Google Chrome のゼロデイ CVE-2022-4135 が FIX:野放し状態での悪用を確認

Google pushes emergency Chrome update to fix 8th zero-day in 2022

2022/11/25 BleepingComputer — Google は、Chrome デスクトップ版のセキュリティ・アップデートを緊急リリースし、今年に入ってから攻撃で悪用された、8つ目のゼロデイ脆弱性に対応した。Google Threat Analysis Group の Clement Lecigne が、2022年11月22日に発見した、この深刻度の高い脆弱性 CVE-2022-4135 は、GPU におけるヒープバッファ・オーバーフローに起因するものだ。Google は、「CVE-2022-4135 のエクスプロイトが、野放し状態で悪用されてことを認識している」と、アップデート通知に記している。

Continue reading “Google Chrome のゼロデイ CVE-2022-4135 が FIX:野放し状態での悪用を確認”

Windows Server IKE の深刻な RCE 脆弱性 CVE-2022-34721:中国からの攻撃を観測

Remote Code Execution Vulnerability Found in Windows Internet Key Exchange

2022/11/25 InfoSecurity — Windows Internet Key Exchange (IKE) Protocol Extensions を標的とした一連のエクスプロイトが、野放し状態で悪用されていることが発見された。セキュリティ企業の Cyfirma が InfoSecurity と共有した最新のアドバイザリによると、発見された脆弱性は、およそ 1000 のシステムをターゲットに悪用されている可能性があるようだ。また、同社が観測した攻撃は、中国語話者の脅威アクターによる、“bleed you” と訳されるキャンペーンの一部である可能性があるという。

Continue reading “Windows Server IKE の深刻な RCE 脆弱性 CVE-2022-34721:中国からの攻撃を観測”

Dell/HP/Lenovo デバイスの問題:UEFI 実装における古い OpenSSL の使用が判明

Dell, HP, and Lenovo Devices Found Using Outdated OpenSSL Versions

2022/11/25 TheHackerNews — Dell/HP/Lenovo のデバイスのファームウェア・イメージを分析した結果、古いバージョンの OpenSSL 暗号ライブラリの存在が明らかになり、サプライチェーン・リスクが浮き彫りになっている。EFI Development Kit (EDK) は、OS とデバイスのハードウェアに組み込まれたファームウェア間のインターフェースとして機能する、UEFI (Unified Extensible Firmware Interface) のオープンソース実装である。EDK II のファームウェア開発環境には、CryptoPkg という独自の暗号パッケージがあり、OpenSSL プロジェクトのサービスを利用できる。

Continue reading “Dell/HP/Lenovo デバイスの問題:UEFI 実装における古い OpenSSL の使用が判明”

Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?

Hackers Exploiting Abandoned Boa Web Servers to Target Critical Industries

2022/11/23 TheHackerNews — 火曜日に Microsoft は、2022年初めにインドの電力網事業体を狙った侵入行為において、現在では廃止されている Boa と呼ばれる Web サーバの、脆弱性が利用された可能性が高いことを明らかにした。この脆弱なコンポーネントは、何百万もの組織やデバイスに影響を与え得る、サプライチェーン・リスクをもたらすと、Microsoft のサイバーセキュリティ部門は述べている。

Continue reading “Boa Web Sever への攻撃:2005年に開発終了しても IoT で利用される理由は?”

Cisco の Secure Email Gateways の簡単な回避方法:匿名の研究者が詳細を公表

Researcher warns that Cisco Secure Email Gateways can easily be circumvented

2022/11/22 SecurityAffairs — 匿名の研究者が公開したのは、Cisco Secure Email Gateway アプライアンスの一部のフィルターを回避し、特別に細工したメールを介してマルウェアを配信する一連のテクニックである。この研究者は、攻撃の複雑性が低いことを指摘し、また、すでに第三者により公開されているエクスプロイトが、用いられることを付け加えている。この専門家は、協調的な開示手続きの中で、この技術を開示した。

Continue reading “Cisco の Secure Email Gateways の簡単な回避方法:匿名の研究者が詳細を公表”

macOS サンドボックス・エスケープの脆弱性 CVE-2022-26696:PoC コードが公開

PoC Code Published for High-Severity macOS Sandbox Escape Vulnerability

2022/11/21 SecurityWeek — あるセキュリティ研究者が、サンドボックス・エスケープによりターミナル内でのコード実行に悪用される可能性のある、macOS の脆弱性の詳細および PoC コードを公開した。この脆弱性 CVE-2022-26696 (CVSS:7.8) は、2021年に発見/報告されたものであり、2022年5月にリリースされた macOS Monterey 12.4 でパッチが提供されている。Apple はアドバイザリで、「この脆弱性は、サンドボックス制限のバイパスを可能にするが、環境のサニタイズを改善することで解決した」と述べている。

