Docker Hub repositories hide over 1,650 malicious containers
2022/11/24 BleepingComputer — Docker Hub で一般公開されている 1,600 以上のイメージに、暗号通貨マイナーやバックドアとして使用可能な、埋め込みシークレット/DNS ハイジャッカー/Web サイトリダイレクトなどの、悪質なビヘイビアが潜んでいることが判明した。Docker Hub は、Docker イメージの自由なサーチ/ダウンロードや、公開ライブラリ/個人用リポジトリへの成果物のアップロードを可能にする、クラウドベースのコンテナ・ライブラリだ。
Continue reading “Docker Hub に潜む悪意のコンテナ:暗号通貨マイナーやバックドア など 1,650件を発見”CISA, NSA, ODNI Publish Software Supply Chain Guidelines For Customers
2022/11/18 InfoSecurity — 11月17日に米国の US Cybersecurity and Infrastructure Security Agency (CISA) は、ソフトウェア・サプライチェーンの安全確保に関する3部作の最終章を発表した。2022年8月の Developer 向けのガイダンスと、2022年10月の Supplier 向けのガイダンスに続くものであり、調達/展開の段階におけるソフトウェアの完全性と安全性を確保するための、Customer 向けの推奨事項を示している。このドキュメントは、National Security Agency (NSA) と Office of the Director of National Intelligence (ODNI) の協力のもと発行されている。
Continue reading “CISA/NSA/ODNI のサプライチェーン・ガイダンス:最終章の Customer 編を発行”Researchers Uncover PyPI Package Hiding Malicious Code Behind Image File
2022/11/10 TheHackerNews — PyPI (Python Package Index) が提供されるパッケージの中に、ステガノグラフィを用いて画像ファイル内に、悪意のコードを隠すものが発見された。イスラエルのサイバー・セキュリティ企業 Check Point の説明によると、そのパッケージは apicolor という名前で提供される、REST API 用の Core lib とのことだ。2022年10月31日に apicolor は、Python のサードパーティ・リポジトリにアップロードされたが、その後に削除されている。
Continue reading “PyPI 内の apicolor という悪意のパッケージ:画像ファイルに悪意のコード隠蔽”130 Dropbox code repos plundered after successful phishing attack
2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント/パスワード/支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。
Continue reading “Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出”Dozens of PyPI packages caught dropping ‘W4SP’ info-stealing malware
2022/11/02 BleepingComputer — 研究者たちが発見したのは、PyPI レジストリ上において、情報窃取マルウェアをプッシュしている 20件以上の Python パッケージだ。それらの大半は難読化されたコードを含んでおり、感染させたマシンに上に W4SP Info-Stealer をドロップしていく。また、他のマルウェアは、教育を目的として作成されたと称している。
Continue reading “PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける”Why Are Zombie APIs and Shadow APIs So Scary?
2022/11/01 DarkReading — API に関連するビジネス価値を、企業が最大化しようとするにつれ、API の数が急増している。DX の浸透や、マイクロサービスによるアプリの近代化、API ファーストのアプリ設計、迅速なソフトウェア・デプロイメントなどが、企業が作成/使用する API 数を急速に増加させてきた。
Continue reading “Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う”GitHub Bug Exposed Repositories to Hijacking
2022/10/27 InfoSecurity — セキュリティ研究者が新たに発見した GitHub の欠陥は、攻撃に成功した攻撃者がリポジトリを制御し、関連するアプリやコードにマルウェアを拡散する可能があるものだ。現時点において GitHub は、”popular repository namespace retirement” 機能のバグを修正しているが、将来において同じツールが、脅威者の標的となる可能性があると Checkmarx は警告している。
Continue reading “GitHub の名前空間リタイアメントにバグ:RepoJacking 攻撃が発生する可能性とは?”New Cryptojacking Campaign Targeting Vulnerable Docker and Kubernetes Instances
