Intel Software and Firmware Updates Patch 18 High-Severity Vulnerabilities
2022/02/17 SecurityWeek — 先週に Intel は、22件のセキュリティ勧告を発表し、そのうち7件の深刻度は High となっている。これらのアドバイザリには、18件の深刻度 High の脆弱性が記載されており、そのほとんどが特権の拡大に悪用される可能性を持つ。また、情報漏えいやサービス拒否 (DoS) を引き起こす可能性も生じるという。ただし、これらの脆弱性を悪用するには、対象となるデバイスへのローカル・アクセスが必要となる。
Continue reading “Intel の Software/Firmware がアップデート:18 件の深刻な脆弱性が FIX”GitHub code scanning now finds more security vulnerabilities
2022/02/17 BleepingComputer — 昨日に GitHub は、機械学習を利用した新しいコード・スキャン解析機能を発表した。これにより、より一般的なセキュリティ脆弱性を、プロダクション環境に至る前に自動的に発見することが可能となる。この新しい実験的な静的解析機能は、JavaScript および TypeScript の GitHub リポジトリで、パブリック・ベータ版として提供されている。
Continue reading “GitHub の新しいコード・スキャン:JavaScript/TypeScript のエコシステムをサポート”Specially crafted emails could crash Cisco ESA devices
2022/02/17 SecurityAffairs — Cisco AsyncOS Software for Email Security Appliance (ESA) の DNS-based Authentication of Named Entities (DANE) 電子メール検証コンポーネントに存在する、DoS の脆弱性 CVE-2022-20653 により、Cisco ESA 製品群に影響が生じる。認証されていないリモートの攻撃者が、特別に細工した電子メールを脆弱なデバイスに送信することで、この脆弱性の悪用が生じる。
Continue reading “Cisco ESA の脆弱性 CVE-2022-20653 が FIX:細工されたメールで DoS 状態”Iranian Hackers Targeting VMware Horizon Log4j Flaws to Deploy Ransomware
2022/02/17 TheHackerNews — イラン政府に属する潜在的破壊アクターが、Log4j の脆弱性を積極的に悪用し、パッチが適用されていない VMware Horizon サーバーにランサムウェアに感染させている。サイバー・セキュリティ企業の SentinelOne は、このグループがトンネル・ツールを多用することから、TunnelVision と名付けている。
Continue reading “VMware Horizon と Log4j 欠陥:イランのハッカーたちがマルウェアを配布”Poisoned pipelines: Security researcher explores attack methods in CI environments
2022/02/16 DailySwig — あるセキュリティ研究者が、Source Code Management (SCM) リポジトリのパーミッションを悪用することで、CI ポイズニング攻撃 (Poisoned Pipeline Attacks) につながることを解説している。Continuous Integration (CI)/Continuous Delivery (CD) プラットフォームを含む開発者のための環境は、コードのマージ/ソフトウェアビルドの自動化/テスト/DevOps プロジェクトへのコード提供のための、基本的なビルディング・ブロックである。
Continue reading “ポイズンド・パイプライン:CI/CD 環境における攻撃メソッドについて”VMware Issues Security Patches for High-Severity Flaws Affecting Multiple Products
2022/02/16 TheHackerNews — 火曜日に VMware は、ESXi/Workstation/Fusion/Cloud Foundation/NSX Data Center for vSphere に影響をおよぼす、複数の深刻度の高い脆弱性に対してパッチを適用した。これらの脆弱性を悪用すると、任意のコード実行や、サービス拒否 (DoS) などが生じる可能性がある。
Continue reading “VMware が6つの深刻な脆弱性を FIX:中国の Tianfu Cup が発見に貢献”High-Severity Vulnerability Found in Apache Database System Used by Major Firms
2022/02/16 SecurityWeek — 火曜日に JFrog のセキュリティ研究者たちは、Apache Cassandra の最新バージョンに存在する、深刻度の高いリモートコード実行の脆弱性に関する、詳細な技術情報を公開した。Cassandra は、高いスケーラビリティを持つ分散型 NoSQL データベースであり、Netflix/Reddit/Twitter/Cisco/Constant Contact/Digg/Urban Airship/OpenX などの組織や、DevOps 開発者などの間で人気がある。
Continue reading “Cassandra NoSQL データベースの深刻な脆弱性 CVE-2021-44521 が FIX”CISA tells federal agencies to patch actively exploited Chrome, Magento bugs
2022/02/15 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chrome/Adobe Commerce/Magento Open Source に影響を与える、ゼロデイを含む9つの脆弱性を新たにリストに加えた。Chrome の脆弱性 CVE-2022-0609 は、深刻度の高いuse after free のバグであり、Chrome 98.0.4758.102 未満のバージョンを実行しているコンピュータで、任意のコード実行やセキュリティ・サンドボックス・エスケープなどを許す可能性がある。
Continue reading “CISA 警告:脆弱性の悪用リストに Google Chrome と Adobe Magento が追加”New Chrome 0-Day Bug Under Active Attack – Update Your Browser ASAP!
