300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug
2023/07/03 BleepingComputer — 数十万台の FortiGate ファイアウォールに影響を及ぼすとされる、深刻な脆弱性 CVE-2023-27997 だが、この問題に対処するアップデートを Fortinet がリリースしてから、約 1ヶ月が経過した。この、深刻度スコア 9.8 の脆弱性は、リモートコード実行にいたるものであり、すべてのネットワーキング・コンポーネントを、Fortiner のセキュリティ・ファブリック・プラットフォームに接続する、FortiOS のヒープバッファ・オーバーフローに起因するものだと説明されている。
Continue reading “Fortinet FortiGate の脆弱性 CVE-2023-27997:依然として30万台の未パッチが公開”Hackers exploit zero-day in Ultimate Member WordPress plugin with 200K installs
2023/06/30 BleepingComputer — WordPress プラグインである Ultimate Member に存在する、権限昇格のゼロデイ脆弱性を悪用するハッカーにより、セキュリティ・バイパスと不正な管理者アカウント登録が発生し、多くの Web サイトが侵害されている。Ultimate Member は、WordPress サイトでのサインアップやコミュニティ構築を容易にする、ユーザー・プロファイル/メンバーシップ・プラグインであり、現時点で 20万以上のアクティブ・インストールを有する。
Continue reading “WordPress プラグイン Ultimate Member の深刻なゼロデイ脆弱性:WordFence はアンインストールを推奨”MITRE Announces Most Dangerous Software Weaknesses
2023/06/30 InfoSecurity — 米国政府が発表したのは、これまでの2年間において、最も一般的であり、影響力の大きかったソフトウェア欠陥のリストである。この CWE Top-25 リストは、Homeland Security Systems Engineering と Development Institute によりアナウンスされたが、Department of Homeland Security と 非営利団体 MITRE がサポートするものである。ソフトウェアの弱点とは、脆弱性につながるエラー/バグ/欠陥などを指すものだ。
Continue reading “MITRE が公開した CWE Top-25 リスト 2023年版:CISA KEV との連携が強化されている”Critical Security Flaw in Social Login Plugin for WordPress Exposes Users’ Accounts
2023/06/29 TheHackerNews — miniOrange の WordPress 用 Social Login and Register プラグインに、致命的なセキュリティ上の脆弱性が存在する。その悪意の脅威アクターは、ユーザーから提供されたメールアドレスを知っていると想定され、ログインできる可能性があることが判明した。この認証バイパスの脆弱性 CVE-2023-2982 (CVSS:9.8) は、バージョン 7.6.4 以前の全バージョンに影響を及ぼす。この脆弱性については、2023年6月2日に適切な開示が行われた後の、2023年6月14日に修正され、バージョン 7.6.5 がリリースされた。
Continue reading “WordPress の Social Login Plugin に深刻な脆弱性:30,000 以上のサイトでパッチが必要!”PoC for Arcserve UDP authentication bypass flaw published (CVE-2023-26258)
2023/06/29 HelpNetSecurity — Arcserve Unified Data Protection (UDP) エンタープライズ・データ保護ソリューションの認証バイパスの脆弱性 (CVE-2023-26258) を悪用して、管理者アカウントを侵害し、脆弱なインスタンスを乗っ取ることが可能である。この問題を発見した、MDSec の研究者である Juan Manuel Fernández と Sean Doherty は PoC エクスプロイトも公開している。
Continue reading “Arcserve UDP の認証バイパスの脆弱性 CVE-2023-26258:PoC エクスプロイトが登場”Critical SQL Injection Flaws Expose Gentoo Soko to Remote Code Execution
2023/06/28 TheHackerNews — Gentoo Soko に存在する複数の SQL インジェクションの脆弱性が公開され、脆弱なシステム上ではリモートコード実行 (RCE) につながる可能性があると解説されている。SonarSource の研究者である Thomas Chauchefoin は、「Object-Relational Mapping (ORM) ライブラリとプリペアド・ステートメントを使用しているにもかかわらず、これらの SQL インジェクションの脆弱性は発生している。データベースのミスコンフィグレーションにより、Soko上で RCE が発生する可能性がある」と付け加えている。
Continue reading “Gentoo Soko の深刻な SQLi の脆弱性 CVE-2023-28424 が FIX:リモートコード実行にいたる”Schneider Electric and Siemens Energy are two more victims of a MOVEit attack