2022/10/27 TheHackerNews — 脆弱な Docker/Kubernetes インフラを標的とし、暗号通貨の不正マイニングを行う、新たなクリプトジャッキング・キャンペーンが発覚した。このアクティビティを Kiss-a-dog と名付けた CrowdStrike は、その Command and Control インフラについて、ミスコンフィグレーションのある Docker/Kubernetes インスタンスへの攻撃で知られる、TeamTNT などのグループとの重複があることを明らかにした。この、kiss.a-dog[.]top というドメインに由来する侵入は、2022年9月に発見されており、Base64 エンコードされた Python コマンドを用いて、侵入したコンテナでシェル・スクリプト・ペイロードを起動するものである。
Continue reading “Docker/Kubernetes の脆弱なインスタンスを狙う:Kiss-a-dog クリプトジャッキング”Software Supply Chain Attacks Soar 742% in Three Years
2022/10/19 InfoSecurity — 専門家たちが、2022年に発見した悪意のオープンソース・パッケージは 8万8000件にのぼり、2019年のデータと比べて 742% の増加となった。それにより示唆されるのは、企業への攻撃における標的面積の急速な拡大である。この数字は、Maven Central のダウンロード数 1310億件/オープンソース・プロジェクト数千件を含む、公開データ/独自データを分析した、Sonatype のレポート 2021 State of the Software Supply Chain で発表されたものである。
Continue reading “OSS サプライチェーンの深刻な問題:3年間で 742% 急増した悪意のパッケージ”New security concerns for the open-source software supply chain
2022/10/17 HelpNetSecurity — VMware によると、オープンソース・ソフトウェアは、あらゆる規模の企業におけるソフトウェア・サプライチェーンの重要な要素となっている。しかし、オープンソース・ソフトウェアのサプライチェーンには、新たなセキュリティ上の懸念が存在するため、パッケージング・セキュリティに対する進化したアプローチが求められている。
Continue reading “VMware の OSS 調査:新たな懸念はサプライチェーンの効率と安全性の不足”Toyota discloses data leak after access key exposed on GitHub
2022/10/10 BleepingComputer — トヨタ自動車株式会社は、約5年間にわたり GitHub 上でアクセス・キーが、誤って公開されていたことが判明したことで、顧客の個人情報が流出した可能性があるとして、警告を発している。トヨタ T-Connect は、トヨタ車のオーナーのスマートフォンと、車両のインフォテインメント・システムを連携させ、電話/音楽/ナビ/通知/走行データ/エンジン状態/燃費などの情報を活用するための、公式コネクティビティ・アプリである。
Continue reading “Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開されていた”LofyGang Group Linked to Recent Software Supply Chain Attacks
2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。
Continue reading “LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明”Critical Packagist Vulnerability Opened Door for PHP Supply Chain Attack
2022/10/04 SecurityWeek — 10月4日に、コード・セキュリティ企業の SonarSource は、Packagist に影響を及ぼす深刻な脆弱性の詳細を発表した。この脆弱性の悪用に成功した脅威アクターにより、PHP コミュニティを標的としたサプライチェーン攻撃が行われる可能性があるという。Packagist とは、PHP 管理ツールである Composer のデフォルト・リポジトリであり、インストール可能な PHP パッケージが集約されている場所だ。Composer は、毎月のように 20億以上のパッケージをダウンロードするために使用されている。
Continue reading “PHP Packagist の深刻な脆弱性 CVE-2022-24828:サプライチェーン攻撃にいたる恐れ”CISA Directive Improves Asset Visibility, Vulnerability Detection on Federal Networks
2022/10/04 InfoSecurity — CISA は、連邦政府のネットワークにおける、IT 資産の可視性/脆弱性検出を改善するための、新たな拘束的運用指令 (BOD:Binding Operational Directive) を発表した。この新指令 BOD 23-01 は、2023年4月3日に発効され、また、連邦民間行政機関 (FCEB) に対して、IT 資産の発見を7日ごとに自動を行うよう求めるものとなる。BOD 23-01 の文書には、「この課題を達成するために、数多くの方法や技術を用いることが可能だが、最低限でカバーすべき範囲は、それぞれの機関が用いる IPv4 空間全体となる」と記されている。
Continue reading “CISA から連邦政府への新指令 BOD 23-01:IT 資産の可視化/脆弱性検出を強化”Auth0 warns that some source code repos may have been stolen