2022/02/14 TheHackerNews — 月曜日に Google は、Web ブラウザ Chrome に存在する、8つのセキュリティ問題の修正プログラムを公開した。この中には、実際の攻撃で積極的に悪用されている、深刻度の高い脆弱性も含まれており、2022年に入ってから初めてのゼロデイ・パッチとなった。
Continue reading “Google Chrome のゼロデイ脆弱性 CVE-2022-0609:積極的な悪用と緊急アップデート”Log4j Isn’t Just a Cybersecurity Threat—It Reveals Blind Spots in Our Cyber Governance
2022/02/14 SecurityBoulevard — すでに CISO たちは、膨大な脆弱性に悩まされており、12月に Log4j の脆弱性が発表されたときにも、すでに長くなってしまったリストの上に、さらに1つの危機が加わることに、どれほどの意味があるのだろうかと思っていたはずだ。
しかし、それは間違いである。Log4j は、サイバー・セキュリティ上の単なる緊急の脅威というだけではない。Log4j は、今日の企業が直面している、IT における膨大なセキュリティとコンプライアンスの課題を的確に捉えるものである。そのため、CISO たちは、IT エコシステム内から Log4j の脅威を取り除くにしても、なぜ Log4j が、差し迫った問題なのかを考える必要がある。
Emergency Magento update fixes zero-day bug exploited in attacks
2022/02/14 BleepingComputer — Adobe は、深刻な脆弱性 CVE-2022-24086 を修正し、Adobe Commerce と Magento Open Source に対して緊急アップデートを提供した。この脆弱性について、現時点では技術的な詳細は公表されていないが、この脆弱性を悪用する際に認証は必要されないと、Adobe は強調し、深刻度を示す CVSS 値は 9.8 だと評価している。
Continue reading “Adobe Magento の深刻な脆弱性 CVE-2022-24086 が FIX:RCE の可能性”QNAP extends critical updates for some unsupported NAS devices
2022/02/14 BleepingComputer — QNAP はサポートを延長し、一部の生産終了 (EOL:end-of-life) NAS デバイスのセキュリティ・アップデートを、2022年10月まで継続することにした。それにより、サポートが終了しているデバイスを使用する顧客も、アップグレードが可能となり、進化するセキュリティの脅威からデータを保護できる。
Continue reading “QNAP NAS デバイスへのサポート:EOL モデルに対して 2022年10月まで延長”CISA urges orgs to patch actively exploited Windows SeriousSAM bug
2022/02/11 BleepingComputer — 米国の CISA (Cybersecurity & Infrastructure Security Agency) は、サイバー攻撃に積極的に利用されている、15件のセキュリティ脆弱性をカタログに追加した。これらの脆弱性に関する CISA の警告は、組織のネットワークを保護する全てのシステム管理者にとって、優先的にインストールする必要があるセキュリティ・アップデートという警鐘を鳴らすものだ。
Continue reading “CISA がカタログに追加した 15件の脆弱性:Windows SAM/SMBv3/D-Link などに注意”Log4j exploitation risk is not as high as first thought, cyber MGA says
2022/02/11 HelpNetSecurity — 2021年12月に Log4Shell の脆弱性 (CVE-2021-44228) が公表されたとき、CISA の Director である Jen Easterly は、自身の数十年のキャリアの中で見てきた最も深刻な脆弱性であり、対策には何年もかかる可能性があると述べた。それは真実である。この欠陥は、熟練していない攻撃者であっても、リモートから悪用できるオープンソース・ライブラリに存在している。そして、脆弱なバージョンは随所で利用され、いまだにダウンロードされている。
Continue reading “Log4j 悪用のリスクは予測値ほど高くない:保険会社 MGA の視点とは?”Google Project Zero: Vendors are now quicker at fixing zero-days
2022/02/11 BleepingComputer — Google の Project Zero は、2021年において同チームが報告したゼロデイ脆弱性について、それぞれの組織が対応に要した時間の短縮示すレポートを発表した。この Project Zero が報告したデータによると、ソフトウェア・ベンダーがセキュリティ修正プログラムの発行に要した平均期間は、2017年の 80日から、2021年は 52日に短縮された。さらに、大半のベンダーが、業界標準の期限である90日と、2週間の猶予期間内に、欠陥に対処した。
