Eltima SDK Contain Multiple Vulnerabilities Affecting Several Cloud Service Provides
2021/12/08 TheHackerNews — この脆弱性は、Amazon Workspaces/Accops/NoMachine などのクラウド・デスクトップ・ソリューションに、知らず知らずのうちに引き継がれており、攻撃者による各種の悪意のアクティビティを行う経路となり得ると、サイバー・セキュリティ研究者たちが明らかにした。
Continue reading “Eltima SDK の複数の脆弱性:Amazon WorkSpaces などのクラウドに影響をおよぼす”SonicWall ‘strongly urges’ customers to patch critical SMA 100 bugs
2021/12/08 BleepingComputer — SonicWall は、SMA 100 シリーズ・アプライアンスを使用している企業に対して、CVSS スコアで Critical から Medium と評価されている、複数のセキュリティ上の欠陥に対して、直ちにパッチを適用することを強く求めている。これらのバグ (Rapid7 の Jake Baines と NCC Group の Richard Warren が報告) は、Web Application Firewall (WAF) が有効になっているケースでも、SMA 200/210/400/410/500v アプライアンスに影響をおよぼす。
Continue reading “SonicWall の深刻な懸念と警告:SMA 100 シリーズのバグに迅速なパッチを”Grafana fixes zero-day vulnerability after exploits spread over Twitter
2021/12/07 BleepingComputer — 今日、オープンソースの分析/可視化ソリューションを提供する Grafana は、ローカル・ファイルへのリモート・アクセスを許してしまう、深刻度の高いゼロデイ脆弱性を修正する緊急アップデートを行った。この問題の詳細は、今週の初めに公開が始まっており、Grafana Labs は影響を受けるVersion 8.0.0-beta1〜8.3.0 のアップデートを提供した。
Continue reading “Grafana のゼロデイ脆弱性 CVE-2021-43798 の PoC が Twitter で拡散”14 New XS-Leaks (Cross-Site Leaks) Attacks Affect All Modern Web Browsers
2021/12/06 TheHackerNews — 研究者たちは、Tor Browser/Mozilla Firefox/Google Chrome/Microsoft Edge/Apple Safari/Opera などの最新 Web ブラウザに関連する、14種類の新しいクロス・サイト (X S) データリーク攻撃を発見した。これらのバグは、 XS-Leaks と総称され、悪意の Web サイトを成立させるものだ。
Continue reading “14種類の XS-Leaks 攻撃:Chrome/Edge/Safari/Firefox などに影響する”Hundreds of vulnerabilities in common Wi-Fi routers affect millions of users
2021/12/05 SecurityAffairs — ドイツの IT 雑誌 CHIP のセキュリティ研究者と編集者たちは、有力メーカー (Asus/AVM/D-Link/Netgear/Edimax/TP-Link/Synology/Linksys) の9つの Wi-Fi ルーターに 226件の潜在的なセキュリティ上の欠陥を発見した。これらの脆弱性により、数百万人のユーザーが影響を受ける可能性があるという。TP-Link Archer AX6000 には 32件の脆弱性が発見されており、Synology RT-2600ac には 30件、Netgear Nighthawk AX12 には 29件の脆弱性が見つかっており、これらの脆弱性の影響を受ける可能性が生じている。
Continue reading “普及品 Wi-Fi ルーターに大量の脆弱性:TP-Link 32件/Synology 30件/Netgear 29件など”CISA warns of vulnerabilities in Hitachi Energy products
2021/12/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Hitachi Energy の製品に影響を与える脆弱性について、セキュリティ・パッチの提供や通知に関連する、6つの勧告を発表した。
Continue reading “CISA 勧告:Hitachi Energy 製品群における OpenSSL/LibSSL/libxml2 などの脆弱性”Zoho: Patch new ManageEngine bug exploited in attacks ASAP
2021/12/03 BleepingComputer — 今日、ビジネス・ソフトウェアを提供する Zoho は、Desktop Central および Desktop Central MSP を最新のバージョンにアップデートするよう顧客に呼びかけた。Zoho の ManageEngine Desktop Central は、管理者によるパッチやソフトウェアをネットワーク経由で自動的に展開し、リモートでトラブル・シューティングを行う管理プラットフォームである。