2022/09/28 BleepingComputer — 認証サービスプロバイダーであり、Okta の子会社でもある Auth0 は、同社のコード・リポジトリの一部に関わる、”Security Event” と呼ぶものを公表した。Auth0 の認証プラットフォームは、AMD/Siemens/Pfizer/Mazda/Subaru などを含む、30カ国 2000社以上の企業ユーザーにより、毎日 4200万回以上のログインの認証に使用されている。
Continue reading “Auth0 警告:2020年以前のコード・リポジトリが流出したが Okta には影響なし”Malicious NPM Package Caught Mimicking Material Tailwind CSS Package
2022/09/22 TheHackerNews — Material Tailwind の正規のソフトウェア・ライブラリを装う、悪意の NPM パッケージが発見され、オープンソース・ソフトウェアのリポジトリで悪意のコード配布を試みる、脅威アクターたちの狙いが再確認された。Material Tailwind は、CSS ベースのフレームワークであり、「Tailwind CSS と Material Design のための使いやすいコンポーネント・ライブラリ」だと、メンテナは宣伝している。
Continue reading “Tailwind CSS/Material Design を模倣:発見された悪意の NPM パッケージとは?”Open Source Repository Attacks Soar 700% in Three Years
2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。
Continue reading “オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機”Over 10% of Enterprise IT Assets Found Missing Endpoint Protection
2022/09/08 infosecurity — 企業における IT 資産の 10%以上がエンドポイント保護を欠いており、約5%が企業のパッチ管理ソリューションの非対象であることが判明した。これらの数字は Sevco Security の最新の調査によるもので、同社は State of the Cybersecurity Attack Surface レポートとしてまとめている。
Continue reading “企業と IT 資産:エンドポイントの 10%以上で保護の欠如が判明”Cisco won’t fix authentication bypass zero-day in EoL routers
2022/09/07 BleepingComputer — Cisco の新たな発表は、中小企業向け VPN ルーターに影響をおよぼす認証バイパスの脆弱性について、デバイスが製造終了 (EoL) に達したことを理由として、パッチを適用しないというものである。このゼロデイ脆弱性 CVE-2022-20923 は、パスワード検証アルゴリズムの欠陥に起因するものであり、IPSec VPN サーバー機能が有効化されている場合に、細工された認証情報も用いる攻撃者に対して、脆弱なデバイス上の VPN にログインを許すというものである。
Continue reading “Cisco の EoL ルータ群:認証バイパスのゼロデイ脆弱性が放置される”PyPI packages hijacked after developers fall for phishing emails
2022/08/25 BleepingComputer — 昨日に検出されたフィッシング・キャンペーンは、PyPI レジストリで公開される Python パッケージの、メンテナをターゲットにするものだったようだ。Python パッケージである exotel と spam は、マルウェアが混入された数百のパッケージの中の1つであり、フィッシング・メールで騙したメンテナのアカウントへ、攻撃者たちが侵入に成功した結果である。
Continue reading “PyPI パッケージ・メンテナを攻撃:巧妙なフィッシングでプロジェクトを乗っ取る”One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious
2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。
Continue reading “PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮”Malicious PyPi packages turn Discord into password-stealing malware
2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。
Continue reading “PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す”RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers
2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。
Continue reading “RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化”Malicious PyPi packages aim DDoS attacks at Counter-Strike servers