Continue reading “macOS サンドボックス・エスケープの脆弱性 CVE-2022-26696:PoC コードが公開”

Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚

New attacks use Windows security bypass zero-day to drop malware

2022/11/19 BleepingComputer — 新たに発見されたフィッシング攻撃は、Windows のゼロデイ脆弱性を利用して、Mark of the Web のセキュリティ警告を表示せずに、マルウェア Qbot をドロップするものだ。Web やメールなどを介して、信頼できないリモートからのファイルがダウンロードされると、Windows は Mark of the Web (MoTW) と呼ばれる特別フラグを、それらのファイルに追加する。

Continue reading “Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚”

Samba の深刻な脆弱性 CVE-2022-42898 が FIX:DoS/RCE による乗っ取りの可能性

Samba Patches Vulnerability That Can Lead to DoS, Remote Code Execution

2022/11/18 SecurityWeek — 今週に Samba は、任意のコード実行を揺する可能性のある、整数オーバーフローの脆弱性に対してパッチをリリースした。Samba は、Linux/Unix システム用のオープンソース・サーバ・メッセージ・ブロック (SMB) 実装であり、Active Directory ドメインコントローラ (AD DC) として使用できるものだ。複数の Samba リリースに影響を与える脆弱性 CVE-2022-42898 は、ユーザーに代わって別のサービスへのサービス・チケットを取得するサービスを提供する、Service for User to Proxy (S4U2proxy) ハンドラーに存在する。

Continue reading “Samba の深刻な脆弱性 CVE-2022-42898 が FIX:DoS/RCE による乗っ取りの可能性”

Exchange Server の深刻な脆弱性 ProxyNotShell:PoC エクスプロイトが公表

Exploit released for actively abused ProxyNotShell Exchange bug

2022/11/18 BleepingComputer — Microsoft Exchange に存在し、ProxyNotShellと総称される2つの深刻な脆弱性に対して、PoC エクスプロイト・コードが公開された。この2つの脆弱性 CVE-2022-41082/CVE-2022-41040 は、Microsoft Exchange Server 2013/2016/2019 に影響を及ぼし、権限を昇格した攻撃者がシステムのコンテキストで PowerShell を実行することで、侵害したサーバー上で任意のコード実行またはリモート・コード実行が可能なるというものだ。

Continue reading “Exchange Server の深刻な脆弱性 ProxyNotShell:PoC エクスプロイトが公表”

Amazon RDS スナップショットの問題:意図しない共有により PII が漏洩

Thousands of Amazon RDS Snapshots Are Leaking Corporate PII

2022/11/17 DarkReading — Amazon のクラウドベース・データバックアップ・サービスを介して、毎月のように何十万ものデータベースが不注意により公開されている。このような状況を悪用する脅威アクターたちは、個人を特定できる情報 (PII : Personally Identifiable Information) にアクセスし、恐喝やランサムウェアといった脅威のアクティビティに利用されることが、研究者たちにより判明した。

Continue reading “Amazon RDS スナップショットの問題:意図しない共有により PII が漏洩”

F5 製品群の深刻な RCE 脆弱性が FIX:Rapid7 が報告した CVE-2022-41622 など

Remote Code Execution Vulnerabilities Found in F5 Products

2022/11/16 SecurityWeek — サイバー・セキュリティ企業 Rapid7 の研究者たちが、F5 製品群に影響を及ぼす複数の脆弱性および、その他の潜在的なセキュリティ問題を特定した。8月中旬に Rapid7 から F5 に調査結果がベンダーに報告され、セキュリティ・ホールやエンジニアリング・ホットフィックスなどのアドバイザリが、水曜日に両社からリリースされた。

Continue reading “F5 製品群の深刻な RCE 脆弱性が FIX:Rapid7 が報告した CVE-2022-41622 など”

Zendesk Explore の深刻な脆弱性が FIX:GraphQL API で SQL インジェクションが発生

Researchers Reported Critical SQLi and Access Flaws in Zendesk Analytics Service

2011/11/15 TheHackerNews — サイバー・セキュリティ研究者たちが、Zendesk Explore に存在する欠陥 (パッチ適用済み) の詳細を公開した。この脆弱性の悪用に成功した攻撃者は、Explore 機能を ON にした顧客アカウントの情報に、不正にアクセスする可能性があったとされる。

Continue reading “Zendesk Explore の深刻な脆弱性が FIX:GraphQL API で SQL インジェクションが発生”

Spotify Backstage における深刻な脆弱性:インターネット上に 500以上のインスタンスが公開

Remote Code Execution Discovered in Spotify’s Backstage

2022/11/15 InfoSecurity — Spotify のオープンソース・プロジェクトである、Cloud Native Computing Foundation (CNCF) インキュベーション Backstage で、リモートコード実行 (RCE) にいたる可能性のある脆弱性が発見された。この発見は、Oxeye リサーチ・によるものであり、vm2 というサードパーティ・ライブラリを介して、仮想マシン (VM) のサンドボックス・エスケープを悪用するものである。