Continue reading “Zoho 警告:ManageEngine の認証バイパスの脆弱性に早急にパッチを”Mozilla fixes critical bug in cross-platform cryptography library
2021/12/01 BleepingComputer — Mozilla は、クロス・プラットフォームの暗号ライブラリ Network Security Services (NSS) に存在する、深刻なメモリ破壊の脆弱性に対処した。NSS は、SSL v3/TLS/PKCS #5/PKCS #7/PKCS #11/PKCS #12/S/MIME/X.509 v3 証明書などの、さまざまなセキュリティ規格に対応しており、セキュリティ機能を備えたクライアントおよびサーバー・アプリケーションを開発するために使用できる。
Continue reading “Mozilla の暗号ライブラリ Network Security Services の深刻なバグが FIX”Microsoft Exchange servers hacked to deploy BlackByte ransomware
2021/12/01 BleepingComputer — BlackByte というランサムウェアが、ProxyShell と呼ばれる脆弱性を利用してMicrosoft Exchange サーバーを攻撃し、さまざまな企業ネットワークに侵入している。ProxyShell とは、Microsoft Exchange における3つの脆弱性のセットの名称であり、それらが連鎖することで、サーバー上で認証を必要としないリモートコード実行が可能になるものだ。
Continue reading “Microsoft Exchange への BlackByte 攻撃:依然として ProxyShell が暴れている”New EwDoor Botnet Targeting Unpatched AT&T Network Edge Devices
2021/12/01 TheHackerNews — 新たに発見されたボットネットは、分散型サービス拒否 (DDoS) 攻撃を可能にするものであり、通信サービス・プロバイダーである AT&T が所有する、Ribbon Communications (旧 Edgewater Networks) の EdgeMarc アプライアンスの4年前の欠陥を利用して、パッチが適用されていないアプライアンスを標的にしている。
Continue reading “EwDoor というボットネットが登場:AT&T の未パッチ Network Edge Devices が標的だ”HP Issues Firmware Updates for Printer Product Vulnerabilities
2021/12/01 DarkReading — HP Inc は、同社の多機能プリンタ (MFP: multifunction printer) 製品 150 モデル以上に影響をおよぼす、複数のセキュリティ脆弱性に対応したファームウェア・アップデートを発行した。これらの問題を悪用するのは、特に簡単というわけではない。ただし、2021年4月にバグを発見して HP に報告した F-Secure の研究者たちによると、これらの問題は、攻撃者がデータを盗み、ネットワークへの足掛かりを得る手段となるため、あらゆる組織にとって脅威となるようだ。
Continue reading “HP 製プリンタで複数の脆弱性:150 種類のモデルに影響するという”Searching for Bugs in Open Source Code
2021/11/30 SecurityBoulevard — まずは、迷信の払拭から始めよう。オープンソース・ソフトウェアが、クローズドソース・ソフトウェアよりも、安全性が低いということはない。しかし、オープンソースのプログラムに脆弱性が発見されると、クローズドソースで発見された脆弱性よりも、はるかに容易に武器化し、悪用される傾向にある。これが、現実だ。
Continue reading “オープンソースからバグを取り除く:重要なのは報奨金とエコシステムだ”Zoom finally adds automatic updates to Windows, macOS clients
2021/11/29 BleepingComputer — 今日、Zoom は、デスクトップ・クライアントのアップデート・プロセスを効率化するために設計された、自動アップデート機能を発表した。この新機能は、現時点において、Windows および macOS のデスクトップ版 Zoom クライアントのみで利用可能であり、Linux プラットフォームはサポートされていない。また、モバイル・デバイスのユーザーは、それぞれのアプリ・ストアに内蔵されている自動アップデータを利用して、アプリを自動的に更新することができるとしている。
Continue reading “Zoom for Windows/macOS に自動アップデートが提供された”Experts warn of attacks exploiting CVE-2021-40438 flaw in Apache HTTP Server
2021/11/29 SecurityAffairs — 脅威アクターたちは、先日に Apache HTTP サーバーで見つかった、Server-Side Request Forgery (SSRF) の脆弱性 CVE-2021-40438 を悪用している。この CVE-2021-40438 は、mod_proxy モジュールを有効にしている、httpd Web サーバーに対して悪用される可能性がある。脅威アクターたちは、特別に細工したリクエストを用いて問題を引き起こし、任意のオリジン・サーバーに対して、このモジュールからリクエストを転送させることが可能だ。
