30% of customer-facing APIs are completely unprotected
2024/10/08 HelpNetSecurity — ユーザー向け API の 70% は HTTPS により保護されているが、残りの 30%は保護されていないと、F5 が指摘している。これまでの10年間における、セキュアな Web 通信の推進により、いまでは Web ページの 90% が、HTTPS 経由でアクセスされ用になってきたが、API に関しては対照的な状況にあるとも言える。
Continue reading “ユーザー向け API の保護:HTTPS を使わない 30% の接続という現状”CVE-2024-20432 (CVSS 9.9): Cisco Nexus Dashboard Fabric Controller Exposed to RCE
2024/10/02 SecurityOnline — Cisco が発表したのは、Nexus Dashboard Fabric Controller (NDFC) に存在する深刻な脆弱性 CVE-2024-20432 (CVSS:9.9) に対するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、認証された低権限のリモート攻撃者は、標的デバイス上においてネットワーク管理者権限を用いて、任意のコマンドを実行する可能性を手にする。
Continue reading “Cisco NDFC の深刻な脆弱性 CVE-2024-20432 (CVSS 9.9) が FIX:ただちにパッチを!”Proxmox Virtual Environment and Mail Gateway Exposed to Critical API Vulnerability
2024/09/25 SecurityOnline — Proxmox の Virtual Environment および Mail Gateway に、深刻な脆弱性 CVE-2024-21545 (CVSS:8.2) が存在することが、Snyk Security Labs により発見された。この脆弱性が悪用されると、機密ファイルへの不正アクセスが可能となり、システム全体が侵害される恐れが生じる。この脆弱性は、API レスポンス処理における不十分な保護対策に起因するものであり、特定の特権を持つ攻撃者に対して、任意のホスト・ファイルのダウンロードを許すとされる。
Continue reading “Proxmox VE/MG の深刻な API 脆弱性 CVE-2024-21545 が FIX:機密データの漏えいの恐れ”Versa Networks Exposes Critical API Vulnerability in Versa Director (CVE-2024-45229)
2024/09/20 SecurityOnline — Versa Networks が発表したのは、同社の Versa Director で発見された脆弱性 CVE-2024-45229 (CVSS:6.6) に関するセキュリティ勧告である。この脆弱性の悪用により、機密性の高いユーザー認証トークンが漏洩する可能性があり、企業ネットワークが危険にさらされる。
Continue reading “Versa Director の重大な API 脆弱性 CVE-2024-45229 が FIX:直ちにパッチ適用を!”PoC Exploit Releases for Windows Elevation of Privilege Vulnerability CVE-2024-26230
2024/09/08 SecurityOnline — Windows Telephony サービスに存在する、パッチ適用済みの権限昇格の脆弱性 CVE-2024-26230 (CVSS:7.8) に対する、技術的な詳細と概念実証 PoC エクスプロイトを、セキュリティ研究者が公開した。この Telephony サービスの、use-after-free の脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で SYSTEM 権限を取得できるようになる。
Continue reading “Windows Telephony の権限昇格の脆弱性 CVE-2024-26230:PoC が提供される”Researchers Identify Over 20 Supply Chain Vulnerabilities in MLOps Platforms
2024/08/26 TheHackerNews — MLOps プラットフォーム群をターゲットに悪用される可能性のある 20以上の脆弱性が、サイバー・セキュリティ研究者たちにより発見された。それが警告するのは、機械学習 (ML:machine learning) ソフトウェアのサプライチェーンにおける、セキュリティ・リスクの存在である。これらの脆弱性は、固有の欠陥と実装ベースの欠陥が含まれるが、任意のコード実行から悪意のデータセットのロードにいたるまでの、深刻な結果をもたらす可能性が生じている。
Continue reading “MLOps 群に存在する 20件以上の脆弱性:サプライチェーン攻撃の可能性を検証する – JFrog”Thousands of Oracle NetSuite E-Commerce Sites Expose Sensitive Customer Data