Continue reading “Spotify Backstage における深刻な脆弱性:インターネット上に 500以上のインスタンスが公開”

CVE 管理は主要な戦略ではない:攻撃者が用いる手口に注目すべきだ

Why CVE Management as a Primary Strategy Doesn’t Work

2022/11/12 DarkReading — セキュリティ研究者である私にとって、一般的な脆弱性と暴露 (CVE) は問題だが、その理由は、あなたが思うものではない。IT とセキュリティのチームは、CVE がもたらす脅威と膨大な修正作業のために CVE を嫌っているが、私が悩むのは、セキュリティための手続きと CVE との関係についてである。私たちが本当に必要としているのは、ハッカー中心のアプローチであるはずなのだが、私たちの緩和戦略は脆弱性管理に集中し、CVE 中心になってしまっている。

Continue reading “CVE 管理は主要な戦略ではない:攻撃者が用いる手口に注目すべきだ”

CISA が SSVC を公開:パッチの優先順位とディシジョン・ツリー・モデル

CISA Releases Decision Tree Model to Help Companies Prioritize Vulnerability Patching

2022/11/11 SecurityWeek — 11月10日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、脆弱性パッチの優先順位を付ける組織が、ディシジョン・ツリー・モデルを用いる際に役立つ SSVC (Stakeholder-Specific Vulnerability Categorization) ガイドを公開した。SSVC システムは、CISA とカーネギーメロン大学の Software Engineering Institute (SEI) が 2019年に作成したものだ。翌年である 2022年に CISA は、政府機関や重要インフラ組織に関連するセキュリティ欠陥に対して、独自にカスタマイズした SSVC デジション・ツリーを作成している。

Continue reading “CISA が SSVC を公開:パッチの優先順位とディシジョン・ツリー・モデル”

Google Pixel の脆弱性 CVE-2022-20465 が FIX:ロック画面がバイパスされる

5 Easy Steps to Bypass Google Pixel Lock Screens

2022/11/11 DarkReading — 2022年11月の Android アップデートには、Google Pixel のロック画面の、攻撃者によるバイパスというバグの修正版が含まれている。この Google Pixel のセキュリティ脆弱性は、研究者である David Schützにより発見され、6月に報告されたものだ。

Continue reading “Google Pixel の脆弱性 CVE-2022-20465 が FIX:ロック画面がバイパスされる”

macOS/iOS のリモート・コード実行の脆弱性が FIX:CVE-2022-40303/CVE-2022-40304

Apple out-of-band patches fix remote code execution bugs in iOS and macOS

2022/11/10 SecurityAffairs — Apple は、iOS/macOS 用の不定期パッチをリリースし、XML ドキュメント解析のための libxml2 ライブラリに存在する、2つのコード実行の脆弱性 CVE-2022-40303/CVE-2022-40304 に対処した。これらの2つの脆弱性は、Google Project Zero のセキュリティ研究者たちにより発見された。この脆弱性の悪用に成功したリモートの攻撃者は、アプリの想定外の終了や、任意のコード実行が可能になる。

Continue reading “macOS/iOS のリモート・コード実行の脆弱性が FIX:CVE-2022-40303/CVE-2022-40304”

Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能

Microsoft Patches MotW Zero-Day Exploited for Malware Delivery

2022/11/09 SecurityWeek — Microsoft の最新 Patch Tuesday では、サイバー犯罪者がマルウェアを送り込むために悪用している、Mark-of-The-Web (MoTW) セキュリティ機能の欠陥などを含む、6つのゼロデイ脆弱性が対処された。Windows では、ブラウザからのダウンロード・ファイルや電子メールの添付ファイルといった、信頼できない場所から送られてくるファイルに、MoTW フラグが追加される。そして、MoTW が設定されたファイルを開こうとすると、潜在的なリスクについて警告が表示され、それが Office ファイルの場合には、悪質なコードの実行を防ぐために VBA マクロがブロックされる。

Continue reading “Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能”

VMware Workspace ONE Assist の脆弱性 CVE-2022-31685 などが FIX

VMware Warns of 3 New Critical Flaws Affecting Workspace ONE Assist Software

2022/11/09 TheHackerNews — VMware の Workspace ONE Assist ソリューションに影響を及ぼす、5つのセキュリティ上の欠陥が修正された。このうち、最も深刻な脆弱性は、CVE-2022-31685/CVE-2022-31686/CVE-2022-31687 の3件である。これらの欠点は、そのすべてが CVSS 値 9.8 と評価されている。脆弱性 CVE-2022-31685 は、VMware Workspace ONE Assist に存在する認証バイパスの脆弱性であり、ネットワーク・アクセスが可能な攻撃者が悪用に成功すると、このアプリケーションで認証を得すことなく、Admin アクセスを取得する可能性が生じる。