2023/06/27 SecurityAffairs — MOVEit 攻撃の新たな被害者5社が、Clop ランサムウェア・グループにより、ダークウェブのリークサイトに追加された。そのうちの Schneider Electric と Siemens Energy の2社は、世界中の重要な国家インフラで利用される、産業用制御システム ICS (Industrial Control Systems) を提供するベンダーである。
Continue reading “MOVEit 攻撃の新たな被害者:Schneider Electric と Siemens Energy が攻撃された”Internet Systems Consortium (ISC) fixed three DoS flaw in BIND
2023/06/26 SecurityAffairs — DNS ソフトウェア・スイートである BIND に存在する、3件のサービス拒否 (DoS) 脆弱性に対処するためのセキュリティ・アップデートを、ISC (Internet Systems Consortium) がリリースした。CVE-2023-2828/CVE-2023-2829/CVE-2023-2911 として追跡されている、これらの脆弱性は、リモートから悪用可能だ。ISC によると、これらの3つの脆弱性は深刻度が高く、悪用されるとデバイス・メモリの飽和や、BIND のデーモン named のクラッシュにいたる可能性があるという。
Continue reading “ISC BIND の3つの DoS 脆弱性 CVE-2023-2828 などが FIX”Chinese Hackers Using Never-Before-Seen Tactics for Critical Infrastructure Attacks
2023/06/26 TheHackerNews — 最近に発見され、Volt Typhoon と名付けられた、中国に支援される脅威アクターだが、遅くとも 2020年半ばから野放し状態で活動していたことが、CrowdStrike の調査により判明した。CrowdStrikeは、この脅威アクターを Vanguard Panda という名前で追跡している。同社は、「この脅威アクターは一貫して、イニシャル・アクセスのために ManageEngine Self-service Plus エクスプロイトを使用し、持続的なアクセスのためにカスタム Web シェルを使用し、横方向の移動のために Living-off-the-land (LotL) テクニックを使用していた」と説明している。
Continue reading “Volt Typhoon という中国ハッカー:重要インフラを攻撃する手口が明らかになってきた”Grafana warns of critical auth bypass due to Azure AD integration
2023/06/24 BleepingComputer — Grafana がリリースした、複数のバージョン向けにセキュリティ修正は、攻撃に成功した脅威アクターに対して、認証バイパスを許すという深刻なものだ。具体的に言うと、認証に Azure Active Directory を使用している、すべての Grafana アカウントに乗っ取り可能性が生じることになる。Grafanaは、広範 に使用されているインタラクティブなオープンソースの分析および可視化のアプリであり、監視のためのプラットフォームや、アプリケーション統合のオプションを提供している。
Continue reading “Grafana の深刻な脆弱性 CVE-2023-3128 が FIX:Azure AD 統合によるアカウント乗っ取りとは?”Fortinet fixes critical FortiNAC RCE, install updates asap
2023/06/23 SecurityAffairs — Fortinet の Network Access Control (NAC) ソリューションである FortiNAC は、セキュリティポリシーの適用/デバイスの監視/アクセス権限の管理などにより、企業におおけるネットワークへのアクセスを安全に制御するためのものである。その FortiNAC で、未認証の攻撃者が任意のコード/コマンドを実行できる、深刻な脆弱性 CVE-2023-33299 (CVSS:9.6) が発見され、Fortinet によるセキュリティ・アップデートがリリースされた。
Continue reading “Fortinet FortiNAC の深刻な脆弱性 CVE-2023-33299 が FIX:RCE の可能性”MOVEIt breach impacts GenWorth, CalPERS as data for 3.2 million exposed
2023/06/23 BleepingComputer — PBI Research Services (PBI) を侵害した、最近の MOVEit Transfer データ窃取攻撃により、合計で 475万人分のデータが盗まれたと、同社の顧客三社が公表している。一連の攻撃は 2023年5月27日に始まっており、Clop ランサムウェア・ギャングが MOVEit Transfer のゼロデイ脆弱性を悪用し、数百の企業からデータを盗んだインシデントだとされている。この1週間において Clop ランサムウェア・ギャングは、被害者に対する身代金支払いのプレッシャーとして、影響を受けた組織をデータ漏洩サイトに段階的にリストアップし、企業を恐喝し始めている。
Continue reading “MOVEit ゼロデイ侵害の被害が拡大:保険/年金などの契約者 3.2M 人分のデータが流出?”Microsoft Teams vulnerability allows attackers to deliver malware to employees
2023/06/23 HelpNetSecurity — Microsoft Teams の受信トレイへ向けて、攻撃者たちがダイレクトにマルウェアを配信できる脆弱性を、セキュリティ研究者たちが発見した。Jumpsec の研究者である Max Corbridge は、「Microsoft Teams を使用している組織は、Microsoft のデフォルト設定を継承しているため、組織外のユーザから内部の従業員へ向けて、連絡を取ることが可能になっている」と説明している。この脆弱性を悪用したマルウェア配信攻撃は、ソーシャル・エンジニアリングを入り口として、高確率で成功しているようだ。