Continue reading “Apache HTTP Server の脆弱性 CVE-2021-40438:悪用の実績と Cisco 製品群への影響”New Windows 10 zero-day gives admin rights, gets unofficial patch
2021/11/27 BleepingComputer — Windows 10 Version 1809以降に影響する、Mobile Device Management Service のゼロデイ脆弱性「ローカル特権昇格 (LPE) 」から、Windows ユーザーを保護するための非公式パッチが無料で公開されている。このセキュリティ上の欠陥は、”Access Work or School” 設定に存在し、Microsoft が2月にリリースした CVE-2021-24084 情報漏えいバグに対処する、パッチを回避するものだ。
Continue reading “Windows 10 の新たなゼロデイ脆弱性とアンオフィシャル・パッチの存在”New differential fuzzing tool reveals novel HTTP request smuggling techniques
2021/11/25 DailySwig — 研究者たちが、HTTP request smuggling を発見するための、新しいファジング・ツールを発表した。この、T-Reqs と名づけられたツールは、ボストンの Northeastern University と Akamai のチームにより開発された。ホワイト・ペーパーの中で研究者たちは、このファジング・ツールを使って、新しい脆弱性を大量に発見した方式について述べており、バグ・ハンターたちにも利用できると述べている。
Continue reading “新しい差分ファジング・ツールの誕生:HTTP request smuggling を漏らさず見つけ出す”Researcher Awarded $10,000 for Google Cloud Platform Vulnerability
2021/11/24 SecurityWeek — セキュリティ研究者の David Schütz は、Google Cloud Project の脆弱性を報告し、その後に、公開された修正プログラムのバイパスを報告したことで、Google から $10,000 以上のバグ報奨金を受け取ったと述べている。3月に Schütz は、Google Cloud Platform (GCP) の内部プロジェクトである、”cxl-services” のアクセス・トークンを、URL 許可リスト・バイパスを利用して漏洩できることを発見した。
Continue reading “Google Cloud Platform のバグ報奨金:3回で $10,000 の内訳とは?”VMware Warns of Newly Discovered Vulnerabilities in vSphere Web Client
2021/11/24 TheHackerNews — VMware の vCenter Server および Cloud Foundation に存在する、2つのセキュリティ脆弱性に対処するためのアップデートが出荷された。これらの脆弱性は、リモートの攻撃者により悪用され、機密情報へのアクセスを許す可能性があるという。
Continue reading “VMware 警告:vSphere Web Client の脆弱性 CVE-2021-21980 に注意”Hackers exploit Microsoft MSHTML bug to steal Google, Instagram creds
2021/11/24 BleepingComputer — SafeBreach Labs のセキュリティ研究者たちにより、新たに発見されたイランの脅威アクターは、PowerShortShell と名付けた PowerShell ベースの新しい情報窃取ツールを用いて、ペルシャ語を話す世界中のターゲットから、Google および Instagram の認証情報を盗んでいる。
Continue reading “Microsoft MSHTML のバグ悪用:Google/Instagram から認証情報などが盗まれる”Researchers Detail Privilege Escalation Bugs Reported in Oracle VirtualBox
2021/11/23 TheHackerNews — Oracle VM VirtualBox に存在する、すでにパッチが適用されている脆弱性だが、悪用されるとハイパーバイザーが危険にさらされ、サービス拒否 (DoS) 状態に陥る可能性がある。具体的に言うと、Oracle VM VirtualBox が実行されているインフラにログオンしている高権限の攻撃者は、Oracle VM VirtualBox を侵害することができる。この脆弱性を利用した攻撃に成功すると、Oracle VM VirtualBox のハングアップや頻繁に繰り返され、クラッシュを引き起こす可能性が生じる。
Continue reading “Oracle VirtualBox におけるサービス拒否の脆弱性:パッチ漏れはサービス拒否につながる?”Malware now trying to exploit new Windows Installer zero-day
2021/11/23 BleepingComputer — この週末に、セキュリティ研究者の Abdelhamid Naceri が公開した、Microsoft Windows Installer のゼロデイを標的にした PoC エクスプロイトだが、すでにマルウェア作成者たちによりテストが開始されている。Cisco の Talos Security Intelligence & Research Group の Technical Leader であるJaeson Schultz は、「Talos では、この脆弱性を利用しようとするマルウェア・サンプルを、すでに検出している」と述べている。