Continue reading “Google Project Zero レポート:各ベンダーのゼロデイ対応と時間軸”New Vulnerabilities Can Allow Hackers to Remotely Crash Siemens PLCs
2022/02/10 SecurityWeek — 今週に Siemens は、同社の SIMATIC 製品の一部をリモート操作でクラッシュさせる、一連の深刻な脆弱性に対するパッチと緩和策の提供を発表した。ドイツの大手工業企業である Siemens は、火曜日に9つのアドバイザリを公開し、合計 27件の脆弱性に対処した。これらの勧告の1つとして、Siemens の一部の Programmable Logic Controllers (PLCs) および関連製品に対して、リモートの認証されていない攻撃者がサービス拒否 (DoS) 攻撃を仕掛けることができる、3つの深刻度の高い欠陥が記載されている。
Continue reading “Siemens の PLC をリモートからクラッシュさせる新たな脆弱性とは?”CISA warns admins to patch maximum severity SAP vulnerability
2022/02/09 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Internet Communication Manager (ICM) を用いて SAP ビジネス・アプリケーションに影響を与える、一連の深刻なセキュリティ上の欠陥にパッチを適用するよう、管理者に警告しました。なお、この脆弱性は、ICMAD (Internet Communication Manager Advanced Desync) と呼ばれている。
Continue reading “CISA 警告:SAP テクノロジー・スタックの重要な部分に深刻な脆弱性”Mozilla fixes Firefox bug letting you get Windows admin privileges
2022/02/08 BleepingComputer — Mozilla Maintenance Service に深刻度の高い特権昇格の脆弱性が見つかり、それに対処するセキュリティ・アップデートが公開された。この Service は、Firefox および Thunderbird のオプション・サービスであり、アプリケーションのアップデートをバックグラウンドで実行するものだ。それにより、Firefox ユーザーは、Web ブラウザやメール・クライアントを更新する際に、Windows の User Account Control (UAC) ダイアログで Yes をクリックする必要がなくなり、シームレスなアップデート・エクスペリエンスが得られる。
Continue reading “Mozilla Firefox 97 でバグ FIX:Windows 管理者への不正な権限昇格”Microsoft February 2022 Patch Tuesday fixes 48 flaws, 1 zero-day
2022/02/08 BleepingComputer — 本日、Microsoft は February 2022 Patch Tuesday で、ゼロデイ脆弱性1件を含む、合計で 48件の欠陥を修正した。なお、アップデートされた 48件の脆弱性 (22件の Microsoft Edge 脆弱性は除く) の中に、Critical に分類されるものはない。
Continue reading “Microsoft 2022-02 月例アップデートは1件のゼロデイと 48件の脆弱性に対応”Microsoft fixes Windows Active Directory bug caused by Jan updates
2022/02/07 BleepingComputer — Microsoft によると、先月の Windows アップデートをきっかけに発生した、既知の問題を修正したとのことだ。具体的には、Microsoft .NET を使用するアプリが、Active Directory Forest Trust Information の取得または設定時に、失敗/終了/エラーなどの、問題が発生するというものだ。この問題は、Windows Server 2022/Windows Server 2019/Windows Server 2016/Windows Server 2012 R2/Windows Server 2012 などの、Windows Server プラットフォームに影響していた。
Continue reading “Microsoft Windows AD のバグ:1月の定例アップデートで生じた問題を FIX”Microsoft disables the ms-appinstaller protocol because it was abused to spread malware
2022/02/07 SecurityAffairs — Microsoft は、MSIX の ms-appinstaller プロトコルが、Emotet などのマルウェアに悪用されたことで、一時的に無効にしたと発表した。2021年12月に Microsoft は、Microsoft Windows に影響を与える AppXインストーラの脆弱性 CVE-2021-43890 に対処したが、この脆弱性は現在も悪用されている。
