More Than Half of Initial Infections in Cyberattacks Come Via Exploits, Supply Chain Compromises
2022/04/20 DarkReading — Mandiant が実施した Incident Response (IR) 調査の最新レポートによると、攻撃者が被害者のネットワーク上で検知されずにいる日数は4年連続で減少し、2020年の 24日間から 2021年の 21日間へと短縮していることが明らかになった。この、Mandiant の IR 事例によると、最も危険な攻撃を素早く見つけるための検知能力は高まり、ランサムウェアは平均5日以内に検知され、ランサムウェア以外の攻撃は 2020年の45日間から 2021年の36日間へと短縮され、アクティブな状態を維持しているとのことだ。
Continue reading “サイバー攻撃の初期感染:脆弱性悪用とサプライチェーン侵害が 50% 以上を占める”Access Bypass, Data Overwrite Vulnerabilities Patched in Drupal
2022/04/20 SecurityWeek — 水曜日に Drupal は、アクセス・バイパスとデータ上書きを引き起こす可能性のある、2つの脆弱性を解決するためのセキュリティアップ・デートをリリースした。このオープンソース CMS (Content Management System) の、最新版で修正されたバグの1つ目は、エンティティ修正のための汎用アクセス API の、不適切な実装に起因するアクセス・バイパスの問題である。
Continue reading “Drupal Core/API のアクセス・バイパスなどの脆弱性が FIX”4 Steps to Getting CVEs Published
2022/04/19 SecurityBoulevard — あなたが、セキュリティ研究分野の新参者なら、最も苛立たしい問題の1つとして、脆弱性と CVE を公開するためのプロセスのナビゲーションがあるだろう。結局のところ、あなたは、新しく発見した脆弱性を世界と共有したいだけなのだが、それが厄介なのだ。
この業界を代表して申し上げると、私たちは皆、キャリアのどこかで、この困難な状況に直面したことがあるはずだと思う。研究者仲間を助けるリソースとして、私自身の個人的な経験 (そして正直なところ、多くの古き良き試行錯誤) に基づき、以下の CVE パブリッシング・ガイドをまとめてみた。このガイドにより、頭痛や推量が回避され、より簡単に CVE が公開されることを期待している。
CISA warns of attackers now exploiting Windows Print Spooler bug
2022/04/19 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されるバグのリストに、Windows Print Spooler におけるローカル権限昇格バグを含む、3つの新たなセキュリティ不具合を追加した。この深刻度 High の脆弱性 CVE-2022-22718 は、Microsoft アドバイザリーによると、すべての Windows バージョンに影響を与えるものであり、February 2022 Patch Tuesday でパッチが適用されている。
Continue reading “CISA 警告 4/19:悪用脆弱性リストに Windows Print Spooler バグなどを追加”Beanstalk DeFi platform loses $182 million in flash-load attack
2022/04/18 BleepingComputer — 日曜日に、分散型クレジット・ベースの金融 システム Beanstalk は、$182 million 相当の金融損失をもたらすセキュリティ侵害に遭い、$80 million の暗号資産を攻撃者に盗まれたことを明らかにした。この攻撃の結果、Beanstalk 市場の信頼は損なわれ、その分散型クレジットベースの BEAN stablecoin 価値は、日曜日の $1 強から $0.11 まで暴落している。
Continue reading “Beanstalk DeFi で Flash Loans 攻撃が発生:$182M が失われ相場が暴落”CISA orders agencies to fix actively exploited VMware, Chrome bugs
2022/04/15 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているバグのリストに、VMware の特権昇格の脆弱性および、Google Chrome のリモートコード実行のゼロデイ脆弱性などの、9件のセキュリティ欠陥を追加したことを発表した。4月6日にパッチが適用された VMwareの脆弱性 CVE-2022-22960 は、サポートスクリプトの不適切なパーミッションにより、脆弱なサーバー上での root への特権昇格を攻撃者に許してしまうものである。
Continue reading “CISA 警告 4/15:VMware や Chrome の脆弱性が悪用リストに追加”GitHub Says Hackers Breached Dozens of Organizations Using Stolen OAuth Access Tokens
2022/04/15 TheHackerNews — 金曜日に GitHub は、未知の敵対者が盗み出した OAuth ユーザー・トークンの悪用により、複数の組織から個人データが不正にダウンロードされた証拠を発見したと表明した。GitHub の Mike Hanley は、「この攻撃者は、Heroku と Travis-CI という2つのサードパーティ OAuth インテグレータから発行された、OAuth ユーザー・トークンを悪用し、NPM を含む数十の組織からデータをダウンロードした」とレポートで明らかにしている。