Continue reading “VMware Workspace ONE Assist の脆弱性 CVE-2022-31685 などが FIX”

Cloud9 は Chrome ボットネット:リモート操作+多彩な機能で攻めてくる

Malicious extension lets attackers control Google Chrome remotely

2022/11/08 BleepingComputer — Cloud9 という新しい Chrome ブラウザ・ボットネットが、野放し状態で発見された。このボットネットは、悪意のエクステンションを使用して、オンライン・アカウントの窃盗/キーストロークの記録/広告や悪意の JS コードの注入/被害者のブラウザへの DDoS 攻撃などをしていたという。Cloud9 ブラウザ・ボットネットは、Google Chrome/Microsoft Edge を含む Chromium Web ブラウザ用のリモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) であり、脅威アクターによるリモート・コマンドの実行を可能にする。

Continue reading “Cloud9 は Chrome ボットネット:リモート操作+多彩な機能で攻めてくる”

Citrix ADC/Gateway 認証バイパスの脆弱性が FIX:直ちにパッチ適用を!

Citrix urges admins to patch critical ADC, Gateway auth bypass

2022/11/08 BleepingComputer — Citrix は、Citrix ADC/Citrix Gateway の深刻な認証バイパスの脆弱性に対するセキュリティ・アップデートをインストールするよう、顧客に促している。Citrix ADC/Citrix Gateway における3つの脆弱性は、特定の環境下において、攻撃者によるデバイスへの不正アクセスおよび、リモート・デスクトップの乗っ取り、ログイン・ブルートフォースによるプロテクションの回避などを可能にするものだ。

Continue reading “Citrix ADC/Gateway 認証バイパスの脆弱性が FIX:直ちにパッチ適用を!”

Microsoft Exchange のゼロデイ ProxyNotShell が FIX:2013/2016/2019 に影響

Microsoft fixes ProxyNotShell Exchange zero-days exploited in attacks

2022/11/08 BleepingComputer — Microsoft Exchange に存在し、野放し状態で悪用されている、ProxyNotShell と名付けられた2つのゼロデイ脆弱性に対して、セキュリティ更新プログラムがリリースされた。2022年9月以降において、この2つのセキュリティ欠陥を連鎖させた攻撃者は、侵害したサーバ上に Chinese Chopper Web シェルを展開し、永続性を確保しながら被害者のネットワーク内で横方向へと移動することで、データを窃取してきたと思われる。

Continue reading “Microsoft Exchange のゼロデイ ProxyNotShell が FIX:2013/2016/2019 に影響”

Microsoft 2022-11 月例アップデートは6件のゼロデイと 68件の脆弱性に対応

Microsoft November 2022 Patch Tuesday fixes 6 exploited zero-days, 68 flaws

2022/11/08 BleepingComputer — 今日の、Microsoft November 2022 Patch Tuesday により、Windows 上で活発に悪用されている6件の脆弱性を含む、合計 68件の脆弱性が修正された。今日のアップデートでは、68件の脆弱性が修正されたが、そのうち 11件は、最も深刻なタイプの脆弱性のひとつである権限昇格/成りすまし/リモート・コード実行を可能にするもので、Critical に分類されている。

Continue reading “Microsoft 2022-11 月例アップデートは6件のゼロデイと 68件の脆弱性に対応”

Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している

Microsoft Warns of Uptick in Hackers Leveraging Publicly-Disclosed 0-Day Vulnerabilities

2022/11/05 TheHackerNews — Microsoft が警告するのは、公表されたゼロデイ脆弱性を国家や犯罪者が利用し、標的の環境を侵害するケースが増加していることだ。Microsoft は、114 ページにも及ぶ Digital Defense Report の中で、「脆弱性の発表から、その脆弱性が商品化されるまでの時間が、明らかに短縮されている」と述べている。したがって、ユーザー組織にとっては、このような脆弱性にタイムリーにパッチを当てることが不可欠であると指摘している。

Continue reading “Microsoft の 2022 Digital Defense Report:ゼロデイ脆弱性を悪用する攻撃が急増している”

英国政府が実施するスキャン:国内のインターネット接続デバイスの脆弱性を洗い出す

British govt is scanning all Internet devices hosted in UK

2022/11/04 BleepingComputer — いま、英国政府が行っているのは、サイバー・セキュリティを主導する National Cyber Security Centre (NCSC) による脆弱性のスキャンであり、同国内でホストされているインターネットに接続されたすべてのデバイスが対象となっている。その目的は、サイバー攻撃に対する英国の脆弱性を評価し、インターネットに接続されたシステムの所有者である組織が、それぞれのセキュリティ態勢を理解できるようにすることだ。