Continue reading “Microsoft の ms-appinstaller プロトコルが無効化:マルウェア配信での悪用をストップ”CISA orders federal agencies to patch actively exploited Windows bug
2022/02/04 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府機関にパッチの適用を命じることで、攻撃者による SYSTEM 権限を許してしまう、Windows の脆弱性に対処しようとしている。今日の発表と、2021年11月の拘束力のある業務指令 (BOD 22-01) より、すべての連邦民間行政機関 (FCEB:Federal Civilian Executive Branch Agencies) は、2月18日までの2週間以内に、脆弱性 CVE-2022-21882 に関連する、すべてのシステムへのパッチ適用が求められている。
Continue reading “CISA が政府機関にパッチ適用を命令:Windows の深刻な脆弱性 CVE-2022-21882”Argo CD vulnerability leaks sensitive info from Kubernetes apps
2022/02/04 BleepingComputer — Kubernetes へ向けたアプリケーションのデプロイに、数千の組織が使用している Argo CD の脆弱性により、パスワードや API キーなどの機密情報を開示する、攻撃が行われる可能性がある。この、CVE-2022-24348 として追跡されているパス・トラバーサルの欠陥は、Apiiro の Security Research Team により発見されたものであり、特権昇格/情報開示/横方向移動などの、攻撃につながる可能性がある。
Continue reading “Argo CD の脆弱性が FIX:Kubernetes アプリから機密情報が漏れてしまう”Trend Micro fixed 2 flaws in Hybrid Cloud Security products
2022/02/03 SecurityAffairs — Trend Micro は、同社のハイブリッド・クラウド・セキュリティ製品の一部に影響をおよぼす、2つの深刻度の高い脆弱性 (CVE-2022-23119/CVE-2022-23120) を修正するセキュリティ・アップデートを公開した。これらの脆弱性は、ワークロード・セキュリティ・ソリューションである Deep Security と Cloud One に影響するものだ。
Continue reading “Trend Micro の Hybrid Cloud Security に存在する2つの深刻な脆弱性が FIX”Zimbra zero-day vulnerability actively exploited to steal emails
2022/02/03 BleepingComputer — Zimbra におけるクロス・サイト・スクリプティング (XSS) の脆弱性が、ヨーロッパのメディアや政府機関を標的とした攻撃で積極的に悪用されている。Zimbra は、Eメール/コラボレーション・プラットフォームであり、インスタント・メッセージング/コンタクト・リスト/ビデオ会議/ファイル共有/クラウド・ストレージなどの機能も備えている。Zimbra によると、1,000以上の政府機関や金融機関を含め、140カ国以上の20万以上の企業が、同社のソフトウェアを使用しているとのことだ。
Continue reading “Zimbra ゼロデイ脆弱性:未知の脅威アクターが電子メールを盗み出している”Cisco Patches Critical Vulnerabilities in Small Business RV Routers
2022/02/03 SecurityWeek — 今週に Cisco は、Small Business RV160/RV260/RV340/RV345 ルーター・シリーズに存在する、複数の脆弱性に対するパッチを発表した。その中には、root 権限で任意のコード実行を許す可能性がある深刻なバグも含まれている。一連の問題の中で最も深刻な脆弱性 CVE-2022-20699 (CVSS 10.0) は、認証されていないリモートの攻撃者に対して、脆弱なデバイス上で任意のコード実行を許すものである。このバグは、特定の HTTP リクエストの処理中に実行される、境界チェックが不十分であるために問題を生じる。
Continue reading “Cisco Small Business RV ルーターに深刻な脆弱性:パッチの提供を確認してアップデートを”ESET antivirus bug let attackers gain Windows SYSTEM privileges
2022/02/02 BleepingComputer — スロバキアのインターネット・セキュリティ企業である ESET は、Windows 10 および Windows Server 2016 以降を実行するシステム上の複数の製品に影響する、深刻度の高いローカル特権昇格の脆弱性に対応する、セキュリティ修正プログラムを公開した。