2024/08/17 DarkReading — Oracle NetSuite の ERP (enterprise resource planning) プラットフォーム SuiteCommerce で発見された、数千の Web サイトに影響を及ぼす広範なミスコンフィグレーションにより、機密性の高い顧客データが不正アクセスの危機に晒されている。この問題を明らかにしたセキュリティ会社の AppOmni は、eコマースをサポートするために NetSuite を使用している多くの企業が、CRT (Custom Record Type) に対するアクセス制御のミスコンフィグにより、顧客データへの不正アクセスを許していると指摘している。これらの CRT には、個人の住所や電話番号などの重要なデータが保存されており、サイバー犯罪者にとって格好の標的になっている。
Continue reading “Oracle NetSuite SuiteCommerce のミスコンフィグ:数千サイトの顧客データが危険に晒される”CVE-2024-37084 (CVSS 9.8): Remote code execution in Spring Cloud Data Flow
2024/07/25 SecurityOnline — Cloud Foundry と Kubernetes 環境でマイクロサービス・ベースとして使用される、ストリーミング/バッチデータの処理プラットフォーム Spring Cloud Data Flow の、脆弱性 CVE-2024-37084 (CVSS:9.8) に関するセキュリティ・アドバイザリが公開された。
Continue reading “Spring Cloud Data Flow の脆弱性 CVE-2024-37084 (CVSS:9.8) が FIX:直ちにアップデートを!”Critical Vulnerability in Windows Hello for Business Discovered by Researcher
2024/07/24 SecurityOnline — Microsoft の Windows Hello for Business (WHfB) 認証システムに存在する深刻な脆弱性を、研究者である Yehuda Smirnov が発見した。これまで、無敵と考えられていたバイオメトリック・セキュリティの信頼性に対して、彼の発見は疑問を投げかけるものだ。WHfB とは、2016年の時点で Windows 10 の商用/企業バージョンに導入されたものであり、フィッシング攻撃に対する防波堤として設計されている。このシステムは、コンピュータの TPM (Trusted Platform Module) に埋め込まれた暗号キーを採用し、生体認証または暗証番号により起動するものだ。しかし、Accenture の倫理的ハッカーで構成される Red Team の一員である Yehuda Smirnov が、認証要求のパラメーターを変更することで、この防御の回避が可能になることを発見した。
Continue reading “Windows Hello for Business に脆弱性:導入方法の弱点を突く PoC が公開”Docker Users Beware: CVE-2024-41110 (CVSS 10) Could Lead to System Takeover
2024/07/23 SecurityOnline — Docker が発表したセキュリティ・アドバイザリは、Docker Engine の特定のバージョンに影響を及ぼす重大な脆弱性に関するものだ。この脆弱性 CVE-2024-41110 (CVSS:10) の悪用に成功した攻撃者は、特定の状況下で認証プラグイン (AuthZ) のバイパスを可能とし、権限昇格などの不正なアクションを実施する機会を得る。基本的に、この脆弱性が悪用される可能性は低いが、影響は深刻と思われるため、Docker ユーザーは注意を払うべきである。
Continue reading “Docker に深刻な脆弱性 CVE-2024-41110 (CVSS:10) :システム乗っ取りの恐れ”Verizon to pay $16 million in TracFone data breach settlement
2024/07/23 BleepingComputer — Verizon Communications は、完全子会社である TracFone Wireless が 2021年の買収後に被った3件のデータ漏洩に対して、$1.6M の和解金を支払うことで、米連邦通信委員会 (FCC:Federal Communications Commission) と合意した。電気通信サービス・プロバイダーである TracFone は、Total by Verizon Wireless/Straight Talk/Walmart Family Mobile などを介してサービスを提供する企業である。
Continue reading “Verizon が $1.6 Million の和解金に合意:TracFone のデータ流出問題”Critical Magento Flaw Exploited: CosmicSting (CVE-2024-34102) Strikes Global Brands
2024/07/15 SecurityOnline — Adobe Commerce と Magento を用いるストアへの、深刻な脅威である脆弱性 CVE-2024-34102 (別名:CosmicSting) は、現在も活発に悪用され続けている。セキュリティ企業 Sansec の新たな調査では、攻撃の急増が明らかになり、1時間あたり 3~5件のペースでオンラインストアが侵害されているとのことだ。その被害者には、国際的なブランドも含まれているようだ。
Continue reading “脆弱性 CosmicSting CVE-2024-34102:1時間に 3~5件のペースで侵害される Magento ストア”RCE Vulnerabilities in Microsoft SharePoint Server: PoC Exploit Code Published