Continue reading “Microsoft Teams の緩いデフォルト設定:脆弱性との組み合わせで容易にマルウェア投下”VMware fixes vCenter Server bugs allowing code execution, auth bypass
2023/06/22 BleepingComputer — VMware は、vCenter Server における複数の深刻なセキュリティ脆弱性に対処した。VMware の vSphere スイートのコントロールセンターである vCenter Server は、管理者が仮想化インフラを管理/監視するのに役立つサーバ管理ソリューションである。新たに修正されたセキュリティ脆弱性は、vCenter Server で使用されている DCE/RPC プロトコルの実装で発見されたものだ。このプロトコルは、仮想的な統合コンピューティング環境を構築することで、複数のシステム間でのシームレスな運用を可能にするとされる。
Continue reading “VMware vCenter Server の深刻な脆弱性 CVE-2023-20892 などが FIX”Alert: Million of GitHub Repositories Likely Vulnerable to RepoJacking Attack
2023/06/22 TheHackerNews — GitHub 上の何百万ものソフトウェア・リポジトリが、RepoJackingと呼ばれる攻撃に対して脆弱である可能性が高いことが、新たな研究で明らかになった。マサチューセッツ州を拠点とするクラウドネイティブ・セキュリティ企業 Aqua が、水曜日に発表したレポートによると、それらの脆弱なリポジトリには、Google や Lyft などの、いくつかの組織のものも含まれているという。この、リポジトリ依存関係ハイジャックとも呼ばれるサプライチェーンの脆弱性は、活動を停止した組織やユーザーの名前を乗っ取り、悪意のコードを忍び込ませ、トロイの木馬化したバージョンのリポジトリを公開する攻撃の一種である。
Continue reading “GitHub で懸念される RepoJacking 攻撃:変更された名称の悪用が容易だと判明”PoC Exploit Published for Cisco AnyConnect Secure Vulnerability
2023/06/22 SecurityWeek — 先日にパッチが適用された、Cisco AnyConnect Secure Mobility Client および Secure Client for Windows の深刻な脆弱性を証明するために、あるセキュリティ研究者が PoC エクスプロイト・コードを公開した。この Cisco のソフトウェアは、組織のネットワークへの安全な VPN 接続を、リモートの従業員に提供し、また、その監視機能を実現するものである。そして、脆弱性 CVE-2023-20178 (CVSS:7.8) は、このソフトウェアのクライアント・アップデート・プロセスに影響を及ぼし、低権限のローカル攻撃者に対して、アクセス権を昇格とシステム特権でのコード実行を許すものである。
Continue reading “Cisco AnyConnect/Secure Client の脆弱性 CVE-2023-20178:PoC エクスプロイトが登場”Apple addressed actively exploited zero-day flaws in iOS, macOS, and Safari
2023/06/22 SecurityAffairs — Apple は、iOS/iPadOS/macOS/watchOS/Safari で発見された脆弱性のうち、野放し状態で活発に悪用されている脆弱性に対処した。具体的に言うと、先日に公開された Triangulation オペレーションでも悪用されていた、セロデイ脆弱性 CVE-2023-32434/CVE-2023-32435 である。Kaspersky の研究者たちは、Triangulation オペレーションを調査し、iOS デバイスにスパイウェアを配信するために採用された、エクスプロイト・チェーンに関する詳細を発見した。6月の上旬に Kaspersky の研究者たちは、Triangulation という名の長期的なキャンペーンの一環として、ゼロクリックのエクスプロイトで iOS デバイスを標的にする未知の APT グループを発見している。
Continue reading “Apple が iOS/macOS/Safari のゼロデイ脆弱性に対応:ゼロクリックで RCE という強敵”Critical WordPress Plugin Vulnerabilities Impact Thousands of Sites
2023/06/21 SecurityWeek — WordPress の2つのプラグインには、深刻な認証バイパスの脆弱性が存在し、すでに数万インストールされていると、Web アップ・セキュリティ会社である Defiant が警告している。1つ目は、購入プロセスを完了しなかった顧客に通知するプラグインである、Abandoned Cart Lite for WooCommerce に存在する、脆弱性 CVE-2023-2986 (CVSS:9.8) であり、すでに3万件以上のアクティブなインストールがある。このプラグインが送信する通知には、購入を続行するユーザーのための、自動的なログインをサポとするリンクが提供されているが、そのリンクにはカートを識別する暗号化された値が含まれているという。
Continue reading “WordPress Plugin の深刻な脆弱性が FIX:脆弱なオンライン販売サイトが数万件”Chrome and Its Vulnerabilities – Is the Web Browser Safe to Use?