Continue reading “GitHub でプライベート・リポジトリ侵害:盗み出された OAuth Access Token が原因”Critical Microsoft RPC runtime bug: No PoC exploit yet, but patch ASAP! (CVE-2022-26809)
2022/04/15 HelpNetSecurity — Microsoft の最新 Patch Tuesday から3日が経過し、最も悪用される可能性が高い脆弱性として、CVE-2022-26809 が浮上してきた。その理由は明白で、未認証のリモート攻撃者によるシステムへの侵入や、その後の、同じネットワーク上の他システムへの侵入に悪用される可能性があるためである。また、脆弱なシステム上のユーザーが何もしなくても (ゼロクリック)、悪用される可能性もある。
Continue reading “Microsoft の RPC 脆弱性 CVE-2022-26809 は危険:PoC エクスプロイトの前にパッチを!”Juniper Networks Patches Vulnerabilities in Contrail Networking, Junos OS
2022/04/15 SecurityWeek — 今週に Juniper Networks は、同社のポートフォリオ全体で 30件以上の脆弱性に対するパッチをリリースしたが、その中には Contrail Networking や Junos OS の深刻な欠陥も含まれる。また、Contrail Networking Software-Defined Networking (SDN) ソリューションにおける、合計で 13件のセキュリティホールを説明する、2つのアドバイザリが発表されたが、その中の 7件の脆弱性は CVSS 値は 9.0 以上であった。
Continue reading “Juniper が 30件以上の脆弱性に対応:Contrail Networking/Junos OS などが対象”Google Releases Urgent Chrome Update to Patch Actively Exploited Zero-Day Flaw
2022/04/14 The Hacker News — 4月11日に Google は、同社の Web ブラウザ Chrome に存在する、2つのセキュリティ問題に対処するための緊急パッチを配布した。この深刻な脆弱性 CVE-2022-1364 は、V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因すると説明されている。Google Threat Analysis Group の Clément Lecigne が、この欠陥を 2022年4月13日に報告したとされている。
Continue reading “Google Chrome に緊急パッチ:野放しで悪用されているゼロデイ脆弱性に対応”Cisco Patches Critical Vulnerability in Wireless LAN Controller
2022/04/14 SecurityWeek — この水曜日に Cisco は、同社の Wireless LAN Controller (WLC) ソフトウェアのアップデートを公開し、攻撃者に認証回避を許してしまう、深刻な脆弱性に対処したと発表した。この脆弱性 CVE-2022-20695 (CVSS:10) は、パスワード検証アルゴリズムが適切に実装されていないという欠陥に起因するものだ。それにより攻撃者は、細工した認証情報を用いて認証を回避し、脆弱なデバイスに管理者としてログインすることが可能になる。
Continue reading “Cisco Wireless LAN Controller の深刻な脆弱性 CVE-2022-20695 が FIX”Critical Code Execution Flaw Haunts VMware Cloud Director
2022/04/14 SecurityWeek — 木曜日に、クラウドと仮想化の VMware は、同社の Cloud Director における極めて深刻なセキュリティ欠陥に対するパッチを提供し、また、パッチ未適用のシステムは、リモートコード実行の攻撃にさらされると警告している。この脆弱性は、バグバウンティ・プログラムに参加しているセキュリティ研究者により非公開で報告されたものであり、その CVSS 値は 9.1 であり、すべての VMware Cloud Director ユーザーにとって優先度の高い更新と見なされる。
Continue reading “VMware Cloud Director の深刻な RCE 脆弱性 CVE-2022-22966 が FIX”Critical Apache Struts RCE vulnerability wasn’t fully fixed, patch now
2022/04/13 BleepingComputer — 圧倒的な支持を得ている Apache Struts プロジェクトの、すでに解決されたと考えられていた深刻な脆弱性において、完全には改善されていなかったことが判明し、新たな修正が提供されることになった。そのため、Cybersecurity and Infrastructure Security Agency (CISA) も、パッチを適用した最新の Struts 2 へのアップグレード急ぐよう、ユーザーと管理者に対して促している。Struts は、Java の Web デベロッパーが、model–view–controller (MVC) アプリケーションを構築するために用いる、オープンソースのアプリケーション開発フレームワークである。
Continue reading “Apache Struts 2 の深刻な RCE 脆弱性が FIX:以前のパッチにおける問題を修正”80% of Software Codebases Contain at Least One Vulnerability