Continue reading “Windows Installer のゼロデイ脆弱性:マルウェアの試験運用が始まっている”Expert released PoC exploit code for Microsoft Exchange CVE-2021-42321 RCE bug
2021/11/23 SecurityAffairs — この日曜日に、研究者である Janggggg は、Microsoft Exchange サーバーの CVE-2021-42321 として追跡されている、活発に悪用されている脆弱性に対する PoC エクスプロイト・コードを公開した。この脆弱性 CVE-2021-42321 は、コマンドレットにおける不適切な引数の検証に起因する、深刻度の高いリモートコード実行の問題である。Microsoft は、この欠陥は認証された攻撃者のみが悪用できると指摘している。
Continue reading “Microsoft Exchange の RCE 脆弱性 CVE-2021-42321 の PoC が提供されている”New GoDaddy data breach impacted 1.2 million customers
2021/11/22 SecurityAffairs — GoDaddy が公表したデータ侵害のインシデントは、最大で 120万人の顧客に影響を与えるという。脅威アクターたちが、同社のマネージド WordPress ホスティング環境に侵入しことで、このインシデントは起こった。脅威アクターは、2021年9月6日ころから、同社のネットワークを侵害していたが、このセキュリティ侵害が発見されたのは 11月17日だった。
Continue reading “GoDaddy の 120万人分のデータ侵害は Managed WordPress で起こった”Six million Sky routers exposed to takeover attacks for 17 months
2021/11/19 BleepingComputer — 英国 Sky Broadband のルーター約 600万台に、深刻な脆弱性の影響を受けているが、ユーザーへの修正プログラムの配布に 17ヶ月以上を要したという。公開された脆弱性は、DNS リバインディングの欠陥であり、ユーザーがデフォルトの管理者パスワードを変更していない場合、または、ブルートフォース攻撃で認証情報が流出した場合に、脅威アクターによる容易な悪用が可能になるという。
Continue reading “英国の Sky Router 600万台が 17ヶ月間も乗っ取り攻撃に晒されていた”FBI warns of APT group exploiting FatPipe VPN zero-day since May
2021/11/18 BleepingComputer — 米国の FBI は、FatPipe のルーター・クラスタリング製品および、ロードバランサー製品を悪用して、ターゲットのネットワークに侵入する APT (Advanced Persistent Threat) の存在について警告した。FatPipe は、ソルトレイク・シティに本社を置く、WAN 最適化ソリューションに特化した、コンピュータ・ネットワーキング・ハードウェア企業であり、多数の Fortune 1000 企業を顧客として抱えている。
Continue reading “FBI 警告:FatPipe VPN のゼロデイ脆弱性が5月から悪用されている”Microsoft Informs Users of High-Severity Vulnerability in Azure AD
2021/11/18 SecurityWeek — 水曜日に Microsoft は、Azure Active Directory (AD) に影響を与える情報漏えいの脆弱性に、パッチを適用したと顧客に通知しました。この脆弱性 CVE-2021-42306 (CVSS 8.1) は、Azure で新しい Automation Account が設定されたときの、Run as 認証情報が作成される方法に起因している。
Continue reading “Microsoft Azure AD の深刻な脆弱性 CVE-2021-42306 がユーザーに通知される”Ethical Hackers Prevented $27B in Cybercrime
2021/11/17 SecurityBoulevard — 倫理的ハッカーたちが、パンデミックが経済を破壊し、組織が最も脆弱になった14ヵ月間に、その価値を証明した。世界中のセキュリティ・チームが、ソフトウェアの欠陥に圧倒された時期に、$27 billion の被害額に相当するサイバー犯罪を未然に防いだのだ。Bugcrowd のレポートによると、2020年5月1日〜2021年8月31日に、倫理的ハッカーの10人に8人が、これまでに遭遇したことのない脆弱性を発見したという。
Continue reading “倫理的ハッカーたちを護れ:この一年で3兆円の経済効果を生み出している!”Netgear fixes code execution flaw in many SOHO devices
2021/11/17 SecurityAffairs — Netgear は、SOHO 用デバイスにおける、認証前のバッファ・オーバーフローの問題に対処した。この問題が、LAN 上の攻撃者により悪用されると、リモートから root 権限でコードを実行される可能性がある。この脆弱性 CVE-2021-34991 (CVSS 8.8) は、デバイスの Universal Plug-and-Play (UPnP) の upnpd デーモン機能に存在する。