2022/08/15 BleepingComputer — 今週末、ロシアの Counter-Strike 1.6サーバーにDDoS攻撃を仕掛けるタイポスクワッティング攻撃のために、悪意の Python パッケージ 12個が PyPI レポジトリにアップロードされた。Python Package Index (PyPI) とは、オープンソースのソフトウェア・パッケージのリポジトリであり、開発者は自身の Python プロジェクトに、それらのパッケージを簡単に組み込み、最小限の労力で複雑なアプリを構築できる。
Continue reading “PyPI に悪意のパッケージ 12個:Counter-Strike への DDoS 攻撃に巻き込まれる恐れ”A new PyPI Package was found delivering fileless Linux Malware
2022/08/15 SecurityAffairs — Sonatype の研究者たちは、Linux マシンシ・ステムのメモリへ向けて、ファイルレス・クリプトマイナーを投下する、secretslib という新しい PyPI パッケージを発見した。このパッケージは自らを、”secrets matching and verification made easy” と表現しており、2020年8月6日以降で、合計 93件のダウンロードを記録している。
Continue reading “PyPI で発見された悪意のパッケージ:ファイルレス・マルウェアを Linux に配布”Researchers Debut Fresh RCE Vector for Common Google API Tool
2022/08/10 DarkReading — Google SLO Generator の脆弱なバージョンを悪用し、リモートコードの実行 (RCE) を容易にするという、新たな攻撃ベクターが発見された。この脆弱性の悪用に成功した攻撃者は、システムにアクセスし、あたかもネットワーク内の信頼できるソースから来たかのように、悪意のコードを展開できるという。
Continue reading “研究者たちの助言:Google API Tool の脆弱性から見えてくる可視化の重要性とは?”10 Credential Stealing Python Libraries Found on PyPI Repository
2022/08/09 TheHackerNews — Python Package Index (PyPI) から、パスワードや API トークンなどの重要なデータを取得する、10件の悪意のパッケージが削除された。イスラエルのサイバー・セキュリティ企業である Check Point は、月曜日の報告書で、「これらのパッケージは、攻撃者による悪意のツールのインストールを実行し、開発者の個人データや個人情報を盗むことを可能にする情」と述べている。
Continue reading “PyPI に仕込まれた悪意の Python ライブラリ 10件:認証情報や個人情報などを窃取”35,000 code repos not hacked—but clones flood GitHub to serve malware
2022/08/03 BleepingComputer — GitHub における数千のリポジトリがフォーク (コピー) され、そのクローンにマルウェアが仕込まれていることが、ソフトウェア・エンジニアたちにより発見された。オープンソース・リポジトリでのクローン作成は、一般的な開発手法であり、開発者の間で推奨されることもあるが、今回のケースは異なるものとなる。具体的に言うと、脅威アクターたちが正規のプロジェクトのコピーを作成し、それを悪意のあるコードで汚染し、悪意のクローンに仕立て上げ、無防備な開発者をターゲットにするという流れになる。GitHub は、エンジニアの報告を受けた後に、悪意のあるリポジトリの大半を追放した。
Continue reading “GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心”GitHub introduces 2FA and quality of life improvements for npm
2022/07/27 BleepingComputer — GitHub は、npm (Node Package Manager) に対して、3つの重要な改良点の提供を発表したが、それにより、npm 利用が安全かつ管理しやすくなる。新機能の概要は、より合理化されたログインおよび公開エクスペリエンスと、Twitter/GitHub アカウントの npm リンク、そして、パッケージ署名の検証システムの追加などである。さらに GitHub は、2022年5月に導入された2要素認証プログラムのベータが終了し、すべての npm ユーザーも利用できるようになるとも述べている。
Continue reading “GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加”4 Steps Financial Industry Can Take to Cope With Their Growing Attack Surface
2022/07/26 TheHackerNews — 金融サービス業界は、常にテクノロジー導入の最前線にあるが、2020年のパンデミックにより、モバイルバンキング・アプリ/チャットベースの顧客サービスなどの、デジタルツールの普及が加速した。Adobe の 2022 FIS Trends Report によると、調査対象となった金融サービス/保険会社の半数以上が、2020年上半期のデジタル/モバイルビジター数が著しく増加したという。
Continue reading “金融サービスとサイバー攻撃:拡大する攻撃対象を保護する4つのステップとは?”Detectree: Open-source tool simplifies data analysis for blue teams, reduces alert fatigue
2022/07/22 HelpNetSecurity — セキュリティ・インシデントが止まらない中、悪意の活動と影響の特定に、数多くの企業が苦戦している。攻撃を食い止め、被害を最小限に抑えるための、時間とリソースが浪費されている。そこに、インシデントの可視性を高めることで、企業における損害を緩和する新しいオープンソースツールが登場した。