2022/04/13 DarkReading — 一般的なコードベースにおけるオープンソース・ソフトウェアの比率は、2021年に 78% にまで拡大したが、古くなりメンテナンスされなくなったコンポーネントを、つまり、潜在的に脆弱なソフトウェアを使い続ける企業が多いことが、新しい調査で明らかになった。今週に発表された Synopsys の年次レポート Open Source Software Risk Analysis (OSSRA) によると、ソフトウェア・コードベースの 81% は、少なくとも1つの脆弱性を含んでいる。また、85% は4年以上前のオープンソース・コンポーネントを使用し、88% は過去2年間に開発が行われていないコンポーネントを含むという。
Continue reading “Synopsys 調査:OSS コードベースの 80% には脆弱性が必ず存在する”U.S. Warns of APT Hackers Targeting ICS/SCADA Systems with Specialized Malware
2022/04/13 TheHackerNews — 4月22日に米国政府は、Industrial Control Systems (ICS) や Supervisory Control And Data Acquisition (SCADA) への不正なアクセスを維持するために、国家的な驚異アクターたちが特殊なマルウェアを展開していると警告を発した。複数の米国機関はアドバイザリで「APT 行為者たちは、ICS/SCADA デバイス標的とするカスタムメイドのツールを開発している。このツールにより、彼らは OT ネットワークへのイニシャル・アクセスを確立した後に、影響を受けるデバイスをスキャン/侵害/制御できるようになる」と述べている。
Continue reading “米国政府機関の警告:ICS/SCADA を標的とする危険なマルウェアが活動し始めた”Hackers exploit critical VMware CVE-2022-22954 bug, patch now
2022/04/13 BleepingComputer — VMware のリモートコード実行の脆弱性 CVE-2022-22954 を悪用し、コインマイナーをサーバーに感染させる攻撃に、すでに積極的に利用されている PoC エクスプロイトがオンラインで公開された。この脆弱性は、広範囲で使用されている VMware Workspace ONE Access/VMware Identity Manager に影響をおよぼす Critical (CVSS:9.8) なリモートコード実行 (RCE) の欠陥である。
Continue reading “VMware の脆弱性 CVE-2022-22954 が FIX:積極的な悪用が観察されている”ICS Patch Tuesday: Siemens, Schneider Fix Several Critical Vulnerabilities
2022/04/13 SecurityWeek — Siemens と Schneider Electric は、April 2022 Patch Tuesday のセキュリティ・アドバイザリで、深刻度が Critical とされる脆弱性 20数件対処している。Schneider Electric は、IGSS (Interactive Graphical SCADA System) 製品に存在する、リモートコード実行の深刻な脆弱性にパッチを適用した。新バージョンのリリースに伴いパッチが適用された脆弱性は、スタックバッファオーバー・フローと説明されており、対象システムに細工されたメッセージを送信することで、悪用される可能性がある。
Continue reading “ICS Patch Tuesday: Siemens/Schneider の SCADA における深刻な脆弱性が FIX”SAP Releases Patches for Spring4Shell Vulnerability
2022/04/13 SecurityWeek — 4月13日にドイツのソフトウェア・メーカー SAP は、April 2022 Security Patch Day で Spring4Shell 脆弱性に対処を含む、30以上の新規/更新のセキュリティ・アドバイザリを公開した。この Spring4Shellと呼ばれる脆弱性 CVE-2022-22965 は、世界で最も人気の Java アプリ開発フレームワークである Spring に存在し、リモートでコード実行を許す可能性がある。セキュリティ研究者たちは、すでにこの脆弱性を悪用しようとする動きを観測している。
Continue reading “SAP の Spring4Shell 情報が公開:全体で 30件以上のアドバイザリを提供”New EnemyBot DDoS botnet recruits routers and IoTs into its army
2022/04/13 BleepingComputer — Mirai ベースの新しいボットネット・マルウェア EnemyBot は、モデム/ルーター/IoT デバイスの脆弱性を介して感染させたデバイスの勢力を拡大させ、それを操作する脅威アクターが Keksec であることが確認されている。この脅威グループは、クリプトマイニングと DDoS を専門としており、いずれも IoT デバイスに巣食い、そのコンピュータ資源を乗っ取ることが可能な、ボットネット・マルウェアにより支えられている。
Continue reading “EnemyBot という Mirai 亜種:Router/IoT デバイスを大量に収穫して勢力を拡大中”Citrix Patches Vulnerabilities in Several Products
2022/04/13 SecurityWeek — 今週に Citrix は、同社の SD-WAN 製品ポートフォリオ全体における、複数の深刻な脆弱性に対するパッチを発表した。この、SD-WAN で解決された脆弱性 CVE-2022-27505 は、Webページ生成時に入力が適切に無効化されないことに起因する、深刻度の高い反射型クロス・サイト・スクリプティング (XSS) である。