Continue reading “Netgear の SOHO 向けデバイス群における任意のコード実行の脆弱性が FIX”WordPress sites are being hacked in fake ransomware attacks
2021/11/16 BleepingComputer — 先週末から始まった、この新たな攻撃では、300近くの WordPress サイトがハッキングされ、偽の暗号化通知が表示され、サイトの所有者を騙して 0.1 Bitcoinを支払わせようとしている。これらの身代金要求には、カウントダウン・タイマーが付いており、緊急性を感じさせ、Web 管理者を慌てさせて身代金を支払わせようとする。
Continue reading “WordPress サイトがフェイク・ランサムウェアに攻撃されている”Exploit-as-a-service: Cybercriminals exploring potential of leasing out zero-day vulnerabilities
2021/11/16 DailySwig — 脅威情報企業の Digital Shadows によると、サイバー犯罪者たちは、ゼロデイ脆弱性を販売するだけではなく、Exploit-as-a-Service モデルの可能性を検討し始めているようだ。このモデルは、ゼロデイ脆弱性を他のサイバー犯罪者に貸し出し、サイバー攻撃の実行を可能にするものであり、マルウェア開発者たちが採用している、Ransomware-as-a-Service のアフィリエイト・モデルに似たものとなる。
Continue reading “Exploit-as-a-Service というモデル:ゼロデイ脆弱性のリースが始まる?”IoT Protocol Used by NASA, Siemens and Volkswagen Can Be Exploited by Hackers
2021/11/15 SecurityWeek — Data Distribution Service (DDS) と名の、広く使用されているプロトコルに、脅威アクターが様々な目的で悪用できる脆弱性が存在すると、研究者たちが明らかにした。この DDS は、標準化団体である Object Management Group (OMG) が維持管理している、データ接続のためのミドルウェア・プロトコルおよび API 規格であり、ビジネスに不可欠な IoT システムに最適だとされている。
Continue reading “NASA/Siemens/Volkswagen などが採用する IoT Protocol のハッキングは可能だ”2021/11/15 AutomationCom — 脆弱性 CVE-2021-0146 により、複数のインテル・プロセッサーにおいて、テスト・モードまたはデバッグ・モードへの変更が可能になってしまう。これにより、物理的なアクセス権を持つ不正なユーザーが、システム上で拡張された権限を取得できる可能性が生じる。
Continue reading “Intel の脆弱性 CVE-2021-0146 は Note PC から IoT にまで影響をおよぼす”Alibaba ECS instances actively hijacked by cryptomining malware
2021/11/15 BleepingComputer — Alibaba Elastic Computing Service (ECS) インスタンスを乗っ取り、クリプトマイナー・マルウェアをインストールし、サーバー・リソースを利用して利益を得ようとする脅威行為が発生している。Alibaba は、グローバル市場で活躍する中国の大手テクノロジー企業であり、同社のクラウド・サービスは主に東南アジアで利用されている。
Continue reading “Alibaba ECS インスタンスをハイジャックする大勢の暗号マイナーたち”Zoom Patches High-Risk Flaws in Meeting Connector, Keybase Client
2021/11/12 SecurityWeek — ビデオ・メッセージングの大手である Zoom は、リモートコード実行およびコマンド・インジェクションの攻撃に、企業ユーザーがさらされる可能性のある、深刻度の高い脆弱性に対するパッチをリリースした。
Continue reading “Zoom に複数の深刻な脆弱性:マニュアルでのアップデートが必要”ChaosDB: Researchers Share Technical Details of Azure Flaw
2021/11/11 DarkReading — Black Hat Europe 2021:London:今日、Microsoft Azure Cosmos DB データベース・ソリューションに深刻な脆弱性を発見した研究者は、その欠陥の全範囲と、これまで未開示だった調査の詳細を明らかにした。それは、当初に公表されたよりも、はるかに広範におよぶものであることが判明した。
Continue reading “Black Hat Europe:Microsoft Azure Cosmos DB はカオスだという話”VMware discloses a severe flaw in vCenter Server that has yet to fix
2021/11/10 SecurityAffairs — VMware の発表によると、同社の vCenter Server に存在する重要な深刻な特権昇格の脆弱性 (CVE-2021-22048) に対処するための、セキュリティ・パッチの開発に取り組んでいるとのことだ。vCenter Server は、VMware の集中管理ユーティリティであり、仮想マシン/複数の ESXi ホスト/各種のコンポーネントを、シングル・ビューで管理するためのものだ。