2024/07/10 SecurityOnline — Microsoft SharePoint Server に存在する、3つの脆弱性 (CVE-2024-38023/CVE-2024-38024/CVE-2024-38094) に対する PoC エクスプロイトが、セキュリティ研究者である Janggggg により公開された。現時点で、詳細な技術情報は開示されていないが、これらの脆弱性に関連する潜在的なリスクは、提供された PoC エクスプロイト・コードにより十分に証明される。これらの脆弱性は、すべて RCE の脆弱性に分類され、特権昇格された攻撃者は、影響を受けるシステムを乗っ取る可能性を手にする。
Continue reading “Microsoft SharePoint Server に3つの脆弱性: RCE の PoCも公開”Hackers abused API to verify millions of Authy MFA phone numbers
2024/07/03 BleepingComputer — Twilio が認めたのは、数百万人の Authy 多要素認証ユーザーの電話番号を確認できる脅威アクターたちが、SMS フィッシングや SIM スワッピングなどの攻撃を仕掛けてくる可能性があることだ。Authy は、MFA をサポートしている Web サイトにおいて、多要素認証コードを生成するモバイル・アプリだが、その API エンドポイントの安全性が欠如していた。2024年6月下旬に、ShinyHunters という脅威アクターが流出させた CSV ファイルには、Authy サービスに登録された 3,300万件の電話番号を含まれていた。
Continue reading “Twilio Authy の API に脆弱性:3,300万件の電話番号を含むユーザー情報が流出”CVE-2024-36401 (CVSS 9.8): Urgent Patch Needed for GeoServer RCE Vulnerability
2024/07/02 SecurityOnline — 地理空間データを管理/共有するための、OSS プラットフォームとして広く利用されているGeoServer に、深刻な脆弱性 CVE-2024-36401 (CVSS:9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるサーバ上で任意のコード実行が可能となり、機密性の高い地図や位置情報が危険にさらされる。
Continue reading “GeoServer の脆弱性 CVE-2024-36401 (CVSS 9.8) が FIX:RCE の恐れ”ProxyLogon & ProxyShell Vulnerabilities Back: Gov’t Emails Breached
2024/07/02 SecurityOnline — 悪名高い脆弱性である ProxyLogon と ProxyShell だが、 Microsoft Exchange サーバにおける大混乱を引き起こしてから、約3年が経過している。しかし、最近になって、これらの脆弱性を悪用してイニシャル・アクセスを行い、機密通信を盗聴する可能性のあるサーバが、Hunt Research Team により特定された。この新たな活動は、アジア/ヨーロッパ/南米などの、複数の地域の政府機関に影響を及ぼしている。
Continue reading “ProxyLogon/ProxyShell の脆弱性が復活:政府機関の電子メールが侵害される”SEOPress Plugin Alert: CVE-2024-5488 Flaw Exposes 300K Sites
2024/06/25 SecurityOnline — 300,000 万以上のアクティブなインストールを誇る WordPress プラグイン SEOPress に、脆弱性 CVE-2024-5488 (CVSS:8.1) が発見された。この脆弱性の悪用に成功した権限のない攻撃者は、認証をバイパスして機密データの操作を達成し、リモート・コード実行の可能性を手にする。
Continue reading “WordPress SEOPress Plugin の脆弱性 CVE-2024-5488 が FIX:30万のサイトに RCE 攻撃に可能性”Bludit CMS Faces Critical Security Vulnerabilities: RCE and More, No Patch Available
2024/06/24 SecurityOnline — 多数の Web サイトで使用されている Bludit の5つの深刻な脆弱性が、先日に Redguard のサイバー・セキュリティ研究者 Andreas Pfefferle により発見された。人気の OSS フラットファイル CMS で発生した、これらの脆弱性のうち2つは特に深刻であり、悪用に成功した攻撃者がリモート・コードを実行することで、標的とする Web サイトの制御が完全に奪われる可能性が生じる。
Continue reading “Bludit CMS に深刻な RCEなどの脆弱性:PoC の提供と緩和策について”Critical RCE Vulnerability Discovered in Ollama AI Infrastructure Tool
2024/06/24 TheHackerNews — オープンソースの AI インフラ・プラットフォーム Ollama に存在する、リモート・コード実行の脆弱性 CVE-2024-37032 に関する詳細情報が、クラウド・セキュリティ企業 Wiz により公開された。この Wiz が Probllama と命名する脆弱性は、2024年5月5日に情報が開示され、その後の 5月7日にリリースされた Ollama 0.1.34 で対処されている。