2023/06/21 SecurityWeek — 多くの主要なアプリケーションと同様に、Google Chrome も、その脆弱性に悩まされている。2022年に SecurityWeek が報告した Chrome の脆弱性は、456件 (1ヶ月あたり 38件) にのぼるが、その中には9件のゼロデイも含まれる。パッチが必要な脆弱性の多い Chrome は、はたして安全なのだろうかという、素朴な疑問を投げかける。
Continue reading “Google Chrome と脆弱性:この Web ブラウザは安全に使えるのか?”VMware Aria Operations for Networks vulnerability exploited in the wild (CVE-2023-20887)
2023/06/21 HelpNetSecurity — VMware Aria Operations for Networks (旧 vRealize Network Insight) に存在する、コマンド・インジェクションの脆弱性 CVE-2023-20887 の悪用が検出された。企業の管理担当者に対しては、パッチを適用してデプロイメントをアップグレードすることが推奨される。
Continue reading “VMware Aria Operations for Networks の脆弱性 CVE-2023-20887:すでに悪用を検出”3CX data exposed, third-party to blame
2023/06/20 SecurityAffairs — サイバー攻撃の被害者を嘲笑うべきではないが、「初めて騙されたのなら相手が悪いが、続けて騙されたのなら自分が悪い」という言葉が、昔から繰り返して使われてきたのには、なんらかの理由があるのだろう。2023年の初めに、北朝鮮のハッカーと思われる人物が 3CX にサプライチェーン攻撃を仕掛け、同社のソフトウェアを使用してデバイス上にマルウェアをばらまいた。
Continue reading “3CX のデータ漏洩:Elasticsearch/Kibana のオープンなインスタンスが原因だったのか?”Norton Parent Says Employee Data Stolen in MOVEit Ransomware Attack
2023/06/20 SecurityWeek — Avast/Avira/AVG/Norton/LifeLock などの有名なサイバーセキュリティ・ブランドを展開する Gen Digital (NASDAQ: GEN) は、先日の MOVEit ランサムウェア攻撃により、従業員の個人情報が漏洩したことを発表した。この攻撃は、5月31日に Progress Software が公表した MFT (managed file transfer) ソフトウェア MOVEit Transfer のゼロデイ脆弱性を悪用したものだ。この SQL インジェクションの脆弱性 CVE-2023-34362 (深刻度 Critical) の大規模な悪用が始まったのは、2023年5月下旬のことだ。しかし、2021年の時点で攻撃者が、この脆弱性について既に知っており、悪用をテストを実施していたことを示唆する証拠が発見された。
Continue reading “Norton/Avast などの親会社 Gen Digital でデータ侵害:MOVEit ゼロデイ攻撃が確認された”Zyxel addressed critical flaw CVE-2023-27992 in NAS Devices
2023/06/20 SecurityAffairs — Zyxel の NAS デバイスに影響を及ぼす、脆弱性 CVE-2023-27992 (CVSS: 9.8) に対する、セキュリティ・アップデートがリリースされた。この脆弱性は、認証前のコマンド・インジェクションの問題である。リモートの認証されていない攻撃者が、特別に細工された HTTP リクエストを送信し、この脆弱性の悪用に成功すると、オペレーティング・システム (OS) コマンドを実行することが可能になる。なお、この脆弱性が影響を及ぼす範囲は、Zyxel NAS326 ファームウェア V5.21 (AAZF.14) C0 以前、および、NAS540 ファームウェア V5.21 (AATB.11) C0 以前、NAS542 ファームウェア V5.21 (ABAG.11) C0 以前となる。
Continue reading “Zyxel NAS のコマンド・インジェクションの脆弱性 CVE-2023-27992 が FIX:ただちにパッチを!”Researchers Flag Account Takeover Flaw in Microsoft Azure AD OAuth Apps
2023/05/20 SecurityWeek — セキュリティ分野のスタートアップ Descope の研究者たちは、Microsoft Azure AD OAuth アプリケーションに存在する深刻なミスコンフィグレーションを発見し、”Log in with Microsoft” を使用している組織においては、アカウント乗っ取りの可能性が生じていると警告を発した。このセキュリティ上の欠陥は nOAuth と呼ばれ、Microsoft Azure AD のマルチ・テナント OAuth アプリケーションに影響を及ぼす、認証実装の欠陥だと説明されている。
Continue reading “Microsoft Azure AD の OAuth に深刻な問題:認証の目的での “email” クレーム使用は不可”ASUS urges customers to patch critical router vulnerabilities
2023/06/19 BleepingComputer — ASUS が公開したのは、複数のルーター・モデルの脆弱性に対応した。累積的なセキュリティ更新プログラムを含む新しいファームウェアであり、直ちに各デバイスをアップデートするよう警告している。また、何らかの事情でアップデートが不可能な場合には、安全が確保されるまで WAN アクセスを制限するよう顧客に推奨している。同社の説明によると、今回リリースされたファームウェアには、Critical および High と評価されるものを含む、9件の脆弱性に対する修正が含まれていとのことだ。