Continue reading “ESET アンチウイルス製品の脆弱性が FIX:Windows SYSTEM への権限昇格”Critical Log4j Vulnerabilities Are the Ultimate Gift for Cybercriminals
2022/02/02 DarkReading — いま、誰もがパッチ適用に追われている。Log4j のセキュリティ脆弱性が悪用されるのを防ぐために、ドアや窓に鍵をかけている。パッチの適用を急ぐことは理解できるが、多くの人が気づいていないのは、それが既に遅すぎるということだ。しかし、それは、Log4j を利用している組織にとって、悪いことだという意味ではない。この記事では、Log4j の被害を軽減するために知っておくべきこと、そして、やっておくべきことを説明していく。
まず、なぜ Log4j へのパッチ適用が、それほど複雑であるかを理解することが重要である。まず、自社のソフトウェア資産とサードパーティのコンポーネントの双方において、どれだけの資産がインターネットに公開されているかを、誰もが即座に判断できずにいる。また、組織のリスクを特定することも簡単ではない。そのためには、組織が Log4j パッケージを使用しているかどうかだけでなく、それが組織におけるミッション・クリティカルな資産と、どのように関連しているかを知る必要がある。
Continue reading “Log4j 脆弱性へのパッチ適用:もう遅いのか?その前に考えるべきことは?”UEFI firmware vulnerabilities affect at least 25 computer vendors
2022/02/02 BleepingComputer — ファームウェア・プロテクション企業である Binarly の研究者たちは、Fujitsu/Intel/AMD/Lenovo/Dell/ASUS/HP/Siemens/Microsoft/Acer などの、複数のコンピュータ・ベンダーが採用している InsydeH2O の UEFI ファームウェアに、深刻な脆弱性が存在することを発見した。
UEFI (Unified Extensible Firmware Interface) ソフトウェアとは、デバイスのファームウェアとオペレーティング・システムの間のインターフェースであり、起動プロセス/システム診断/修復機能などに対応する。
Continue reading “UEFI ファームウェアで発見された 23件の脆弱性:ハードウェア・ベンダー 25社に影響”IAB Prophet Spider Seizes Opportunity to Exploit Log4j Vulnerability
2022/02/02 SecurityBoulevard — イニシャル・アクセス・ブローカー (initial access broker:IAB) グループである Prophet Spider による攻撃は、最近になって発見された VMware Horizon での Log4j 脆弱性の悪用と相関関係があることが判明した。また、侵害の兆候を示すいくつかの指標は、自身の組織に対する攻撃の有無を、セキュリティ・チームが判断するのに役立つ。
Prophet Spider 攻撃を発見したBlackBerry Research & IntelligenceとIncident Response チームによると、昨年末に VMware は Log4Shell パッチと緩和のためのガイダンスを発行したが、多くの実装においてパッチが適用されていない。
Continue reading “アクセス・ブローカー Prophet Spider が Log4Shell 攻撃を増幅させる”Cloudflare launches a paid public bug bounty program
2022/02/01 BleepingComputer — Web インフラ/Webサイトのセキュリティに特化したプロバイダーである Cloudflare は、新たな公開バグバウンティ・プログラムの開始を発表した。Cloudflare の Product Security Engineer である Rushil Shah は、「本日、Cloudflare は有償パブリック・バグバウンティ・プログラムを開始する。私たちは、バグバウンティが全てのセキュリティ・チームにおける、ツール・ボックスの重要な一部であると信じており、ここ数年、プライベート・バグバウンティ・プログラムの改善と拡大に努めてきた」と述べている。
Continue reading “Cloudflare の有償パブリック・バグバウンティ・プログラムが開始された”Samba bug can let remote attackers execute code as root
2022/01/31 BleepingComputer — Samba は、脆弱なソフトウェアを実行しているサーバー上で、攻撃者に root 権限でリモートコード実行を許す可能性がある、深刻な脆弱性に対応している。Samba は、SMB ネットワーク・プロトコルを再実装したものであり、Linux/Windows/macOS などのプラットフォーム上で、ファイル共有/印刷サービスなどを提供している。