Continue reading “AI プラットフォーム Ollama に脆弱性 CVE-2024-37032:リモート・コード実行の恐れ”CVE-2024-28397: js2py Vulnerability Exposes Millions of Python Users to RCE
2024/06/21 SecurityOnline — 月間のダウンロード数が 100万を超える、Python ライブラリjs2py に存在する脆弱性 CVE-2024-28397 (CVSS:8.8) により、無数の Web スクレイパーやアプリケーションが、RCE (remote code execution) 攻撃にさらされる可能性が生じている。この脆弱性の悪用に成功した攻撃者は、JavaScript のサンドボックスを抜け出し、基盤となるシステム上で任意のコマンドを実行することが可能になるという。
Continue reading “Python ライブラリ js2py の脆弱性 CVE-2024-28397:PoC エクスプロイトと技術的詳細が公開”AWS Under Siege: Attackers Target Vaults, Buckets, and Secrets in Widespread Campaign
2024/06/19 SecurityOnline — Amazon Web Services (AWS) 環境を標的とするキャンペーンは、クラウド・リソースの侵害を目的とした活動の、新たな流れを浮き彫りにしている。この DataDog Security Labs が発見したキャンペーンにおいて、攻撃者が採用する多方面からのアプローチは、Secrets Manager/S3 Bucket からと、これまで未開拓であった S3 Glacier vaults からの、データの抽出と流出に焦点を当てたものとなっている。
Continue reading “AWS 環境を狙うキャンペーン:Secrets Manager/S3 Bucket に加えて Glacier vault も標的に”CVE-2024-22263 Flaw in Spring Cloud Data Flow Could Lead to Server Takeover
2024/05/29 SecurityOnline — Cloud Foundry および Kubernetes 環境において、マイクロ・サービス・ベースのストリーミング/バッチ・データ処理に広く使用されている、Spring Cloud Data Flow フレームワーク に脆弱性 CVE-2024-22263 が発見された。この脆弱性は深刻度が高いとされており、攻撃者に、任意のファイル書き込みを許し、深刻なサーバ侵害につながる恐れがある。
Continue reading “Spring Cloud の脆弱性 CVE-2024-22263 が FIX:サーバ乗っ取りが生じる恐れ”Dell API abused to steal 49 million customer records in data breach
2024/05/10 BleepingComputer — 先日に発生した Dell におけるデータ流出の背後にいる脅威アクターは、自身で作った偽の会社からアクセスした Partner Portal API を介して、4900万人分の顧客情報をスクレイピングしたことを明らかにした。昨日に BleepingComputer が報じたのは、データ侵害により個人データが盗まれたことを警告する通知を、Dell が顧客に送り始めたことだ。このインシデントで流出したデータには、保証情報/サービスタグ/顧客名/設置場所/顧客番号/注文番号などが含まれていたという。
Continue reading “Dell API への侵害:4900万人分の顧客情報が容易に流出してしまった”New BIG-IP Next Central Manager bugs allow device takeover
2024/05/08 BleepingComputer — F5 の BIG-IP Next Central Manager に存在する、2件の脆弱性が修正された。この脆弱性の悪用に成功した攻撃者は、管理者権限を取得し、管理対象資産に不正な隠しアカウントを作成できるという。管理者は Next Central Manager を使用することによって、統合管理ユーザー・インターフェイスを介して、オンプレミス/クラウドの BIG-IP Next インスタンス/サービスを制御できるようになる。
Continue reading “F5 BIG-IP の脆弱性 CVE-2024-21793:アップデートと PoC が提供された”CVE-2024-32114: High-Severity Vulnerability Exposed in Apache ActiveMQ
2024/05/02 SecurityOnline — Apache ActiveMQ は、最も人気のある Open-Source/Multi-Protocol/Java-based のメッセージ・ブローカーとして広く知られており、JavaScript/C/C++/Python/.Net などのプログラミング言語と、多様なクライアントソフトウェアとの間の通信を容易にする。さらに、AMQP のような標準プロトコルをサポートすることで、マルチ・プラットフォーム・アプリケーションを統合する際の、幅広い互換性と柔軟性を確保している。しかしながら、バージョン 6.x で発見された、深刻度の高いセキュリティ脆弱性 CVE-2024-32114 により、同プラットフォームのユーザーに重大なリスクが生じている。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2024-32114 が FIX:コンフィグ修正の緩和策も提供”Dropbox Discloses Breach of Digital Signature Service Affecting All Users
