetSecurity —- GitHub のアクセス・トークン侵害により、JetBrains IDE (integrated development environments) のユーザーが危険に晒される可能性のある、深刻な脆弱性 CVE-2024-37051 が修正された。JetBrains は、各種のプログラミング言語用の、IDE を提供しているベンダーである。

Continue reading “JetBrains の脆弱性 CVE-2024-37051 が FIX:IDE ユーザーの GitHub アクセストークンが漏洩の恐れ”

GitHub のノーティフィケーションを介したフィッシング:悪意の oAuth アプリ・プッシュには要注意

Gitloker attacks abuse GitHub notifications to push malicious oAuth apps

2024/06/10 BleepingComputer — フィッシング攻撃を介して GitHub のセキュリティ/リクルート・チームになりすまし、悪意の OAuth アプリを用いてリポジトリを乗っ取り、侵害したリポジトリを消去すると脅すキャンペーンが現在進行中だという。遅くとも 2024年2月以降において、このキャンペーンで標的とされた数十人の開発者が、侵害された GitHub アカウントを用いて、ランダムなリポジトリの課題や、プルリクエストに追加されたスパム・コメントにタグ付けされた後に、”notifications@github.com” から偽の求人や警告のメールを受け取っているようだ。

Continue reading “GitHub のノーティフィケーションを介したフィッシング:悪意の oAuth アプリ・プッシュには要注意”