Continue reading “VMware の vCenter Server の特権昇格の脆弱性:パッチに先行して回避策を提供”Palo Alto Warns of Zero-Day Bug in Firewalls Using GlobalProtect Portal VPN
2021/11/10 TheHackerNews — Palo Alto Networks の GlobalProtect VPN における、新たなゼロデイ脆弱性が公開された。この脆弱性を悪用すると、認証されていないネットワークベースの攻撃者が、感染したデバイス上で root ユーザー権限で、任意のコードを実行することが可能となる。この、CVE-2021-3064 (CVSS:9.8) として追跡されているセキュリティ上の弱点は、PAN-OS 8.1.17 より前の PAN-OS 8.1x に影響する。マサチューセッツ州のサイバーセ・キュリティ企業である Randori が、この問題を発見/報告している。
Continue reading “Palo Alto の GlobalProtect VPN で深刻なゼロデイ脆弱性が発見された”Researcher Details Vulnerabilities Found in AWS API Gateway
2021/11/10 DarkReading — Black Hat Europe 2021:London:Web 研究者の Daniel Thatcher は、文字と文字の間にスペースを入れ、ランダムな文字を数個入れるだけで、Amazon API Gateway に送信される HTTP ヘッダーを変更できた。AWS API Gateway は、開発者が Web 環境で API を記述/管理/保護するためのマネージド・サービスとして人気を得ている。
Continue reading “Black Hat Europe:AWS API Gateway を回避する脆弱性が公開された”TeamTNT hackers target your poorly configured Docker servers
2021/11/09 BleepingComputer — 先月からハッキング・グループ TeamTNT が開始したキャンペーンで、設定の甘い Docker サーバーが積極的に狙われていることが判明した。TrendMicro の研究者たちの報告書によると、この脅威アクターの目的は、Monero 暗号のインストール、および、インターネットに公開されている脆弱な Docker インスタンスのスキャン、そして、コンテナからホストへのエスケープの実行によるメイン・ネットワークへのアクセスの3つである。
Continue reading “TeamTNT が狙い続ける Docker:脆弱なコンフィグレーションは禁物だ”Oracle Adds Free Security Services to Public Cloud
2021/11/09 SecurityBoulevard — 今日、Oracle Cloud Infrastructure (OCI) プラットフォームに4つの無料サービスが追加され、クラウド・セキュリティに関する、同社の懸念への対応が進められた。Oracle Cloud Infrastructure Vulnerability Scanning Service (OCI VSS) は、パッチが適用されていない脆弱性や、開放されたポートを特定するための無料サービスであり、OCI 上に展開されたアプリケーションのセキュリティ状態を監視する、無料サービスである Cloud Guard と統合される。
Continue reading “Oracle Cloud に無償のセキュリティ・サービスが提供される理由は?”Microsoft November 2021 Patch Tuesday fixes 6 zero-days, 55 flaws
2021/11/09 BleepingComputer — 今日の Microsoft November 2021 Patch Tuesday により、6件のゼロデイ脆弱性うぃ含む、合計で 55件の脆弱性が修正された。積極的に悪用されている脆弱性は、Microsoft Exchange と Excel に関連するものであり、Exchange のゼロデイは Tianfu ハッキング・コンテストでも使用されていた。
Continue reading “Microsoft 2021-11 月例アップデートは6件のゼロデイと 55件の脆弱性に対応”Experts Detail Malicious Code Dropped Using ManageEngine ADSelfService Exploit
2021/11/08 TheHackerNews — Zoho ManageEngine ADSelfService Plus における、セルフサービス・パスワード管理およびシングル・サインオン (SSO) のソリューションだが、先日にパッチが適用された深刻な脆弱性を悪用され、テクノロジー/防衛/ヘルスケア/エネルギー/教育などの業界の、少なくとも9組織が不正な侵入を許してしまった。
Continue reading “CISA/FBI 警告:Zoho ManageEngine ADSelfService の脆弱性で重要産業に被害”Sitecore XP RCE flaw patched last month now actively exploited
2021/11/08 BleepingComputer — Australian Cyber Security Center (ACSC) は、Sitecore Experience Platform (Sitecore XP) におけるリモートコード実行の脆弱性 CVE-2021-42237 が、Web 管理者に対して積極的に悪用されていると警告している。