2024/05/02 TheHackerNews — 4月24日に Dropbox が明らかにしたのは、Dropbox Sign (旧 HelloSign) が正体不明の脅威アクターにより侵害され、電子署名製品の全ユーザーに関連するEメール/ユーザー名/一般的なアカウント設定などが不正アクセスを受けたことだ。同社は、米国証券取引委員会 (SEC) に提出した書類の中で、4月24日に不正アクセスに気づいたと述べている。なお、Dropbox は、2019年1月に HelloSign の買収計画を発表していた。
Continue reading “Dropbox Sign のデータ侵害:ユーザー情報への不正アクセスが発生”Critical Vulnerabilities in Popular Database Library Expose Millions of Applications to Attack
2024/04/23 SecurityOnline — 無数の Web アプリケーションとバックエンド・システムの基盤である、JavaScript データベース・ライブラリ node-mysql2 に複数の脆弱性が存在することが、セキュリティ研究者たちにより発見された。これらの脆弱性は、CVE-2024-21508/CVE-2024-21509/CVE-2024-21511 として追跡されており、あらゆる業界の組織に対して、広範な影響を及ぼす可能性がある。
Continue reading “node-mysql2 の脆弱性 CVE-2024-21508 などが FIX:PoC も公開!”CVE-2024-2796: Critical Vulnerability Discovered in Popular API Developer Portal
2024/04/21 SecurityOnline — API 開発者のためのポータルを、構築/管理するために広く使用されている Perforce Akana Community Manager Developer Portal に、重大な脆弱性 CVE-2024-2796 (CVSS:9.3) が、セキュリティ研究者である Jakob Antonsson により発見された。この脆弱性を悪用する攻撃者は、SSRF (server-side request forgery) 攻撃を引き起こす可能性を持つ。
Continue reading “Akana Community Manager Developer Portal の SSRF 脆弱性 CVE-2024-2796 が FIX:直ちにアップデートを!”Bots dominate internet activity, account for nearly half of all traffic
2024/04/18 HelpNetSecurity — 2023 年の全インターネット・トラフィックの、49.6% はボットによるものであり、前年比で 2%増加しているという。Thales の子会社である Imperva が 2013年に 自動トラフィック監視を開始して以来、この数字は最も高い水準となった。悪質なボットが生み出す Web トラフィックの割合は、5年連続で増加し続けており、2022年の 30.2% から 2023年の 32% へと増加し、人間であるユーザーからのトラフィックは 50.4% に減少した。Web サイト/API/アプリケーションなどへの、自動化されたトラフィックが引き起こす攻撃により、年間で数十億ドル (USD) 相当の損害が、ユーザー組織に発生している。
Continue reading “増加し続ける悪質なボット:全インターネット・トラフィックの約半数に到達 – Imperva”CVE-2024-1313: BOLA Flaw in Grafana Threatens Dashboard Integrity – Patch Immediately
2024/03/27 SecurityOnline — Grafana で、Broken Object Level Authorization (BOLA) の脆弱性 CVE-2024-1313 が発見された。したがって、このソフトウェアに依存して、重要なデータを可視化している組織には、早急にパッチを適用する必要性が生じている。この脆弱性は、Palo Alto Research の Ravid Mazon と Jay Chen により検出されたものであり、その悪用に成功した権限のないユーザーが、悪意を持ってスナップショットを削除できるため、ダッシュボードに混乱が生じ、データの整合性が毀損し、業務に支障が発生する可能性がある。
Continue reading “Grafana の脆弱性 CVE-2024-1313 が FIX:データ削除を防ぐために直ちにパッチを!”95% of companies face API security problems
2024/03/22 HelpNetSecurity — API が重要な役割を担っているにもかかわらず、ビジネスにおける意思決定者の大多数は、急増している企業のセキュリティ・リスクに対して無関心であることが、Fastly の調査で明らかになった。API (Application Programming Interfaces) は、長い間にわたってデジタル経済の基盤として認識されてきた。最近の統計によると、全インターネット・トラフィックの大半が API を経由していることが分かる。
Continue reading “企業の 95%が API のセキュリティ問題に直面している – Fastly 調査”Over 12 million auth secrets and keys leaked on GitHub in 2023