Continue reading “ASUS ルーター群に緊急パッチ:対応が難しい場合には WAN アクセス遮断を推奨”Western Digital boots outdated NAS devices off of My Cloud
2023/06/16 BleepingComputer — Western Digital は、同社の My Cloud シリーズ・ユーザーに対して、最新ファームウェア Ver 5.26.202 へのアップグレードが行われない場合は、2023年6月15日からクラウド・サービスに接続できなくなると警告している。このストレージ・メーカーは、未認証の脅威アクターにリモート・コード実行を許す脆弱性に対して、最新のファームウェアで対応したことで、ユーザーをサイバー攻撃から保護するために抜本的な対策をとるという判断を下した。
Continue reading “Western Digital の決断:アップデートしない NAS デバイスの My Cloud 接続を拒否”Millions of Oregon, Louisiana state IDs stolen in MOVEit breach
2023/06/16 BleepingComputer — ルイジアナ州とオレゴン州が警告を発したのは、MOVEit Transfer MFT (Managed File Transfer) セキュリティファイル転送システムをハッキングしたランサムウェア・ギャングが、数百万の運転免許証がデータなどを含むデータを窃取し、流出させたインシデントに関するものである。これらの攻撃は、ゼロデイ脆弱性 CVE-2023-34362 を悪用して、5月27日に MOVEit Transfer サーバに対する世界的なハッキングを開始した、Clop ランサムウェア・オペレーションによるものである。一連の攻撃により、世界中で流出したデータが広く公開され、企業/政府/自治体などに影響が及んでいる。
Continue reading “MOVEit と行政データ:ルイジアナとオレゴンの数百万人の個人情報が漏えい”Cybersecurity culture improves despite the dark clouds of the past year
2023/06/16 HelpNetSecurity — 経済情勢の悪化や、世界的な緊張の高まり、そして、サイバー犯罪を容易にする新技術の登場などの状況が危惧されている。しかし、ClubCISO と Telstra Purple の調査によると、CISO の 76%が、過去12ヶ月間に重大な侵害は発生していないと回答し、60%が重大なサイバーセキュリティ・インシデントは発生していないと回答したという。このようなセキュリティ対策の結果は、それぞれの CISO が組織の全体的なセキュリティ態勢について、前年よりも低下したと評価する状況を考えると、非常に興味深いものとなる。
Continue reading “サイバー・セキュリティ態勢が改善された:CISO たちが経営陣に話し続けた結果だ!”XSS Vulnerabilities in Azure Led to Unauthorized Access to User Sessions
2023/06/15 SecurityWeek — Azure Bastion と Azure Container Registry (ACR) に存在する2つの XSS (cross-site scripting) の脆弱性により、ユーザー・セッションへの不正アクセスおよび、データの改ざん、サービスの中断につながる可能性があったと、クラウド・セキュリティ企業 Orca が警告している。この問題は、2023年4月/5月で解決されたが、具体的に言うと、postMessage iframe の欠陥に起因するものであり、攻撃者による iframe タグを介したリモートサーバ内へのエンドポイントの埋め込むみが可能になり、悪意の JavaScript コードを実行できるものだったという。
Continue reading “Azure における XSS の脆弱性:ユーザー・セッションに対する未認証のアクセスが生じていた”New Supply Chain Attack Exploits Abandoned S3 Buckets to Distribute Malicious Binaries
2023/06/15 TheHackerNews — オープンソース・プロジェクトを狙った、新しいタイプのソフトウェア・サプライチェーン攻撃が検出された。この攻撃では、期限切れの Amazon S3 バケットを掌握した脅威アクターが、S3 モジュール自体には手を加えることなく、不正なバイナリを拡散しているという。Checkmarx の研究者である Guy Nachshon は、「悪意のバイナリが盗み出すのは、ユーザー ID/パスワード/ローカルマシン環境変数/ローカルホスト名などであり、それらのデータを乗っ取ったバケットに流出させている」と述べている。
Continue reading “Amazon S3 バケットで悪意のバイナリを配布:新たなサプライチェーン攻撃を発見”Clop ransomware gang starts extorting MOVEit data-theft victims
2023/06/15 BleepingComputer — MOVEit を介したデータ窃取攻撃の被害者となった企業に対する、Clop ランサムウェア・グループによる恐喝が始まった。この動きは、5月27日に Clop が、ファイル転送プラットフォーム MOVEit Transfer のゼロデイ脆弱性を悪用し、そのサーバに保存されているファイルを盗み出したことに起因している。Clop の主張は、この攻撃により数百の企業に侵入したというものであり、交渉が成立しなければ 6月14日にデータ漏洩サイトに掲載すると脅迫している。さらに、要求額が支払われない場合には、盗み出したデータの流出を、6月21日から開始すると述べている。
