CISA: Vulnerability in Delta Electronics ICS Software Exploited in Attacks
2022/08/26 SecurityWeek — Delta Electronics の産業用オートメーション・ソフトウェアに影響を及ぼす脆弱性が攻撃に悪用されているため、Cybersecurity and Infrastructure Security Agency (CISA) から各組織に対して早急な対処が要求されている。火曜日に CISA は、10件のセキュリティ欠陥を Known Exploited Vulnerabilities Catalog (KEV) に追加し、9月15日までに対処するよう、連邦政府機関に指示した。
Continue reading “CISA 警告 22/08/25:Delta/Apache/Grafana/Apple など 10件が KEV リストに追加”Oracle Releases 520 New Security Patches With April 2022 CPU
2022/04/20 SecurityWeek — 2022年4月19日に Oracle は、April 2022 Critical Patch Update (CPU) をリリースし、認証なしでリモートから悪用できる脆弱性である約 300件を含む、合計で 520件のセキュリティ修正に対処した。一連のパッチのうち約 75件は Critical と評価され、その中の 3件は CVSS 値が 10 であり、また、40件以上は CVSS 値 8〜9 となっている。
Continue reading “Oracle の April 2022 Critical Patch Update:520 件の脆弱性に対応”SpringShell attacks target about one in six vulnerable orgs
2022/04/05 BleepingComputer — あるサイバー・セキュリティ企業の統計によると、ゼロデイ脆弱性 Spring4Shell の影響を受ける世界中の組織の約6社に1社は、すでに脅威者に狙われていることが判明した。この、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2022-22965 の、エクスプロイト・コードが公開されてから4日間で、悪用の試みが行われているようだ。テレメトリ・データを基にレポートをまとめた Check Point によると、この週末だけで 37,000件の Spring4Shell 攻撃が検出されたとのことだ。
Continue reading “SpringShell 問題を抱える組織と脅威アクターたち:すでに6社に1社がターゲットに”New Spring Java framework zero-day allows remote code execution
2022/03/30 BleepingComputer — Framework Spring Core の新たなゼロデイ脆弱性 Spring4Shell が公開され、それを利用するアプリケーション上で、未認証のリモートコード実行が可能になることが明らかにされた。Spring は、エンタープライズ・レベルの機能を持つ Java アプリケーションを、迅速かつ容易に開発できるようにするため、ソフトウェア開発者にとって極めて人気の高いアプリケーション・フレームワークである。それらのアプリケーションは、必要な依存関係をすべて備えたスタンドアロン・パッケージとして、Apache Tomcat などのサーバーにディプロイできる。
Continue reading “Spring Java Framework のゼロデイ脆弱性 CVE-2022-22963:RCE 防御のための緩和策”
IoT OT Security News 