Continue reading “英国政府が実施するスキャン:国内のインターネット接続デバイスの脆弱性を洗い出す”

Cisco ISE の深刻な脆弱性 CVE-2022-20961 などが FIX:OpenSSL の問題は調査中

Cisco addressed several high-severity flaws in its products

2022/11/04 SecurityAffairs — 今回 Cisco が対応したのは、Identity/eMail/Web Security 製品群における深刻な脆弱性を含む、同社製品に影響を及ぼす複数の欠陥である。その中で最も深刻なものは、Identity Services Engine (ISE) に存在する、クロス・サイト・リクエスト・フォージェリ (CSRF) の脆弱性 CVE-2022-20961 (CVSS:8.8) である。この脆弱性の悪用に成功した未認証のリモート攻撃者は、脆弱なデバイス上で任意のアクションを実行できる。この問題の根本的な原因は、影響を受けるデバイスの Web ベースの管理インターフェイスの不十分な CSRF 対策にある。

Continue reading “Cisco ISE の深刻な脆弱性 CVE-2022-20961 などが FIX:OpenSSL の問題は調査中”

Fortinet の深刻な脆弱性 CVE-2022-38374 などが FIX:XSS 攻撃の可能性

Fortinet fixed 16 vulnerabilities, 6 rated as high severity

2022/11/03 SecurityAffairs — Fortinet が FIX した脆弱性の中で、深刻度の高いものとしては、FortiADC の Log ページに存在する persistent XSS の脆弱性 CVE-2022-38374 がある。この問題の原因は、FortiADC の Web ページ生成時における、入力の不適切な無効化の脆弱性 [CWE-79] となる。この脆弱性の悪用に成功したリモートの未認証の攻撃者は、トラフィックやイベントのログビューで観測される HTTP フィールドを介して、persistent XSS 攻撃が可能となる。

Continue reading “Fortinet の深刻な脆弱性 CVE-2022-38374 などが FIX:XSS 攻撃の可能性”

Checkmk に複数の脆弱性:IT インフラ監視ソフトウェアに乗っ取りの可能性

Multiple Vulnerabilities Reported in Checkmk IT Infrastructure Monitoring Software

2022/11/02 TheHackerNews — モニタリング・ソフトウェアである Checkmk IT Infrastructure に存在する、複数の脆弱性が報告された。これらの脆弱性により、認証されていないリモートの攻撃者が、連鎖的に影響を受けるサーバを完全に乗っ取る可能性が生じている。SonarSource の研究者である Stefan Schiller は、「これらの脆弱性を連鎖させることで、Checkmk 2.1.0p10 以下のサーバ上でのコード実行が、未認証のリモート攻撃者に許されてしまう」と、技術分析で述べている。

Continue reading “Checkmk に複数の脆弱性:IT インフラ監視ソフトウェアに乗っ取りの可能性”

Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭

LockBit Dominates Ransomware Campaigns in 2022: Deep Instinct

2022/11/01 InfoSecurity — 2022年 Q1/Q2/Q3 におけるランサムウェア・キャンペーンでは、全体の 44% を LockBit RaaS グループが占めることになった。それに続くのが、Conti (23%)/Hive (21%)/Black Cat (7%)/Conti Splinters (5%) などであり、Quantum/Black Basta/Black Byte などの脅威アクター・グループで構成されるものだ。この数字は、Deep Instinct のレポートである 2022 Interim Cyber Threat Report をベースにしたものだ。

Continue reading “Deep Instinct の 2022 ランサムウェア・レポート:Conti の残像と LockBit の台頭”

Azure Cosmos DB の Jupyter Notebooks に存在する深刻な RCE の脆弱性が FIX

Microsoft fixes critical RCE flaw affecting Azure Cosmos DB

2022/11/01 BleepingComputer — Orca Security のアナリストたちが、Azure Cosmos DB で発見した深刻な脆弱性は、コンテナへの認証されていない読み取り/書き込みを可能にするものだ。Azure Cosmos DB や Azure Portal のアカウントにビルトインされ、NoSQL データの容易なクエリ/分析/可視性を統合する Jupyter Notebooks に、この CosMiss と名付けられたセキュリティ脆弱性は存在する。

Continue reading “Azure Cosmos DB の Jupyter Notebooks に存在する深刻な RCE の脆弱性が FIX”

OpenSSL の脆弱性 CVE-2022-3602/CVE-2022-3786 が FIX:深刻だが緊急性は低い

High-severity OpenSSL vulnerabilities fixed (CVE-2022-3602, CVE-2022-3786)

2022/11/01 HelpNetSecurity — 暗号ライブラリ OpenSSL のバージョン 3.0.7 がリリースされ、punycode decoder に存在する、サービス拒否/リモートコード実行につながる可能性のある、2つの深刻なバッファオーバーフロー脆弱性 CVE-2022-3602/CVE-2022-3786 が修正された。脆弱性 CVE-2022-3602 は、1週間前に OpenSSLプロジェクト・チームにより、その存在が事前に発表されていたが、幸運なことに、当初に想定されていたよりも、危険度が低いことが判明している。

Continue reading “OpenSSL の脆弱性 CVE-2022-3602/CVE-2022-3786 が FIX:深刻だが緊急性は低い”

Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う

Why Are Zombie APIs and Shadow APIs So Scary?