Continue reading “Citrix SD-WAN 製品ポートフォリオの脆弱性 CVE-2022-27505 などが FIX”Amazon RDS Vulnerability Led to Exposure of Credentials
2022/04/12 SecurityWeek — 月曜日に Amazon Web Services (AWS) は、Amazon Relational Database Service (RDS) の脆弱性に対応したことについて、そして、内部認証情報の漏洩につながる可能性があることについて発表した。Amazon RDS は、MySQL や PostgreSQL をサポートする、AWS 独自のデータベースエンジン Amazon Aurora などの、複数のデータベース・エンジンをサポートするマネージド・データベース・サービスである。
Continue reading “Amazon RDS の脆弱性:PostgreSQL エクステンションの情報漏えいの問題が FIX”Critical HP Teradici PCoIP flaws impact 15 million endpoints
2022/04/12 BleepingComputer — HP は、Windows/Linux/macOS 向けの Teradici PCoIP クライアント/エージェントに存在する深刻な脆弱性が、1500万台のエンド・ポイントに影響を与える可能性があるとして、警告を発している。先日に公開された OpenSSL 証明書解析バグにより、Teradici にに無限ループが生じることが発見された。
Continue reading “HP Teradici PCoIP に影響をおよぼす OpenSSL の脆弱性 CVE-2022-0778”NGINX Shares Mitigations for Zero-Day Bug Affecting LDAP Implementation
2022/04/12 TheHackerNews — Web サーバー・プロジェクト NGINX のメンテナたちは、LDAP (Lightweight Directory Access Protocol) リファレンス実装における、セキュリティ上の弱点に対処するための緩和策を発表している。月曜日に発表されたアドバイザリで、F5 Networks の Liam Crilly と Timo Stark は、「NGINX Open Source と NGINX Plus は、それ自体は影響を受けていないため、リファレンス実装を使用しない場合であれば、修正措置は必要ない」と述べている。
Continue reading “NGINX の LADP リファレンス実装のゼロデイバグ:詳細な緩和策が提供される”Microsoft April 2022 Patch Tuesday fixes 119 flaws, 2 zero-days
2022/04/22 BleepingComputer — 今日は Microsoft は、April 2022 Patch Tuesday を発行し、2つのゼロデイ脆弱性を含む、合計で 119件の不具合を修正した。Microsoft は 119件の脆弱性(Microsoft Edgeの脆弱性26件を含まず)を修正したが、そのうちの 10件はリモートコード実行が可能なため Critical に分類されている。それぞれの脆弱性カテゴリに含まれる、バグの数は以下のとおりである。
Continue reading “Microsoft 2022-04 月例アップデートは2件のゼロデイと 119件の脆弱性に対応”CISA warns orgs of WatchGuard bug exploited by Russian state hackers
2022/04/11 BleepingComputer — 月曜日に Cybersecurity and Infrastructure Security Agency (CISA) は、すべての連邦政府民間機関と米国組織に対して、WatchGuard Firebox および XTM Firewall 製品で積極的に悪用されているバグを修正するよう促した。ロシアの軍事情報機関 GRU に属するとされる、国家に支援されたハッキング・グループ Sandworm も、この深刻度の高い特権昇格の脆弱性 CVE-2022-23176 を悪用し、感染させた WatchGuard Small Office/Home Office (SOHO) ネットワーク・デバイスを用いて、Cyclops Blink と呼ばれる新しいボットネットを構築している。
Continue reading “CISA 警告:WatchGuard アプライアンスの深刻な脆弱性を悪用リストに追加”Microsoft’s New Autopatch Feature to Help Businesses Keep Their Systems Up-to-Date
2022/04/10 TheHackerNews — 先週に Microsoft は、Windows Enterprise E3 の一部として、2022年7月から Autopatch と呼ばれる機能を、一般に提供する方針だと発表した。Microsoft の Senior Product Marketing Manager である Lior Bela は、「このサービスは、登録されたエンド・ポイント上の Windows と Office のソフトウェアを、追加費用なしで自動的に最新の状態に保つものだ。毎月の第2火曜日は、ただの火曜日になる」と、先週の投稿で述べている。
Continue reading “Microsoft の Autopatch 機能が7月から稼働:サーバー系は Patch Tuesday を継続”Mirai malware now delivered using Spring4Shell exploits