Continue reading “MOVEit とデータ窃取攻撃:Clop ランサムウェア・ギャングが被害者への恐喝を開始”ICS Patch Tuesday: Siemens Addresses Over 180 Third-Party Component Vulnerabilities
2023/06/14 SecurityWeek — Siemens が発表したのは、合計で約200件の脆弱性をカバーする、12件の新たなアドバイザリである。これらの脆弱性の大部分は、サードパーティのコンポーネントに影響を与えるものだとされる。Siemens は顧客に通知したのは、Simatic S7-1500 に対して、特に TM MFP (Multi Functional Platform) に影響を及ぼす、Linux カーネルの 108件の脆弱性である。同社は、これらの脆弱性に対するパッチを準備中であり、それらが提供されるまでの間の、回避策と緩和策を共有している。
Continue reading “ICS Patch Tuesday: Siemens が公表した 180件の OSS コンポーネントにおける脆弱性”WordPress Stripe payment plugin bug leaks customer order details
2023/06/13 BleepingComputer — WordPress 用プラグイン WooCommerce Stripe Gateway に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プラグイン経由で注文された購入履歴を、未認証の状態で閲覧できるようになる。WooCommerce Stripe Payment は、WordPress のEコマースサイト向けの決済ゲートウェイであり、現時点で、90万件のアクティブ・インストールがある。このプラグインを利用することで、それぞれの Web サイトから Stripe 決済処理 API を通じて、Visa/MasterCard/American Express/Apple Pay/Google Pay などによる決済が可能になる。
Continue reading “WooCommerce Stripe Gateway の IDOR 脆弱性 CVE-2023-34000 が FIX”Microsoft June 2023 Patch Tuesday fixes 78 flaws, 38 RCE bugs
2023/06/13 BleepingComputer — 今日は Microsoft 2023年6月の Patch Tuesday であり、リモート・コード実行の脆弱性 38件を含む、全体で 78件の不具合に対するセキュリティ更新プログラムが提供された。 RCE のバグは 38個修正されたが、Microsoft が Critical だと指摘したものは、サービス拒否攻撃/リモート・コード実行/権限昇格などの、6件の不具合である。
Continue reading “Microsoft 2023-6月 月例アップデートで 78件の脆弱性と 38件の RCE バグに対応”Patch Tuesday: Critical Flaws in Adobe Commerce Software
2023/06/13 SecurityWeek — Adobe は 6月13日 (火) に、複数の製品の深刻な欠陥に対するパッチを出荷したが、その中には、Adobe Commerce に存在するコード実行の脆弱性も含まれる。Adobe は、スケジュールされた Patch Tuesday の更新の一部として、広く展開されている Adobe Commerce (旧 Magento) 製品に存在する 12件のセキュリティ問題を文書化した。それらの脆弱性の悪用に成功した攻撃者に対して、任意のコード実行/セキュリティ機能のバイパス/任意のファイル・システムの読み取りになどを許す恐れがあると警告している。
Continue reading “Adobe の月例パッチ 2023/06:Adobe Commerce/Magento にコード実行の脆弱性”Chinese Cyberspies Caught Exploiting VMware ESXi Zero-Day
2023/06/13 SecurityWeek — UNC3886 として追跡されている中国のサイバー・スパイ・グループが、VMware ESXi のゼロデイ脆弱性を悪用して、ゲスト仮想マシンの特権を昇格させることが確認されていると、Mandiant が警告している。 2022年9月に詳細が判明した UNC3886 は、悪意の vSphere Installation Bundles (VIB) を用いて、ESXi ハイパーバイザーにバックドアをインストールし、コマンド実行/ファイル操作/リバースシェルなどの機能を獲得してきた。このグループの悪意のアクティビティは、VMware ESXi Host/vCenter Server/Windows Virtual Machine に影響を与えることになる。
Continue reading “中国のサイバー・スパイ UNC3886:VMware ESXi のゼロデイを悪用して特権を得ている”Fortinet: New FortiOS RCE bug “may have been exploited” in attacks
2023/06/12 BleepingComputer — 先週パッチが適用された FortiOS SSL VPN の深刻な脆弱性だが、政府機関/製造業/重要インフラ組織に影響を与える攻撃において、悪用された可能性があると、Fortinet が発表した。この脆弱性 CVE-2023-27997 (FG-IR-23-097) は、FortiOS および FortiProxy SSL-VPN におけるヒープバッファ・オーバーフローに起因し、悪意を持って細工されたリクエストを介して、認証されていない攻撃者にリモートコード実行 (RCE) を許すものだ。