Continue reading “Detectree インシデント分析:可視化のための OSSツールでアラート疲労を軽減”Log4j Software Flaw ‘Endemic,’ New Cyber Safety Panel Says
2022/07/14 SecurityWeek — ジョー・バイデン大統領が設立した、新しい Cyber Safety Review Board によると、昨年に発見された、どこにでもあるソフトウェアに存在する脆弱性は、潜在的に 10年以上にわたってセキュリティ・リスクをもたらす風土病のようなものになるという。木曜日の報告書で、このサイバー安全審査委員会は、Log4j の脆弱性 CVE-2021-44228 による大規模なサイバー攻撃の兆候はないが、今後の数年間は悪用され続けるだろうと述べている。
Continue reading “Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する”New Android malware on Google Play installed 3 million times
2022/07/13 BleepingComputer — Google Play ストアで、ユーザーを密かにプレミアム・サービスに加入させる、新しい Android マルウェアが 300万回以上ダウンロードされたことが分かった。Autolycos と名付けられたこのマルウェアは、Evina のセキュリティ研究者 Maxime Ingrao により、少なくとも8つの Android アプリに含まれていることが発見された。この記事の執筆時点で、そのうちの2つが、Google Play ストアでまだ利用可能であることが判明している。
Continue reading “Android に新規マルウェア Autolycos が登場:Google Play で 300 万インストール!”PyPI mandates 2FA for critical projects, developer pushes back
2022/07/09 BleepingComputer — 金曜日に、サードパーティのオープンソース Python プロジェクトための、公式リポジトリである Python Package Index (PyPI) は、重要なプロジェクトのメンテナに対して二要素認証 (2FA) を義務付ける計画を発表した。この動きに対して、多くのコミュニティ・メンバーが賞賛したが、ある人気 Python プロジェクトの開発者が、自分のプロジェクトに与えられた Critical ステータスを無効にするために、PyPI からコードを削除して再公開することになった。
Continue reading “PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も”NPM supply-chain attack impacts hundreds of websites and apps
2022/07/05 BleepingComputer — NPM のサプライチェーン攻撃は、2021年12月からたどる必要がある。そのとき、難読化された Javascript コードを含む、数十の悪意の NPMモジュールが用いられ、数百の下流にあるデスクトップ・アプリケーションと Web サイトが危険にさらされた。
Continue reading “NPM サプライチェーン攻撃:IconBurst 混入のモジュールが 27,000回以上もダウンロード”Multiple Backdoored Python Libraries Caught Stealing AWS Secrets and Keys
2022/06/24 TheHackerNews — 研究者たちは、一般公開されたエンドポイントへ向けて、AWS の認証情報/環境変数を流出させるよう設計された悪意の Python パッケージを、サードパーティの公式ソフトウェア・リポジトリで数多く発見した。Sonatype のセキュリティ研究者 Ax Sharma によると、それらのパッケージには loglib-modules/pyg-modules/pygrata/pygrata-utils/hkg-sol-utils が含まれていたが、現在では一連のエンドポイントも含めて削除されているとのことだ。彼は、「これらのパッケージのいくつかは、ユーザーの機密情報を窃取/流出させるコードを含んでいるか、その機能をもつ依存関係を使用している」と述べている。
Continue reading “AWS の機密情報を漏洩させる、迷惑なバックドアつき Python ライブラリ”How APTs Are Achieving Persistence Through IoT, OT, and Network Devices
2022/06/23 DarkReading — IoT 攻撃に関する大半のニュースが、ボットネットやクリプトマイニングといったマルウェアに焦点を当てている。しかし、APT グループ UNC3524 が用いる攻撃手法を見れば分かるように、この種のデバイスは、ターゲットのネットワーク内部から、より有害な攻撃を仕掛けるための理想的な標的になっている。Mandiant のレポートは、「 UNC3524 の手法は、ネットワーク/IoT/OT デバイスの安全性の低さを悪用し、ネットワーク内部で長期的にアクティビティ持続する巧妙なものだ」と述べている。この種の APT (Advanced Persistent Threat) スタイルの攻撃は、近い将来において増加する可能性が高く、そのリスクを理解する必要がある。
Continue reading “企業に潜み続ける APT:脆弱な IoT/OT デバイスが理想のターゲットになっている”CISA: Log4Shell exploits still being used to hack VMware servers