2022/04/08 BleepingComputer — 現在、マルウェア Mirai は、Spring4Shell エクスプロイトを悪用して脆弱な Web サーバーを感染させ、DDoS 攻撃 (分散型サービス拒否攻撃) へと導こうとしている。Spring4Shell とは、CVE-2022-22965 として追跡されているリモートコード実行 (RCE) の深刻な脆弱性であり、エンタープライズ・レベルの Java アプリ開発プラットフォームとして広く利用されている、Spring Framework に影響を及ぼすものだ。
Continue reading “Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?”VMware Patches Five Critical Vulnerabilities in Workspace ONE Access
2022/04/07 SecurityWeek — 水曜日に VMware は、Workspace ONE Access などの製品群に影響を及ぼす、複数の深刻な脆弱性に対するパッチを発表した。同社のアドバイザリでは、合計で8つのセキュリティ・ホールの詳細が説明され、VMware Workspace ONE Access/Identity Manager (vIDM/ Workspace ONE Access) /vRealize Automation (vRA)/Cloud Foundation/Suite Lifecycle Manager に影響を与えるとされている。一連の問題のうち5件は、深刻度が Critical と評価されている。
Continue reading “VMware の Workspace ONE Access における深刻な脆弱性が FIX”Palo Alto Networks firewalls, VPNs vulnerable to OpenSSL bug
2022/04/07 BleepingComputer — 4月2日に、米国のサイバー・セキュリティ企業である Palo Alto Networks は、同社の Firewall/VPN/XDR 製品の一部に、3週間前に公開された深刻度の高い OpenSSL 無限ループの脆弱性 CVE-2022-0778 が存在すると顧客に警告した。この脆弱性の悪用に成功した脅威アクターは、サービス拒否状態を引き起こし、未パッチのソフトウェアを実行しているデバイスを、リモートからクラッシュさせることが可能となる。
Continue reading “Palo Alto Networks の Firewall/VPN に OpenSSL の脆弱性が影響をおよぼす”SpringShell attacks target about one in six vulnerable orgs
2022/04/05 BleepingComputer — あるサイバー・セキュリティ企業の統計によると、ゼロデイ脆弱性 Spring4Shell の影響を受ける世界中の組織の約6社に1社は、すでに脅威者に狙われていることが判明した。この、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-22965 の、エクスプロイト・コードが公開されてから4日間で、悪用の試みが行われているようだ。テレメトリ・データを基にレポートをまとめた Check Point によると、この週末だけで 37,000件の Spring4Shell 攻撃が検出されたとのことだ。
Continue reading “SpringShell 問題を抱える組織と脅威アクターたち:すでに6社に1社がターゲットに”CISA Warns of Active Exploitation of Critical Spring4Shell Vulnerability
2022/04/05 TheHackerNews — 月曜日に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日に公開された Spring Framework に影響を及ぼすリモートコード実行 (RCE) の脆弱性が、活発に悪用されているという証拠に基づき、Known Exploited Vulnerabilities Catalog に追加した。この深刻な脆弱性 CVE-2022-22965 (CVSS : 9.8) は、Java Development Kit 9 以降で動作する Spring Model-view-Controller (MVC) および、 Spring WebFlux アプリケーションに影響を与える。
Continue reading “CISA 警告:積極的に悪用されている Spring4Shell などを脆弱性リストに追加”Microsoft detects Spring4Shell attacks across its cloud services
2022/04/05 BleepingComputer — Microsoft は、深刻なリモートコード実行 (RCE) 脆弱性 (Spring4Shell/SpringShell) を標的とした少量の悪用の試みを、同社のクラウド・サービスにおいて追跡していると発表した。この Spring4Shell の脆弱性 CVE-2022-22965 は、最も広く使用されているライトウェイト Java オープンソース・フレームワークとされる、Spring Framework に影響を与える。
Continue reading “Microsoft が Spring4Shell 攻撃を検出:広範囲のクラウドで少量の悪用の施行”VMware patches Spring4Shell RCE flaw in multiple products