2022/11/01 DarkReading — API に関連するビジネス価値を、企業が最大化しようとするにつれ、API の数が急増している。DX の浸透や、マイクロサービスによるアプリの近代化、API ファーストのアプリ設計、迅速なソフトウェア・デプロイメントなどが、企業が作成/使用する API 数を急速に増加させてきた。

Continue reading “Zombie API と Shadow API の恐ろしさ:API 乱立の副産物に向き合う”

ConnectWise の深刻な脆弱性が FIX:サプライチェーン攻撃の PoC も発表

Critical ConnectWise Vulnerability Affects Thousands of Internet-Exposed Servers

2022/10/31 SecurityWeek — 金量日に IT 管理ソフトウェア・プロバイダーである ConnectWise は、数千台のサーバが攻撃にさらされる深刻な脆弱性にパッチを当てるアップデートを発表したと、サイバー・セキュリティの専門家たちが述べている。この欠陥は、「下流のコンポーネントが使用する出力における、特殊要素の不適切な無効化」と説明され、ConnectWise の Recover Backup と Disaster Recovery (v2.9.7 以前) および、R1Soft Server Backup Manager (v6.16.3 以前) に影響を及ぼすとされる。

Continue reading “ConnectWise の深刻な脆弱性が FIX:サプライチェーン攻撃の PoC も発表”

Windows の MoTW ゼロデイ脆弱性:Magniber ランサムウェアを 0Patch が阻止する?

Actively exploited Windows MoTW zero-day gets unofficial patch

2022/10/30 BleepingComputer — Windows 10/11 の積極的に悪用されているゼロデイに対して、無料の非公式パッチがリリースされた。この脆弱性は、不正に署名されたファイルが、Mark-of-the-Web セキュリティ警告を回避するというものだ。先週末に BleepingComputer は、スタンドアロンの JavaScript ファイルを悪用する脅威アクターが、被害者のデバイスに Magniber ランサムウェアをインストールしていることを報告した。

Continue reading “Windows の MoTW ゼロデイ脆弱性:Magniber ランサムウェアを 0Patch が阻止する?”

VMware の深刻な RCE 脆弱性 CVE-2021-39144:PoC エクスプロイトが公開

Exploit released for critical VMware RCE vulnerability, patch now

2022/10/28 BleepingComputer — VMware の Cloud Foundation/NSX Manager アプライアンスに存在し、未承認の攻撃者に root 権限によるリモート・コード実行 (RCE) を許してしまう、未パッチの脆弱性に対する PoC エクスプロイト・コードが公開された。この脆弱性 CVE-2021-39144 は、2つの VMware 製品で使用されている XStream オープンソース・ライブラリに存在し、VMware は CVSS 値 9.8 と評価している。

Continue reading “VMware の深刻な RCE 脆弱性 CVE-2021-39144:PoC エクスプロイトが公開”

Google Chrome 107 の緊急アップデート:新たなゼロデイ CVE-2022-3723 を FIX

Google fixes a new actively exploited Chrome zero-day, it is the seventh one this year

2022/10/28 SecurityAffairs — Google は、積極的に悪用されるゼロデイ脆弱性 CVE-2022-3723 に対処するために、Chrome 107 の緊急アップデートをリリースした。CVE-2022-3723 は、Chrome V8 の Javascript エンジンに存在するタイプ・コンフュージョンの脆弱性であり、2022年10月25日に Avast の Jan Vojtěšek/Milánek/Przemek Gmerek により報告されたものだ。

Continue reading “Google Chrome 107 の緊急アップデート:新たなゼロデイ CVE-2022-3723 を FIX”

Juniper Junos OS の深刻な脆弱性が FIX:ファイアウォール/ルーター/スイッチで RCE

High-Severity Flaws in Juniper Junos OS Affect Enterprise Networking Devices

2022/10/28 TheHackerNews — Juniper Networks のデバイスに影響を及ぼす、複数の深刻なセキュリティ欠陥が公開されたが、そのうちのいくつかは、悪用に成功した攻撃者にコードを実行される可能性があるという。Octagon Networks の研究者である Paulos Yibelo によると、このうち最も深刻なものは、Junos OS の J-Web コンポーネントに存在する、リモートでの事前認証を介した PHP アーカイブ・ファイルのデシリアライズの脆弱性 CVE-2022-22241 (CVSS 値 : 8.1) であるという。

Continue reading “Juniper Junos OS の深刻な脆弱性が FIX:ファイアウォール/ルーター/スイッチで RCE”

GitHub の名前空間リタイアメントにバグ:RepoJacking 攻撃が発生する可能性とは?