2024/03/11 BleepingComputer — 2023年に GitHub ユーザーが、誤って公開してしまった認証や機密のシークレットは 1280万件に達し、それらは 300万以上の公開リポジトリ上に存在している。GitGuardian のサイバー・セキュリティ専門家たちによると、シークレットを暴露してしまった人々に 180万通の無料メール・アラートを送ったが、連絡を受けた人たちのうち、誤りを修正するために迅速に行動したのは、僅か 1.8% に過ぎなかったという。
Continue reading “2023年の GitHub:全体で 1200万件のシークレットが漏えいしてしまった”The importance of a good API security strategy
2024/02/21 HelpNetSecurity — Cloudflare 2024 API Security & Management Report によると、今年の API リクエストはグローバルにおけるインターネット・トラフィックの 57% を占めることになり、現代のソフトウェア開発における極めて重要な要素としての、API の存在が裏付けられている。しかし、API の採用が毎年のように増加するにつれて、関連するセキュリティ上の課題も増加している。過去の2年間において、60% のユーザー組織が、API に関連する侵害を少なくとも1回は経験している。これは憂慮すべき傾向であり、対処すべき問題である。
Continue reading “API セキュリティ戦略を見直す:魅力的な侵入経路を脅威アクターに提供しないために”Critical Flaws Uncovered in OpenObserve: A Deep Dive into CVE-2024-25106 & CVE-2024-24830
2024/02/12 SecurityOnline — クラウド・ネイティブの観測プラットフォームである OpenObserve は、ログ/メトリクス/トレース/アナリティクス/RUM (Real User Monitoring) などに関する、詳細を把握するための機能を搭載している。さらに OpenObserve は、PB (ペタバイト) 規模での運用を想定して設計されており、データ観測の複雑なタスクを簡素化し、Elasticsearch に代わる使いやすいプラットフォームを提供している。近ごろ、その OpenObserve に、攻撃者に不正アクセスと権限昇格をゆるす可能性がある、2つの深刻な脆弱性 CVE-2024-25106/CVE-2024-24830 が発見された。
Continue reading “OpenObserve の脆弱性 CVE-2024-25106/CVE-2024-24830:不正アクセスと権限昇格が生じる恐れ”Critical Cisco bug exposes Expressway gateways to CSRF attacks
2024/02/07 BleepingComputer — Cisco Expressway シリーズ・コラボレーション・ゲートウェイに影響を及ぼす、複数の脆弱性に対してパッチが適用された。そのうちの2つは、深刻度が Critical と評価されるものであり、脆弱なデバイスがクロス・サイト・リクエスト・フォージェリ (CSRF) 攻撃にさらされる可能性がある。
Continue reading “Cisco Expressway の脆弱性 CVE-2024-20252/CVE-2024-20254 などが FIX:ただちにパッチを!”PoC Releases for Oracle WebLogic Server Servers RCE Flaw (CVE-2024-20931)
2024/02/07 SecurityOnline — 最近にパッチが適用された Oracle WebLogic Server の脆弱性 CVE-2024-20931 (CVSS:7.5) に対して、任意のコード実行を可能にする PoC エクスプロイト・コードが公開された。この脆弱性は、Oracle WebLogic Server の、特に T3/IIOP プロトコルに影響するものであり、新しいクラスのサイバー脅威に対する防御を強化することを目的とする、Oracle の 2024年1月の Patch Update で公開されたものだ。
Continue reading “Oracle WebLogic Server の RCE 脆弱性 CVE-2024-20931 が FIX:PoC も公開された”CVE-2024-23108 & CVE-2024-23109 (CVSS 10): Critical Command Injection Flaws in Fortinet FortiSIEM
2024/02/05 SecurityOnline — Fortinet の FortiSIEM supervisor に、2つの深刻な OS コマンド・インジェクションの脆弱性があるという警告が発せられている。脆弱性 CVE-2024-23108/CVE-2024-23109 は、リモートの認証されていない攻撃者による、特別に細工された API リクエストを介して、不正なコマンド実行にいたる恐れがあるものだ。これらの脆弱性の CVSS 値は 10.0 であり、深刻度 Critical と評価されているため、世界中の組織にとって重大な脅威になっている。
Continue reading “Fortinet FortiSIEM の脆弱性 CVE-2024-23108/CVE-2024-23109 が FIX:直ちにパッチを!”Check if you’re in Google Chrome’s third-party cookie phaseout test