Continue reading “Sitecore XP の RCE 脆弱性の悪用:Silverlight への対応が原因”Two NPM Packages With 22 Million Weekly Downloads Found Backdoored
2021/11/07 TheHackerNews — オープンソース・ソフトウェアのリポジトリを標的とした、新たなサプライチェーン攻撃が発生した。毎週の累積ダウンロード数が、約2,200万にも上る人気の NPM パッケージ2つが、開発者のアカウントへの不正アクセスにより、悪意のコードで侵害されていたことが判明した。
Continue reading “Node.js NPM パッケージにバックドア:2200万回/週も DL される人気のライブラリ”White hat hackers earn over $1 Million at Pwn2Own Austin 2021
2021/11/06 SecurityAffairs — Trend Micro の Zero Day Initiative が主催するハッキングコンテスト Pwn2Own Austin 2021 が終了し、参加者は 61件のゼロデイ・エクスプロイトを成功させ、合計 $1,081,250 を獲得した。参加者は、Canon/Cisco/HP/NETGEAR/Samsung/Sonos/TP-Link/Western Digital などの、NAS デバイス/携帯電話/プリンター/ルーター/スピーカーなど侵害を証明していった。
Continue reading “Pwn2Own Austin 2021 が終了:総額で1億円以上の報奨金が支払われた”Philips healthcare infomatics solution vulnerable to SQL injection
2021/11/05 BleepingComputer — 医療記録ソリューションおよび医療管理システムとして、数百の病院で使用されている Philips Tasy EMR に、2つの深刻な SQL インジェクションの脆弱性が存在している。これらの脆弱性は、CVE-2021-39375 および CVE-2021-39376 として追跡されており、CVSS v3 の深刻度スコアはともに 8.8 となっている。
Continue reading “Philips Tasy EMR ヘルスケアに深刻な SQL インジェクションの脆弱性”Mozilla Thunderbird 91.3 released to fix high impact flaws
2021/11/05 BleepingComputer — Mozilla は Thunderbird 91.3 をリリースし、サービス拒否/発信元の偽装/セキュリティ・ポリシー迂回/任意のコード実行などの、複数の深刻な脆弱性を修正した。新たに発見された脆弱性の大半は、特別に細工された Web サイトを閲覧することで発動するため、比較的容易に悪用することが可能となる。
Continue reading “Thunderbird 91.3 がリリース:Win 10 Cloud Clipboard に関連する深刻な脆弱性が FIX”Critical RCE Vulnerability Reported in Linux Kernel’s TIPC Module
2021/11/04 TheHackerNews — サイバー・セキュリティ企業の研究者たちが、Linux カーネルの Transparent Inter Process Communication (TIPC) モジュールにセキュリティ上の欠陥があることを明らかにした。この欠陥は、ローカルおよびリモートの両方から悪用され、カーネル内での任意のコード実行や、脆弱化されたマシンの制御を許す可能性がある。
Continue reading “Linux カーネル TIPC における深刻な RCE 脆弱性が Ver 5.15 で FIX”Cisco fixes hard-coded credentials and default SSH key issues
2021/11/04 BleepingComputer — Cisco が公表したセキュリティ・アップデートにより、ハードコードされた認証情報やデフォルトの SSH キーを使って認証のない攻撃者がログインし、パッチが適用されていないデバイスを乗っ取るという、深刻な脆弱性が FIX した。また、CISA は Cisco のアップデートを確認し、システム乗っ取りを阻止するアップデートを適用するよう、ユーザーや管理者に対して推奨している。
Continue reading “Cisco が深刻な脆弱性を FIX:認証情報ハードコードと SSH key の再利用”CISA shares a catalog of 306 actively exploited vulnerabilities
2021/11/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている 306件の脆弱性のカタログを公開し、それぞれの連邦政府機関に対して、一定の期限内に対処するよう命じる運用指令を発出した。この指令は、連邦政府の情報システムに存在する、すべてのソフトウェアおよびハードウェアを対象としており、そこには、連邦政府の施設内で管理されているもの、および、連邦政府に代わって第三者がホストされているものがある。
Continue reading “CISA が 306件の脆弱性カタログを発行:政府およびインフラに対する悪用を阻止する”
IoT OT Security News 
You must be logged in to post a comment.