Continue reading “Samba の深刻な脆弱性 CVE-2021-44142:ディフォルト設定での root RCE を FIX”CISA adds 8 vulnerabilities to list of actively exploited bugs
2022/01/31 BleepingComputer — 米国の Cybersecurity & Infrastructure Security Agency (CISA) は、現在進行形の攻撃での利用が確認されている脆弱性のカタログに、新旧取り混ぜた8件の脆弱性を追加した。これらの脆弱性を公表する目的は、サーバー攻撃に対する意識を高め、連邦政府組織が指定された厳しい期限までにアップデートを適用する義務があることを思い出させる点にある。
Continue reading “CISA の脆弱性カタログに8件が追加:Apple/SonicWall などに注意”Ransomware families becoming more sophisticated with newer attack methods
2022/01/28 HelpNetSecurity — Ivanti/Cyber Security Works/Cyware の三社は、2021年には 32種類のランサムウェア・ファミリーが登場し、合計 157種類となり、前年比で 26% 増になったことを Ransomware 2021 Year End Report で明らかにした。同レポートによると、これらのランサムウェアは、パッチが適用されていない脆弱性を標的とし、ゼロデイ脆弱性を記録的な速さで武器化し、致命的な攻撃を仕掛けることが判明した。また、これらのランサムウェア・グループは、攻撃範囲を拡大し、組織のネットワークを危険にさらす新たな方法を見つけ出し、大きなインパクトを与える攻撃を大胆に仕掛けている。
Continue reading “2021 調査:288種類の脆弱性を悪用する 157 のランサムウェア・ファミリー”How would zero trust prevent a Log4Shell attack?
2022/01/27 HelpNetSecurity — どのようなリモートコード実行の攻撃であっても、一見すると些細に思える解決策がある。それは、インバウンド・トラフィックが、サーバーの脆弱性を引き起こすパターンと、一致しないようにすることだ。言うのは簡単だが、実行するのは困難である。致命的な深刻さを持つ Log4j の脆弱性を誘発する可能性のあるトラフィック・パターンには、ほぼ無限のバリエーションがある。
Continue reading “ゼロトラストと Log4Shell:どのように考えれば攻撃を防げるのか?”QNAP warns of new DeadBolt ransomware encrypting NAS devices
2022/01/26 BleepingComputer — QNAP が、新種のランサムウェア DeadBolt による、データを狙う継続的かつ広範な攻撃にさらされている。そのため、同社は、インターネットに露出している NAS デバイスを保護するよう、顧客に再度警告している。QNAP は、「DeadBolt は、インターネットに接続されている、すべての NAS を広く標的とし、ユーザーのデータを暗号化して Bitcoin の身代金を要求している。ダッシュボードに “The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP」と表示されている場合には、その NAS はインターネットにさらされており、高いリスクが生じている」と述べている。
Continue reading “QNAP 警告:新たな DeadBolt ランサムウェアが NAS デバイスを暗号化”Initial Access Broker Involved in Log4Shell Attacks Against VMware Horizon Servers
2022/01/26 TheHackerNews — Prophet Spider として追跡されているイニシャル・アクセスブローカー・グループが、パッチが適用されていない VMware Horizon Server の Log4Shell 脆弱性を利用するための、一連の悪意のアクティビティに関与している。今日、BlackBerry Research & Intelligence & Incident Response (IR) チームが発表した新たな調査結果によると、このサイバー犯罪者は、侵入したシステムに第2段階のペイロードをダウンロードするために、この脆弱性の好機を利用している。このペイロードには、暗号通貨マイナー/Cobalt Strike Beacon/Web シェルなどが含まれている。
Continue reading “VMware Horizon への Log4Shell 攻撃:悪名高いアクセス・ブローカーが参戦”Linux system service bug gives root on all major distros, exploit released
2022/01/25 BleepingComputer — Polkit の pkexec コンポーネントには、脆弱性 CVE-2021-4034 が存在し、また、主要な Linux ディストリビューションのデフォルト設定に含まれているという。CVE-2021-4034 は PwnKit と名付けられ、その起源は 12年以上前の pkexec の最初のコミットまで追跡されており、すべての Polkit バージョンが影響を受けることになる。