2024/02/03 BleepingComputer — Google Chrome のサードパーティ Cookie の、段階的な廃止のテストが開始された。このテストは、ユーザーの約1%にあたる、約 3,000万人を対象に実施されるという。この記事では、自分がテストの対象に該当するかどうかを、確認する方法を紹介する。サードパーティ Cookie とは、ターゲット広告のために、さまざまな Web サイトでのユーザーの閲覧習慣を追跡するものだが、Google の Privacy Sandbox API へと、徐々に置き換えられている。Privacy Sandbox API とは、ユーザーのプライバシーを損なうことなく、ユーザーの興味に基づき、パーソナライズされた広告表示を行うことを目的としている。
Continue reading “Chrome サードパーティ Cookie の段階的な廃止が始まる:あなたはテストの対象?”Google Kubernetes Misconfig Lets Any Gmail Account Control Your Clusters
2024/01/24 TheHackerNews — Google Kubernetes Engine (GKE) に影響を与える脆弱性が、ybersecurity の研究者たちにより発見された。この脆弱性は、クラウド・セキュリティ企業 Orca によりコードネーム Sys:All と命名されており、現存する 250,000 ものアクティブな GKE クラスタに影響を与える可能性があると推定される。
Continue reading “GKE ミスコンフィグと脆弱性: 250,000 もの Kubernetes クラスタに影響”Researchers Release PoC Exploit for Windows XAML Diagnostics EoP Flaw
2024/01/14 SecurityOnline — Windows XAML Diagnostics に存在する、すでにパッチが公開された深刻な脆弱性 CVE-2023-36003 に対して、PoC エクスプロイト・コードが公開された。この脆弱性は、セキュリティ研究者である Michael Maltsev が、2023年7 月に Microsoft に報告したものだ。
Continue reading “Windows XAML Diagnostics の脆弱性 CVE-2023-36003:PoC エクスプロイトが公開”Google: Malware abusing API is standard token theft, not an API issue
2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する2つの情報窃盗マルウェア・オペレーション Lumma/Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。
Continue reading “Google API を介したトークン窃取:OAuth MultiLogin 問題は軽視されている?”Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts
2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。
Continue reading “OAuth エンドポイント MultiLogin:Google 認証クッキー復元の PoC もリリース”Atlassian Companion Update Now! PoC for CVE-2023-22524 Puts Businesses on High Alert
2023/12/18 SecurityOnline — Atlassian Confluence Data Center/Server でのファイル編集を拡張するためのオプションである、Atlassian Companion App デスクトップ・アプリケーションに、深刻な脆弱性が発見された。この脆弱性 CVE-2023-22524 (CVSS :9.6) は、最新のソフトウェアにおけるリモート・コード実行 (RCE) に関する、複雑な課題とリスクを浮き彫りにしている。
Continue reading “Atlassian Companion App の脆弱性 CVE-2023-22524:PoC エクスプロイトが登場”How Continuous Pen Testing Protects Web Apps from Emerging Threats
2023/11/29 BleepingComputer — いつでも、どこからでも、サービスや情報にアクセスしたいという要求が高まるにつれ、Web ベース・アプリケーションへの依存も深まっている。ビジネス戦略から消費者ニーズ、さらにはより広い社会的機能まで、最近では思いつく限りの、あらゆるものに対応するアプリケーションが存在する。しかし、残念なことに、最近の Web アプリケーションは、その性質と遍在性から、ハッカーに狙われやすくなっている。この記事では、脅威アクターが Web アプリを標的にする理由を説明し、最新の Web アプリを保護するための継続的なモニタリングの価値を強調していく。
Continue reading “ペンテストについて考える:新たな脅威から Web アプリケーションを保護するには?”MySQL Servers, Docker Hosts Infected With DDoS Malware
2023/11/14 SecurityWeek — MySQL サーバと Docker ホストをターゲットにする脅威アクターが、分散型サービス拒否 (DDoS) 攻撃をするマルウェアを仕込んでいると、AhnLab Security Emergency Response Center の研究者たちが警告している。AhnLab によると、Windows 上の MySQL を標的とする攻撃が、脆弱な MySQL サーバ が Ddostf に感染することで頻度を増しているという。Ddostf は、遅くとも 2016年から存在する、中国起源の DDoS 対応ボットネットである。