GitHub Bug Exposed Repositories to Hijacking

2022/10/27 InfoSecurity — セキュリティ研究者が新たに発見した GitHub の欠陥は、攻撃に成功した攻撃者がリポジトリを制御し、関連するアプリやコードにマルウェアを拡散する可能があるものだ。現時点において GitHub は、”popular repository namespace retirement” 機能のバグを修正しているが、将来において同じツールが、脅威者の標的となる可能性があると Checkmarx は警告している。

Continue reading “GitHub の名前空間リタイアメントにバグ:RepoJacking 攻撃が発生する可能性とは?”

MyOpenVDP で脆弱性を通知:OSS で実現する Vulnerability Disclosure Policy とは?

MyOpenVDP: Open-source web application to securely disclose vulnerabilities

2022/10/26 HelpNetSecurity — MyOpenVDP とは、誰もが自分の脆弱性開示ポリシー (VDP : Vulnerability Disclosure Policy) をホストできるようにするための、オープンソース・ソリューションのことである。この、YesWeHack により開発された Web アプリケーションは、GitHub 上で公開されている。

Continue reading “MyOpenVDP で脆弱性を通知:OSS で実現する Vulnerability Disclosure Policy とは?”

VMware Cloud Foundation の深刻な脆弱性 CVE-2021-39144 が FIX:RCE の可能性

VMware Releases Patch for Critical RCE Flaw in Cloud Foundation Platform

2022/10/26 TheHackerNews — 火曜日に VMware は、同社の VMware Cloud Foundation 製品群に存在する、深刻なセキュリティ上の欠陥に対処するセキュリティ・アップデートをリリースした。この脆弱性 CVE-2021-39144 は、XStream オープンソース・ライブラリを介したリモートコード実行に関連するものであり、深刻度を示す CVSS 値は 9.8 と評価されている。

Continue reading “VMware Cloud Foundation の深刻な脆弱性 CVE-2021-39144 が FIX:RCE の可能性”

OpenSSL の重要な修正プログラムがリリースされる:すべてのユーザーは準備を!

Incoming OpenSSL critical fix: Organizations, users, get ready!

2022/10/26 HelpNetSecurity — このチームの独自のリスク分類によると、OpenSSL の重大な脆弱性とは、一般的な設定に影響を与え、悪用される可能性が高い脆弱性を指すとのことだ。彼らは、「それらの脆弱性に含まれる例を挙げると、サーバのメモリの内容 の大量に開示するもの (ユーザーの詳細が明らかになる可能性)/リモートから容易に悪用されてサーバの秘密鍵を危険にさらすもの/一般的な状況でリモートコード実行の可能性が高いものなどがある」と述べている

Continue reading “OpenSSL の重要な修正プログラムがリリースされる:すべてのユーザーは準備を!”

SQLite Database Library で 22年前のバグが発覚:Chrome 64 Bit などに生じる影響とは?

22-Year-Old Vulnerability Reported in Widely Used SQLite Database Library

2022/20/25 TheHackerNews — 2000年10月に行われたコード変更がもたらした、SQLite データベース・ライブラリの深刻な脆弱性により、プログラムのクラッシュや乗っ取りが生じる可能性が判明した。この 22 年前の脆弱性 CVE-2022-35737 (CVSS : 7.5) は、SQLite バージョン 1.0.12〜3.39.1 に影響するものであり、2022 年 7 月 21 日にリリースされたバージョン 3.39.2 で対処されている。

Continue reading “SQLite Database Library で 22年前のバグが発覚:Chrome 64 Bit などに生じる影響とは?”

Cisco AnyConnect の脆弱性 CVE-2020-3433 などの悪用を検出:CISA KEV リストにも追加

Cisco warns admins to patch AnyConnect flaw exploited in attacks

2022/10/25 BleepingComputer — 今日に Cisco は、Cisco AnyConnect Secure Mobility Client for Windows に存在する、2つの脆弱性が悪用されているとして、顧客に警告を発した。AnyConnect Secure Mobility Clientは、企業のエンドポイントへの安全なアクセスを簡素化し、SSL (Secure Sockets Layer) と IPsec IKEv2 を通じて、あらゆるロケーションからの安全な VPN 接続を提供するものである。

Continue reading “Cisco AnyConnect の脆弱性 CVE-2020-3433 などの悪用を検出:CISA KEV リストにも追加”