Continue reading “Linux Polkit の深刻な脆弱性 CVE-2021-4034:PoC エクスプロイトが登場?”Linux kernel bug can let hackers escape Kubernetes containers
2022/01/25 BleepingComputer — Linux カーネルに影響する脆弱性 CVE-2022-0185 が、Kubernetes のコンテナを脱出する攻撃者に利用されると、ホストシステム上のリソースへのアクセスを許すことになる。セキュリティ研究者たちは、この欠陥の悪用は当初の予測よりも容易であり、間もなくエクスプロイト・コードが公開されるため、パッチの適用が急務であると警告している。
Continue reading “Linux カーネルのバグが Kubernetes コンテナからの脱出を許す?”A flaw in Rust Programming language could allow to delete files and directories
2022/01/24 SecurityAffairs — プログラミング言語 Rust のメンテナたちは、CVE-2022-21658として追跡されている深刻度 High の脆弱性に対して、セキュリティ・アップデートをリリースした。この脆弱性をトリガーとして攻撃者が悪用すると、脆弱なシステムからのファイルやディレクトリの削除を許してしまう。
Continue reading “Rust プログラミング言語の欠陥が FIX:ファイル/ディレクトリ不正削除に対応”Attackers now actively targeting critical SonicWall RCE bug
2022/01/24 BleepingComputer — SonicWall の Secure Mobile Access (SMA) ゲートウェイに影響をおよぼす深刻な脆弱性だが、先月に対処されていながら、現在でも悪用されようとしている。この脆弱性 CVE-2021-20038 は、スタックバッファ・オーバーフローを引き起こす可能性があり、WAF が有効な場合であっても、SMA 100 シリーズのアプライアンス (SMA 200/210/400/410/500v を含む) に影響をおよぼす。
Continue reading “SonicWall の RCE 脆弱性 CVE-2021-20038:標的型攻撃が進行中”CISA adds 17 vulnerabilities to list of bugs exploited in attacks
2022/01/22 BleepingComputer — 今週に CISA (Cybersecurity and Infrastructure Security Agency) は、積極的に悪用されている 17件の脆弱性を Known Exploited Vulnerabilities Catalog に追加しました。このカタログは、これまでに攻撃に悪用されたことが確認されている脆弱性のリストであり、FCEB (Federal Civilian Executive Branch) がパッチの適用を義務付けているものでもある。
Continue reading “CISA の脆弱性カタログに 17件が追加:October CMS と SolarWinds Serv-U に注意”Dutch cybersecurity agency warns of lingering Log4j risks
2022/01/22 BleepingComputer — オランダの Dutch National Cybersecurity Centre (NCSC) は、木曜日に発表した警告の中で、企業は Log4j 攻撃に関連するリスクを認識し、現在進行中の脅威に警戒する必要があると述べている。一連の深刻な脆弱性を緩和するために、多くの組織が迅速に行動したことで、Log4Shell の悪用に関連しするインシデントの余波は、それほど大きくないとされているが、NCSC によると、脅威アクターたちは依然として新たな標的への侵入を、計画している可能性が高いとのことだ。
Continue reading “オランダのサイバー・セキュリティ機関が警告:Log4j 脆弱性のリスクは長期化する”McAfee Agent bug lets hackers run code with Windows SYSTEM privileges
2022/01/21 BleepingComputer — McAfee Enterprise (現在は Trellix に社名変更) は、同社の Windows 用ソフトウェアである McAfee Agent で発見されたセキュリティ上の脆弱性を修正し、攻撃者による特権昇格と SYSTEM 権限での任意のコード実行の問題に対処した。McAfee Agent は、McAfee ePolicy Orchestrator (McAfee ePO) のクライアント側コンポーネントであり、エンドポイント・ポリシーのダウンロードと適用/アンチウイルスのシグネチャ/アップグレード/パッチ/新製品などの、企業エンドポイントへの展開を行なう。