2022/06/23 BleepingComputer — 今日の CISA 警告は、Log4Shell のリモート・コード実行の脆弱性 CVE-2021-44228 が、国家を後ろ盾とするハッキング・グループなどの脅威アクターに悪用されており、VMware Horizon/Unified Access Gateway(UAG)サーバーが依然として標的にされているというものだ。攻撃者たちは、ローカルまたはインターネットにアクセスできる脆弱なサーバー上で、 Log4Shell をリモートがら悪用することで、機密データが保存される内部システムへのアクセスを獲得するまで、ネットワーク上の水平移動が可能になる。
Continue reading “CISA と CGCYBER の Log4Shell 共同勧告:依然として VMware Server はハッキング対象”Google Researchers Detail 5-Year-Old Apple Safari Vulnerability Exploited in the Wild
2022/06/20 TheHackerNews — Google Project Zero の最新レポートによると、今年の初めに野放しで悪用されていた Apple Safari のセキュリティ欠陥は、もともと2013年に修正され、2016年12月に改めて問題とされたものだ。この脆弱性 CVE-2022-22620 (CVSS : 8.8) は、WebKit コンポーネントの use-after-free に起因するものであり、特別に細工された Web コンテンツの一部により悪用され、任意のコード実行を許す可能性があるというものだ。
Continue reading “Google Project Zero の解説:5年前の Safari の脆弱性 CVE-2022-22620 が悪用された理由”Cisco says it won’t fix zero-day RCE in end-of-life VPN routers
2022/06/16 BleepingComputer — Cisco は、未パッチのリモートコード実行の脆弱性を公開したが、生産終了した Small Business RV ルーターの所有者に対しては、新たなモデルへのアップグレードを推奨している。この脆弱性 CVE-2022-20825 は、CVSS スコア 9.8 という深刻なものである。Cisco のセキュリティ・アドバイザリによると、この脆弱性の影響を受けるデバイスでは、受信された HTTP パケットに対するユーザー入力検証が不十分だとされる。したがって、特別に細工したリクエストを Web_based 管理インターフェイスに送信することで、この脆弱性の悪用に成功した攻撃者は、root レベルの特権でコマンドを実行させることが可能になる。
Continue reading “Cisco VPN Router のゼロデイ脆弱性 CVE-2022-20825 が FIX:ただし EOL デバイスはサポートされない”Google: SBOMs Effective Only if They Map to Known Vulns
2022/06/15 DarkReading — Software bills of materials (SBOMs) は、製品を構築するために使用されるコンポーネント/モジュール/ライブラリの詳細なリストであり、消費者のためのサプライチェーンにおけるサイバー・セキュリティ・リスクを低減する方法として、National Institute of Standards and Technology (NIST) や米国の規制当局により支持されている。
Continue reading “Google の視点:SBOM を適切に機能させるには脆弱性情報とのマッピングが不可欠”PyPI package ‘keep’ mistakenly included a password stealer
2022/06/12 BleepingComputer — PyPI パッケージである keep/pyanxdns/api-res-py の一部のバージョンには、悪意の request との依存関係が存在するため、バックドアが含まれることが判明した。たとえば、keep プロジェクトの大半のバージョンでは、HTTP リクエストを行うために正規の Python モジュール requests を使用しているが、keep v.1.2 にはマルウェアである request (s なし) が含まれている。BleepingComputer は、これが単なる誤植なのか自作自演なのか、それとも、メンテナ・アカウントの乗っ取りによるものなのかを確認するため、それぞれのパッケージの作者に問い合わせた。
Continue reading “PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取”New Privacy Framework for IoT Devices Gives Users Control Over Data Sharing
2022/06/09 TheHackerNews — プライバシーに配慮した、新たにデザインされたアーキテクチャでは、開発者がデータ共有の懸念に対処し、ユーザーが個人情報を管理できるような方法で、スマートホーム・アプリを作成することが目的となっている。カーネギーメロン大学の研究者たちにより Peekaboo と名付けられたシステムは、「家庭内のハブを活用し、外部のクラウド・サーバーに送信する前に、構造的かつ強制力のある方法で、送信データを前処理して最小化する」と説明されている。
Continue reading “IoT アーキテクチャ@カーネギーメロン大:データ最小化の原則に基づく動作とは?”Gathering Momentum: 3 Steps Forward to Expand SBoM Use