2022/04/04 Bleeping Computer — VMware は、同社のクラウドおよび仮想化の製品のいくつかに影響を及ぼす、深刻なリモートコード実行の脆弱性 (Spring4Shell) に対するセキュリティ・アップデートを公開した。Spring4Shell の影響を受ける VMware 製品の一覧は、同社のアドバイザリで確認できる。修正プログラムが提供されていないケースのために、VMware は一時的な解決策としてワークアラウンドをリリースしている。現時点において、Spring4Shell は活発に悪用される脆弱性でり、セキュリティ速報に記載されているアドバイスに従うことが極めて重要となる。
Continue reading “VMware と Spring4Shell:RCE に対する複数のパッチが提供された”Vulnerabilities in Rockwell Automation PLCs Could Enable Stuxnet-Like Attacks
2022/04/01 DarkReading — Rockwell Automation の Programmable Logic Controller (PLC) を、研究者たちが分析したところ、オートメーション・プロセスを変更する方法を攻撃者に提供することで、産業工程を中断し、工場に物理的損害を与えるなどの、悪意の行動を許す可能性のある、2つの深刻な脆弱性が発見された。
今週に、それらの脆弱性を発見した Claroty Team82 の研究者たちによると、攻撃者は異常な動作を検知されることなく、PLC 上で悪意のコードを実行できることから、Stuxnet 的な性質があるとされる。Rockwell Automation は、この2つの欠陥に関するアドバイザリを発表し、顧客に提供している。一連のアドバイザリには here と here からアクセスできるが、アカウントが必要となる。
Continue reading “Rockwell の PLC に深刻な脆弱性:検知されずに物理的に影響をおよぼす Stuxnet タイプか?”Trend Micro fixes actively exploited remote code execution bug
2022/04/01 BleepingComputer — 日本のサイバー・セキュリティ企業である Trend Micro は、製品管理コンソールである Apex Central に存在する、任意のリモート・コード実行を攻撃者に許してしまう、深刻度の高いセキュリティ不具合にパッチを適用した。Apex Central とは、ネットワーク上の展開された Trend Micro 全体の製品およびサービスを、システム・アドミニストレータが管理するための Web ベース・コンソールである。このコンソールを使用すると、事前にスケジュールされたアップデートにより、各種のコンポーネントを展開することが可能になる。
Continue reading “Trend Micro の Apex Central における RCE の脆弱性 CVE-2022-26871 がFIX”Critical GitLab vulnerability lets attackers take over accounts
2022/04/01 BleepingComputer — GitLab は、ハードコードされたパスワードを使用するリモートの攻撃者に、ユーザー・アカウントの乗っ取りを許してしまう、深刻な脆弱性に対処した。この脆弱性 CVE-2022-1162 は、GitLab Community Edition (CE) と Enterprise Edition (EE) の双方に影響をおよぼす。具体的に言うと、GitLab CE/EE で OmniAuth ベースで登録を行う際の、誤って設定された静的なパスワードに起因している。
Continue reading “GitLab に深刻なアカウント乗っ取りの脆弱性:管理者に推奨される対策とは?”15-Year-Old Bug in PEAR PHP Repository Could’ve Enabled Supply Chain Attacks
2022/04/01 TheHackerNews — PEAR PHP リポジトリにおいて、15年前のセキュリティ脆弱性が公開され、攻撃者が不正なアクセス権を取得し、不正なパッケージの公開や、任意のコード実行可能にするなどの、サプライチェーン攻撃にいたることが判明した。SonarSource の脆弱性研究者である Thomas Chauchefoin は、「1つ目のバグの悪用に成功した攻撃者は、あらゆる開発者のアカウントを乗っ取り、悪意のリリースを公開することができる。2つ目のバグに関しては、攻撃者がセンタライズされた PEAR サーバーへの持続的なアクセスを獲得できるようになる」と、今週に発表された記事で述べている。
Continue reading “PEAR PHP リポジトリの 15年前の脆弱性が発覚:サプライチェーン攻撃にいたる可能性”Zyxel patches critical bug affecting firewall and VPN devices
2022/03/31 BleepingComputer — ネットワーク機器メーカーの Zyxel は、同社のビジネスグレード・ファイアウォールおよび VPN 製品のファームウェアをアップデートし、攻撃者による対象機器の管理者レベルへのアクセスという深刻な脆弱性に対処した。Zyxel のセキュリティ勧告は、USG/ZyWALL/USG FLEX/ATP/VPN/NSG (Nebula Security Gateway) シリーズの製品を対象としている。
Continue reading “Zyxel の Firewall/VPN 製品群に深刻な認証バイパスの脆弱性”CISA orders agencies to patch actively exploited Sophos firewall bug
2022/03/31 BleepingComputer — 木曜日に Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対して、Sophos のファイアウォールの深刻なバグを含む、現時点で悪用されている8つの脆弱性に対して、3週間以内にパッチを適用するよう命じた。ほぼ1週間前に Sophos 明らかにしたように、脆弱性 CVE-2022-1040 を悪用する攻撃者は、User Portal または Webadmin インターフェイスを介して認証をバイパスし、リモートで任意のコードを実行できる。
