Tag: Automation

Beyond CVE:複数のデータソース/自動化ツール/人間の専門知識を統合する戦略とは?

Beyond CVE: Building a Complete Vulnerability Intelligence Strategy

2025/07/09 DeepakGupta — 従来からの CVE 追跡には、膨大な数の重大な脆弱性を見逃す可能性がある。つまり、CVE データベースのみに依存するセキュリティ・チームは、危険な盲点に直面する。このガイドは、現実世界の脅威から組織を保護するための、包括的な脆弱性インテリジェンス戦略の構築方法を説明するものだ。

あるチームが、本番システム上で重大な脆弱性を発見した。CVE データベースを調査しても情報が得られず、ベンダーのアドバイザリを確認しても見つからなかった。それから3週間後に、研究者が把握したのは、その脆弱性は数か月前に GitHub アドバイザリで公開されていたが、CVE 番号が付与されていなかったという事実である。

このような状況は、多くのセキュリティ専門家が認識している以上に発生している。CVE システムは基盤的な仕組みではあるが、現代のセキュリティ・チームにとって必要な、脆弱性インテリジェンスのごく一部しか提供できない。

Continue reading “Beyond CVE:複数のデータソース/自動化ツール/人間の専門知識を統合する戦略とは?”

VMware Aria Automation の脆弱性 CVE-2024-22280 が FIX:直ちにアップデートを!

VMware Patches Critical SQL-Injection Flaw in Aria Automation

2024/07/10 SecurityWeek — 7月22日に Broadcom 傘下の VMware がリリースしたのは、同社の Aria Automation 製品に存在する SQL インジェクションの脆弱性 CVE-2024-22280 (CVSS:8.5) に対するパッチである。この脆弱性の悪用に成功した認証された攻撃者は、データベースを操作する可能性があると、VMware は警告している。

Continue reading “VMware Aria Automation の脆弱性 CVE-2024-22280 が FIX:直ちにアップデートを!”

Moxa の鉄道用デバイスに影響をおよぼす 60件の脆弱性

Flaws in Moxa Railway Devices Could Allow Hackers to Cause Disruptions

2021/09/02 SecurityWeek — 台湾の産業用ネットワーク/オートメーション企業である Moxa が製造する、鉄道向けの無線通信デバイスには、60件近くの脆弱性が存在する。今週に、Atos 傘下のサイバーセキュリティ・コンサルティング会社である SEC Consult は、同社の研究者が Moxa デバイスに、新たに2つの脆弱性を発見したほか、数十の欠陥をもたらす古いサードパーティ製ソフトウェア・コンポーネント群を発見した。

Continue reading “Moxa の鉄道用デバイスに影響をおよぼす 60件の脆弱性”

CODESYS 産業用自動化ソフトウェアで 10件の深刻な脆弱性が見つかる

10 Critical Flaws Found in CODESYS Industrial Automation Software

2021/06/04 TheHackerNews — 木曜日のこと、サイバー・セキュリティの研究者たちが、オートメーション・ソフトウェア CODESYS に存在する 10件もの深刻な脆弱性を公開した。この脆弱性の悪用により、Programmable Logic Controllers (PLC) 上でリモート・コードが実行される可能性が生じる。

Continue reading “CODESYS 産業用自動化ソフトウェアで 10件の深刻な脆弱性が見つかる”