Continue reading “Fortinet の脆弱性 CVE-2023-27997 が悪用されている:Volt Typhoon が攻撃?”Exploit released for MOVEit RCE bug used in data theft attacks
2023/06/12 BleepingComputer — MOVEit Transfer MFT (managed file transfer) ソリューションに存在する、リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイト・コードを、Horizon3 のセキュリティ研究者たちがリリースした。この脆弱性は、Clop ランサムウェア・ギャングが、データ窃取攻撃で悪用しているものだ。この CVE-2023-34362 は、SQL インジェクションの脆弱性である。パッチ未適用の MOVEit サーバ上で、その悪用に成功した未認証の攻撃者は、不正にアクセスした後に、リモートから任意のコードを実行できる。
Continue reading “MOVEit 深刻な RCE 脆弱性 CVE-2023-34362:提供された PoC を Clop が狙う?”Hackers are exploiting RCE Vulnerability (CVE-2023-35042) in GeoServer
2023/06/12 SecurityOnline — 地理空間データの閲覧/編集を可能にする、Javaで書かれたオープンソース・ソフトウェア GeoServer に、新たなセキュリティ脆弱性が発生した。このソフトウェアは、Open Geospatial Consortium (OGC) が定めたオープン・スタンダードに準拠しており、柔軟な地図の作成やデータ共有のための有力なプラットフォームとなっている。しかし、そのための強固なサーバーが、攻撃を受け続けている。
Continue reading “GeoServer の深刻な脆弱性 CVE-2023-35042 が FIX:RCE 攻撃が観測されている”Fortinet patches pre-auth RCE, update your Fortigate firewalls ASAP! (CVE-2023-27997)
2023/06/11 HelpNetSecurity — Fortinet の Fortigate ファイヤーウォールなどを駆動する、OS/Firmware である FortiOS の複数のバージョンがリリースされた。しかし同社は、その中に含まれるリモートコード実行 (RCE) の脆弱性 CVE-2023-27997 が、ログインしていない攻撃者に悪用される危険なものであることに言及していなかった。この脆弱性は、FortiOS のバージョン 7.2.5/7.0.12/6.4.13/6.2.15 で修正されているが、明らかに v6.0.17 (昨年に Fortinet は v6.0 ブランチのサポートを正式終了) においても修正されていた。
Continue reading “Fortinet Fortigate の RCE 脆弱性 CVE-2023-27997 は危険:ただちにパッチを!”New Critical MOVEit Transfer SQL Injection Vulnerabilities Discovered – Patch Now!
2023/06/10 TheHackerNews — MOVEit Transfer を開発する Progress Software は、このファイル転送ソリューションに存在し、機密情報の窃取に至る恐れのある、SQL インジェクションの脆弱性 CVE-2023-35036 に対応するパッチをリリースした。同社は 2023年6月9日にリリースしたアドバイザリで、「複数の SQL インジェクション脆弱性が、MOVEit Transfer Web アプリケーションに存在することが確認された。認証されていない攻撃者が、MOVEit Transfer データベースに不正にアクセスする可能性がある」と述べている。
Continue reading “MOVEit Transfer の SQLi 脆弱性 CVE-2023-35036 が FIX:ただちにパッチを!”Researchers published PoC exploit code for actively exploited Windows elevation of privilege issue
2023/06/08 SecurityAffairs — Microsoft Windows の脆弱性 CVE-2023-29336 (CVSS:7.8) は、Win32k コンポーネントに存在する特権昇格の問題である。Win32k.sys は、Windows オペレーティング・システムにおけるシステム・ドライバであり、ユーザーモード・アプリケーションと Windows グラフィカル・サブシステムとの間に、インターフェイスを提供する役割を担っている。
Continue reading “Windows の脆弱性 CVE-2023-29336 に PoC エクスプロイト:マルウェア配信で悪用される?”How to Improve Your API Security Posture
2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信/共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。
Continue reading “API セキュリティの強化:そのための管理体制とベストプラクティスとは?”Vulnerabilities in Honda eCommerce Platform Exposed Customer, Dealer Data