Continue reading “CISA 警告:悪用脆弱性リストに Sophos ファイアウォールを含む8件を追加”Cybersecurity Vendors Assessing Impact of Recent OpenSSL Vulnerability
2022/03/31 SecurityWeek — 3月の初めに発生した OpenSSL の脆弱性が、自社の製品やサービスに与える影響について、セキュリティ/クラウド/ストレージなどのベンダーたちが評価を進めている。OpenSSL プロジェクトが公開した更新プログラムでは、証明書の解析に関連する深刻度の高いサービス拒否 (DoS) 脆弱性に対してパッチが適用されている。このセキュリティ・ホールは、Google の脆弱性研究者である Tavis Ormandy が報告したものであり、CVE-2022-0778 として追跡され、OpenSSL の Ver 1.0.2/1.1.1/3.0 に影響を及ぼしている。このリリースにより、Ver 1.0.2zd/1.1.1n/3.0.2 で修正されている。
Continue reading “OpenSSL の脆弱性 CVE-2022-0778 の追跡調査:各ベンダーたちの現状について”Apple issues emergency patches to fix actively exploited zero-days
2022/03/31 SecurityAffairs — Apple が、緊急のセキュリティ・パッチをリリースした。具体的には、iPhone/iPad/Mac のハッキングに活発に利用されている、2つのゼロデイ脆弱性に対応するものだ。1つ目のゼロデイ脆弱性 CVE-2022-22674 は、Intel Graphics Driver に存在し、悪意のアプリにカーネル・メモリ読み取りを許してしまう、境界外読取の問題である。Apple は、「この問題には、入力の検証を改善することで対処した。Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」とアドバイザリに記している。
Continue reading “Apple の緊急アップデート:iPhone/iPad/Mac の2つのゼロデイ脆弱性に対応”New Spring Java framework zero-day allows remote code execution
2022/03/30 BleepingComputer — Framework Spring Core の新たなゼロデイ脆弱性 Spring4Shell が公開され、それを利用するアプリケーション上で、未認証のリモートコード実行が可能になることが明らかにされた。Spring は、エンタープライズ・レベルの機能を持つ Java アプリケーションを、迅速かつ容易に開発できるようにするため、ソフトウェア開発者にとって極めて人気の高いアプリケーション・フレームワークである。それらのアプリケーションは、必要な依存関係をすべて備えたスタンドアロン・パッケージとして、Apache Tomcat などのサーバーにディプロイできる。
Continue reading “Spring Java Framework のゼロデイ脆弱性 CVE-2022-22963:RCE 防御のための緩和策”QNAP Warns of OpenSSL Infinite Loop Vulnerability Affecting NAS Devices
2022/03/30 TheHackerNews — 今週に台湾の QNAP は、同社の NAS アプライアンスの一部が、先日に公開されたオープンソース OpenSSL Cryptographic Library の影響を受けることを明らかにした。同社は、2022年3月29日に発表したアドバイザリーで、「OpenSSL における無限ループの脆弱性が、特定の QNAP NAS に影響を及ぼすことが報告されている。この脆弱性が悪用された場合、攻撃者はサービス拒否攻撃を行うことが可能になる」と述べている。
Continue reading “QNAP 警告:NAS に影響をおよぼす OpenSSL 無限ループの脆弱性を FIX”Log4j Attacks Continue Unabated Against VMware Horizon Servers
2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。
今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。
Continue reading “VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している”Mazda Infotainment Crash Shows How Fragile Car Security Really Is
2022/03/30 BleepingComputer — 今日もまた、車載デバイス・ソフトウェアのクラッシュが発生した。今回、不具合が見つかったのは、2014年〜2017年の Mazda インフォテインメント・システムである。複数のドライバーたちが、ローカルラジオ局に接続する際に、HD ラジオ受信機がクラッシュしたと報告している。具体的に言うと、ラジオとディスプレイ、ブルートゥース、内蔵地図、デジタル時計などが、すべて焼けてしまったとのことだ。報告によると、システム障害は、ラジオ局がファイル名に必要な拡張子を付けずに画像を送信した際に起こった、単純なコーディング・エラーにより発生したようだ。
Continue reading “Mazda のインフォテインメントに発生した障害:セキュア・コーディングだけで防げるのか?”What Does it Mean to Be Zero-Day?