2022/06/06 DarkReading — IT 環境における Software Bills of Materials (SBoM) の普及を求める声は大きくなっているが、アプリケーション・ポートフォリオで使用されている、ソフトウェア・コンポーネントの追跡のために SBoM を一貫して導入している組織は、相対的に少ないという現実がある。
Continue reading “SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減”GitLab Issues Security Patch for Critical Account Takeover Vulnerability
2022/06/03 TheHackerNews — GitLab は、同社のサービスに存在する、アカウントを乗っ取りにいたる可能性のある、申告なセキュリティ欠陥に対処するための措置を講じた。この脆弱性 CVE-2022-1680 (CVSS:9.9) は、GitLab 内部で発見されたものであり、GitLab Enterprise Edition (EE) の 11.10〜14.9.5/14.10〜14.10.4/15.0〜15.0.1 の、すべてのバージョンに影響を及ぼるとされる。
Continue reading “GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX:速やかなアップデートを推奨”GitHub: Attackers stole login details of 100K npm user accounts
2022/05/27 BleepingComputer — GitHub が明らかにしたのは、4月中旬に発生したセキュリティ侵害において、Heroku と Travis-CI に発行された OAuth アプリ・トークンを悪用した攻撃者により、約10万件の npm アカウントのログイン情報が盗み出されたという状況である。この脅威アクターは、数十の組織が所有するプライベート・リポジトリからの侵入と、データの窃取に成功したという。
Continue reading “GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明”Cybersecurity Community Warned of Fake PoC Exploits Delivering Malware
2022/05/24 SecurityWeek — サイバー・セキュリティ・コミュニティのメンバーたちに、PoC エクスプロイトだと偽ってマルウェアを配信する、脅威アクターたちの新たな動きが、研究者たちにより暴かれた。5月19日に研究者たちは、2022日4月の Patch Tuesday アップデートで Microsoft が修正した、Windows の脆弱性数件の PoC エクスプロイトに見せかけた、悪意のソフトウェアが GitHub にホストされていることを報告した。
Continue reading “偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式”Malicious PyPI package opens backdoors on Windows, Linux, and Macs
2022/05/21 BleepingComputer — Windows/Linux/macOS 上に Cobalt Strike ビーコンやバックドアをドロップし、サプライチェーン攻撃を行う悪意の Python パッケージが、PyPI レジストリでもう一つ発見された。PyPI は、開発者が自身の作品を共有し、他者の作品から利益を得るために利用される、オープンソース・パッケージのリポジトリであり、プロジェクトに必要な機能ライブラリをダウンロードする場所である。
Continue reading “PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む”Google Cloud Aims to Share Its Vetted Open Source Ecosystem
2022/05/18 DarkReading — Google によるセキュリティ対策の恩恵を望む開発者は、Google の開発者がセキュリティ問題を検証し、パッチ適用を把握している、オープンソース・コンポーネントを利用するサービスを、まもなくサブスクライブできるようになる。この Assured Open Source Software (OSS) と名付けられたサービスは、頻繁なスキャンとコード解析により作成されたメタデータで補強される、新たな Supply chain Levels for Software Artifacts (SLSA) フレームワークに準拠する。したがって、Google の署名を受けた、オープンソース・パッケージのバージョンが提供されることになる。
Continue reading “Google Cloud の Assured OSS サービス:審査済みの Open Source コンポーネントを提供”Google Created ‘Open-Source Maintenance Crew’ to Help Secure Critical Projects
2022/05/13 TheHackerNews — 木曜日に Google は、重要なオープンソース・プロジェクトのセキュリティ強化のために、Open Source Maintenance Crew を創設したことを発表した。さらに Google は、パッケージと依存関係をグラフで分析するツールとして Open Source Insights を指摘し、それを使って「依存関係にある脆弱性が自身のコードに影響を及ぼす可能性の有無を判断する」ことを提案した。
Continue reading “Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?”
IoT OT Security News 
You must be logged in to post a comment.