Continue reading “MySQL/Docker にホストされる DDoS マルウェア:Ddostf と OracleIV の動向に注意”Top 10 API Security Threats for Q3 2023
2023/11/14 SecurityWeek — 最新の “2023 Q3 API Threatstats” レポートから得られたのは、API の脆弱性の件数が急速に増加し、この成長のために応じた、新たな AP Iセキュリティ脅威 Top- 10 に対して、リアルタイムなデータ駆動型の編纂が必要だという知見である。API と Apps のセキュリティ企業である Wallarm のレポート (PDF) の大部分は、個々の脆弱性のカテゴリーについて、それらが実際に使用された事例を交えて論じている。たとえば、広く使用されている OAuth や SSO プロトコルの脆弱性が発見され、Cisco や Ivanti のような大手企業のシステムで潜在的なセキュリティ侵害が露呈しているといったケースに対応するものだ。それは、際立った特徴を持つものであり、脅威リストへの新しいアプローチでもある。
Continue reading “API Security Threats Top-10 の新たな動向:リアルタイムを目指す Wallarm”Python Malware Poses DDoS Threat Via Docker API Misconfiguration
2023/11/13 InfoSecurity — Docker Engine API の一般公開されたインスタンスを標的とする、新たなサイバー脅威が、セキュリティ研究者たちにより発見された。この OracleIV キャンペーンで、ミス・コンフィグレーションを悪用する攻撃者は、”oracleiv_latest “という名前のイメージからビルドされ、ELF (Executable and Linking Format) ファイルとしてコンパイルされる、 Python マルウェアを取り込んだ悪意の Docker コンテナをデプロイしている。この悪意のツールは、分散型サービス拒否 (DDoS) ボット・エージェントとして機能し、DoS 攻撃を行うための各種の攻撃手法を提示している。
Continue reading “Docker API のミス・コンフィグレーション:悪意の Docker コンテナ展開で悪用”Alert: ‘Effluence’ Backdoor Persists Despite Patching Atlassian Confluence Servers
2023/11/10 TheHackerNews — Effluence いうステルス性のバックドアを、サイバー・セキュリティ研究者たちが発見した。先日に公開された Atlassian Confluence Data Center/Server の脆弱性だが、その悪用に成功した攻撃者が、その後に Effluence を展開しているようだ。Aon の Incident Response Services に所属する Stroz Friedberg は、「このマルウェアは永続的なバックドアとして機能し、Confluence にパッチを適用しても修復されない」と、今週の初めに発表したレポートで述べている。
Continue reading “Atlassian Confluence の脆弱性:パッチを適用後も Effluence バックドアは生き続ける”Microsoft Temporarily Disables SketchUp Support After Discovery of 117 Vulnerabilities
2023/11/02 SecurityWeek — Microsoft 365 アプリケーションに、SketchUp (SKP) ファイルのサポートが追加された後に、117 件のユニークな脆弱性が発見されたと、Zscaler の ThreatLabz 調査チームが指摘している。Microsoft 365 の 3D コンポーネントの一部として、2022年6月に導入された SKP ファイル形式により、プレゼンテーションの作成とデータの視覚化において、多様な 3D ファイル形式の取り扱いが可能になった。この独自のファイル形式は、2000年から存在している。世界でもトップクラスの建築ソフトウェアである SketchUp は、そこに 3D モデルの作成に必要な情報を保存している。
Continue reading “Microsoft の SketchUp サポート:大量の脆弱性が発見され一時的に中止”Cloudflare DDoS protections ironically bypassed using Cloudflare
2023/09/30 BleepingComputer — Cloudflare のファイアウォール/DDoS 防御だが、クロステナントのセキュリティ制御におけるロジックの欠陥を悪用する、特定の攻撃プロセスによりバイパスされる可能性があるという。このバイパスにより、Cloudflare の顧客は大きな負担を強いられることになり、同社の保護システムの価値が損なわれる可能性が生じている。さらに悪いことに、この攻撃における唯一の条件は、ハッカーが Cloudflare の無料アカウントを作成することである。そのアカウントが、攻撃の一部として使用される。ただし、これらの欠陥を悪用する攻撃者にとっては、標的となる Web サーバの IP アドレスを知っていることが前提となる。
Continue reading “Cloudflare の DDoS プロテクション:Cloudflare の機能によりバイパスされてしまう”
IoT OT Security News 
You must be logged in to post a comment.