2022/03/29 SecurityBoulevard — ゼロデイ脆弱性とは、コンピュータ・ソフトウェアの未知の脆弱性のことであり、その存在にセキュリティ・チームが気付く前に、ステルス・モードでの攻撃を可能にするものである。 ゼロデイとは、ソフトウェアの欠陥が発生してから、修正プログラムが提供されるまでの期間を指す、不定形な概念である。それにより、リスクに満ちたユニークなセキュリティ態勢の状況が生み出される。
Continue reading “ゼロデイという状況に陥ったとき:準備がなければ何もできない?”VMware vCenter Server Vulnerability Can Facilitate Attacks on Many Organizations
2022/03/29 SecurityWeek — 火曜日に VMware は、数多くの組織へ向けた攻撃で容易に悪用される、vCenter Server に存在する脆弱性に対処するパッチ提供を開始した。この脆弱性 CVE-2022-22948 は、不適切なファイル・パーミッションに起因する情報漏洩の問題と説明されている。この欠陥は、組織のサイバー・リスクの削減を支援する Pentera により、VMware に対して報告された。
Continue reading “VMware vCenter Server 脆弱性 CVE-2022-22948 が FIX:多様な組織に影響を及ぼす”Critical Vulnerabilities Found in Microsoft Defender for IoT
2022/03/29 SecurityWeek — 継続的な NDR (Network Detection and Respons) 機能を備えた Defender for IoT は、さまざまな IoT/OT/ICS デバイスをサポートし、オンプレミスとクラウドの双方へのデプロイメントが可能である。その Defender for IoT における、2つの深刻な脆弱性 CVE-2021-42311/CVE-2021-42313 は CVSS 値 が 10 であり、2021年12月の Microsoft Patch Tuesday で対処されている。どちらも SQL インジェクションの脆弱性であり、リモートの攻撃者による認証なしの悪用が可能となり、任意のコード実行を許すことになる。トークン検証プロセスに存在する CVE-2021-42313 は、UUID パラメータのサニタイズの欠如に起因すると SentinelLabs は説明している。
Continue reading “Microsoft Defender for IoT の深刻な脆弱性:PoC エクスプロイトが公開”Critical SonicWall firewall patch not released for all devices
2022/03/28 BleepingComputer — セキュリティ・ハードウェア・メーカーである SonicWall は、オペレーティングシステム SonicOS に存在する、サービス拒否 (DoS) 攻撃やリモートコード実行 (RCE) を生じる可能性のある、深刻な脆弱性を修正したことを発表した。このセキュリティ上の欠陥は、スタックベースのバッファ・オーバーフローの脆弱性であり、CVSS 値は 9.4 で、複数の SonicWall ファイアウォールに影響を及ぼす。
Continue reading “SonicWall ファイアウォールにおける深刻な DoS 脆弱性 CVE-2022-22274 が FIX”Critical Sophos Firewall vulnerability allows remote code execution
2022/03/27 BleepingComputer — Sophos は、Sophos Firewall 製品に存在する、深刻なリモートコード実行 (RCE) の脆弱性を修正した。この認証回避の脆弱性 CVE-2022-1040 は、Sophos Firewall の User Portal および Webadmin 領域に存在する。金曜日に Sophos は、Sophos Firewall Ver 18.5 MR3 (18.5.3) 以前に影響する、リモートコード実行の深刻な脆弱性を開示し、それに対するホット・フィックスをリリースした。
Continue reading “Sophos Firewall の深刻な脆弱性 CVE-2022-1040 が FIX:認証回避による RCE”
IoT OT Security News 
You must be logged in to post a comment.