Atlassian Jira Align の脆弱性:クラウド・インフラの一部を制御される可能性

Atlassian Vulnerabilities Highlight Criticality of Cloud Services

2022/10/25 DarkReading — アジャイル・プランニングの SaaS (Software-as-a-Service) ツール Atlassian Jira Align に存在する2つの脆弱性 (CVE-2022-36802/CVE-2022-36803) により、サービスにアクセスできる脅威アクターがアプリケーション管理者になり、Atlassian サービスを攻撃する可能性があることが判明した。サイバーセキュリティ・サービス企業である Bishop Fox は、「この脆弱性は、クラウド・サービスで生じるリスクの典型であり、比較的よく知られているが、発見するのが難しいことが多い」と、今日のアドバイザリで述べている。

Continue reading “Atlassian Jira Align の脆弱性:クラウド・インフラの一部を制御される可能性”

Veeam の深刻な RCE 脆弱性 CVE-2022-26501/CVE-2022-26504 が FIX

Multiple RCE Vulnerabilities Discovered in Veeam Backup & Replication App

2022/10/24 InfoSecurity — Veeam Backup & Replication アプリケーションで、複数の重大かつ深刻な脆弱性が発見された。その中でも、リモート・コード実行 (RCE) の脆弱性を悪用する、完全に武器化されたツールが販売されている可能性があることが判明しました。この発見は、CloudSEK のセキュリティ研究者たちによるものであり、今日の未明にアドバイザリが発表されている。

Continue reading “Veeam の深刻な RCE 脆弱性 CVE-2022-26501/CVE-2022-26504 が FIX”

iPhone/iPad のゼロデイ脆弱性にパッチ適用:iOS 16.1 への移行を急ごう

Apple fixes new zero-day used in attacks against iPhones, iPads

2022/10/24 BleepingComputer — Apple は、月曜日に公開されたセキュリティ・アップデートにおいて、今年の iPhone 攻撃に悪用された、9つ目のゼロデイ脆弱性を修正した。 今日のアドバイザリで Apple は、「このセキュリティ上の脆弱性が積極的に悪用されている可能性があるとする、レポートの存在を認識している」と述べている。この脆弱性 CVE-2022-42827 は、匿名の研究者が Apple に報告したものであり、メモリバッファの境界の外にデータを書き込む、境界外書き込みの問題に関するものだ。

Continue reading “iPhone/iPad のゼロデイ脆弱性にパッチ適用:iOS 16.1 への移行を急ごう”

GitHub に潜む偽 PoC エクスプロイト:騙されてマルウェアを配信される確率は 10.3%

Thousands of GitHub repositories deliver fake PoC exploits with malware

2022/10/23 BleepingComputer — Leiden Institute of Advanced Computer Science の研究者たちは、様々な脆弱性に対する偽の PoC エクスプロイトを提供する、GitHub 上の数千のリポジトリを発見した。それらのリポジトリには、マルウェアも含まれていたという。GitHub は最大のコード・ホスティング・プラットフォームの1つである。そして、研究者たちが GitHub を用いて PoC エクスプロイトを公開し、セキュリティ・コミュニティが脆弱性の修正を検証することで、脆弱性の影響と範囲を判断できるようにしている。

Continue reading “GitHub に潜む偽 PoC エクスプロイト:騙されてマルウェアを配信される確率は 10.3%”

Cisco Identity Services Engine の2つの XSS 脆弱性:パッチ適用と PoC までの間の対策とは?

Vulnerabilities in Cisco Identity Services Engine require your attention (CVE-2022-20822, CVE-2022-20959)

2022/10/21 HelpNetSecurity — Cisco は、Cisco Identity Services Engine (ISE) の管理者に対して、同プロダクトに存在する2つの脆弱性 CVE-2022-20822/CVE-2022-20959 への注意喚起を発表した。これらの悪用に成功した驚異アクターは、影響を受けるデバイス上のファイルの読み取りや削除/任意のスクリプトの実行/機密情報へのアクセスなどが可能になる。

Continue reading “Cisco Identity Services Engine の2つの XSS 脆弱性:パッチ適用と PoC までの間の対策とは?”

CISA KEV 警告 22/10/20:Linux Kernel の脆弱性 CVE-2021-3493 を悪用リストに追加

CISA adds Linux kernel flaw CVE-2021-3493 to its Known Exploited Vulnerabilities Catalog

2022/10/21 SecurityAffairs — 今週に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linuxカーネル の脆弱性 CVE-2021-3493 を Known Exploited Vulnerabilities Catalog (KEV) に追加した。拘束力のある運用指令 BOD 22-01 によると、既知の脆弱性を悪用した攻撃からネットワークを守るために、それぞれの FCEB 機関は期限までに、特定された脆弱性に対処しなければならない。

Continue reading “CISA KEV 警告 22/10/20:Linux Kernel の脆弱性 CVE-2021-3493 を悪用リストに追加”