Continue reading “McAfee Agent の 脆弱性が FIX:SYSTEM 権限での任意のコード実行”Over 90 WordPress themes, plugins backdoored in supply chain attack
2022/01/21 BleepingComputer — 大規模なサプライ・チェーン攻撃により、WordPress の 93個のテーマとプラグインが侵害され、バックドアが含まれていたことで、脅威アクターは Web サイトへのフルアクセスを手に入れている。この攻撃では、36万件以上の Web サイトで使用されている WordPress に対して、アドオンを開発している AccessPress のテーマ 40個とプラグイン 53個が侵害されている。
Continue reading “WordPress にサプライチェーン攻撃の可能性:93 のテーマ/プラグインにバックドア”SonicWall shares temp fix for firewalls stuck in reboot loop
2022/01/21 BleepingComputer — セキュリティ・ハードウェア・メーカーの SonicWall だが、昨日の夕方に顧客からの報告を受けた後に、再起動ループに陥った SonicOS 7.0 を搭載した次世代ファイアウォールを復活させるための、一時的なワークアラウンドを提供した。SonicWall の Gen7 ファイアウォールは、暗号化されたトラフィックの検査/マルウェア分析/クラウドアプリのセキュリティ機能などをユーザーに提供する、同社の最新ファイアウォール・デバイスである。
Continue reading “SonicWall Gen7 ファイアウォールに reboot ループの障害:緩和策が提供されたけど”Google Details Two Zero-Day Bugs Reported in Zoom Clients and MMR Servers
2022/01/21 TheHackerNews — 人気の高いビデオ会議ソリューション Zoom の、ゼロクリック攻撃領域を調査した結果として、これまで公表されていなかった2つの脆弱性が発見された。これらの脆弱性が悪用されると、サービスのクラッシュ/悪意のコードの実行/メモリの任意の領域のリークが可能となる。昨年に、この2つの脆弱性を発見/報告した Google Project Zero の Natalie Silvanovich によると、この問題は、Zoom クライアントおよび、オンプレミス環境でクライアント間の音声/映像コンテンツを伝送する Multimedia Router (MMR) サーバーに影響するという。
Continue reading “Zoom ゼロデイ脆弱性の特殊性:Google Project Zero の研究者が語る”SBN New Log4j 1.x CVEs, and critical Chainsaw Vulnerability — What to Do?
2022/01/21 SecurityBoulevard — 今週になって、Apache は Log4j 1.x のバージョンに影響を与える、3つの脆弱性を公開した。Log4j 1.x は 2015年8月の時点で、いずれにしても end-of-life の製品であり、推奨されるアドバイスは、安全な log4j 2.x への移行である。しかし、これらの CVE 開示の中には、以下に分析する深刻な Apache Chainsaw の脆弱性が埋もれている。
Continue reading “Apache Log4j 1.x の3つの脆弱性が公開:Chainsaw と JDBC Appender に注意”Critical Bugs in Control Web Panel Expose Linux Servers to RCE Attacks
2022/01/21 TheHackerNews — Control Web Panel に存在する、2つの深刻なセキュリティ上の脆弱性が公開された。これらの脆弱性は、侵害の連鎖の一部として悪用され、影響が生じたサーバー上で認証前のリモートコード実行を許す可能性がある。この問題は、CVE-2021-45467 として追跡されており、Web アプリケーションが Web サーバー上の任意のファイルを、公開または実行するように仕向けられることで発生する、ファイル・インクルージョンの脆弱性に関するものだ。
Continue reading “CentOS Web Panel の深刻な脆弱性 CVE-2021-45467 がFIX:RCE の可能性”Software Supply Chain Attacks Tripled in 2021: Study
2022/01/20 SecurityWeek — 2021年は、ソフトウェア・サプライチェーン攻撃の年だったと言えるだろう。SolarWinds が世界の目を見開かせ、脅威の大きさを明らかにした年だ。それ以外にも、Kaseya/Codecov/ua-parser-js/Log4j などの大規模な攻撃があった。いずれの場合も、攻撃者にとって魅力的なのは、分散したコードにおける1つの違反/危殆化/脆弱性が、数千人にもいたる犠牲者を出す可能性があることだ。
Continue reading “2021年はサプライチェーン攻撃の年:3倍増の件数と3つの大きな課題”
IoT OT Security News 
You must be logged in to post a comment.