2023/06/08 SecurityWeek — 各種の機器や美品などの販売に利用されている、ホンダの eコマース・プラットフォームで発見された深刻な脆弱性の詳細が、ある研究者により公開された。この欠陥の悪用に成功した攻撃者は、顧客やディーラーの情報にアクセスできる可能性があったという。このセキュリティ・ホールとデータ流出の可能性は、米国在住の研究者 Eaton Zveare により、今年の初めに発見された後に、3月中旬にはホンダに通知された。同社は直ちに問題に対処するための措置を講じ、このホワイトハット・ハッカーに感謝の意を表したが、バグバウンティ・プログラムを設けていないため、報酬は与えなられなかった。なお、ホンダは、悪用の証拠は見つからなかったと述べている。
Continue reading “ホンダの機器類を販売する e コマース・サイトに脆弱性:甚大な被害が発生する可能性があった”Cisco fixes privilege escalation bug in Cisco Secure Client
2023/06/08 SecurityAffairs — Cisco Secure Client (旧 AnyConnect Secure Mobility Client) で発見された、深刻な脆弱性 CVE-2023-20178 (CVSS:7.8) が修正された。この脆弱性が、低特権の認証済みのローカル攻撃者に悪用されると、SYSTEM アカウントへの権限昇格を許すことになる。Cisco のアドバイザリには、「Cisco AnyConnect Secure Mobility Client Software for Windows および Cisco Secure Client Software for Windows のクライアント・アップデート機能に存在する脆弱性により、低特権の認証されたローカル攻撃者が、SYSTEM の特権に昇格する可能性がある」と記されている。
Continue reading “Cisco Secure Client の深刻な脆弱性 CVE-2023-20178 が FIX:SYSTEM への特権昇格”OWASP’s 2023 API Security Top 10 Refines View of API Risks
2023/06/07 SecurityWeek — 2023年の主要な API セキュリティ・リスクに関する、OWASP のランキングが発表された。このランキングは、2019年との類似点が多いが、いくつかが再編成/再定義されたのに加えて、新しいコンセプトも含まれている。
Continue reading “OWASP API Top-10 Risk の 2023版が公開:これまでの 2019版との違いは?”VMware fixes critical vulnerability in vRealize network analytics tool
2023/06/07 BleepingComputer — 6月7日に、VMware Aria Operations for Networks における複数の深刻な脆弱性に対処するための、セキュリティ・パッチがリリースされた。これらの脆弱性の悪用に成功した攻撃者は、リモート・コード実行や機密情報へのアクセスが可能になる。このネットワーク可視化/分析ツールは、管理者によるネットワーク・パフォーマンスの最適化や、各種の VMware/Kubernetes 展開の管理/拡張などを可能にするものであり、以前は vRealize Network Insight (vRNI) として知られていた。
Continue reading “VMware Aria Operations for Networks の深刻な脆弱性 CVE-2023-20887 などが FIX”CVEs Surge By 25% in 2022 to Another Record High
2023/06/07 InfoSecurity — Skybox Security がまとめたデータによると、米国政府から報告された新たな脆弱性の数は毎年 25%ずつ増加しており、2022年には過去最高となる25,096件に達したという。セキュリティベンダーである同社は、Vulnerability and Threat Trends Report 2023 をまとめるにあたり、NVD (National Vulnerability Database) の分析を行った。
Continue reading “2022年の CVE は 25% 増で 25,096件:6年連続で前年を上回る”British Airways, BBC and Boots were impacted the by Zellis data breach
2023/06/06 SecurityAffairs — 給与計算プロバイダー Zellis へのサイバー攻撃により、BBC と British Airways の従業員の個人データが漏洩したことが判明した。タブロイド紙の The Mirror は、「英国に拠点を置く Zellis は、ファイル転送ソフトである MOVEit へのサイバー・セキュリティ攻撃の影響を受けたと見られている。Zellis の他に影響を受けた企業の中には、British Airways も含まれている」と報じている。
Continue reading “British Airways/BBC などでデータ侵害が発生:MOVEit @ Zellis の脆弱性悪用が原因”Google Patches Third Chrome Zero-Day of 2023
2023/06/06 SecurityWeek — 6月5日 (月) に Google は、2023年に入ってから Chrome で見つかった、3つ目のゼロデイ脆弱性に対してパッチを当てるセキュリティアップ・デートを公開した。Google によると、Chrome の最新バージョン 114 では、V8 JavaScript エンジンに影響をおよぼす、タイプ・コンフュージョンの脆弱性 CVE-2023-3079 などの、2件の欠陥を修正したとのことだ。同社は、この脆弱性は 6月1日に発見され、野放し状態で悪用されていると指摘したが、攻撃に関する情報は一切共有していない。
Continue reading “Google Chrome 114 がリリース:スパイウェアに悪用されるゼロデイ脆弱性に対応”
IoT OT Security News 
You must be logged in to post a comment.