Cyber Attack – Page 9 – IoT OT Security News

a-blog cms の脆弱性 CVE-2025-31103：任意のファイル保存とスクリプト実行の恐れ

CVE-2025-31103: Zero-Day VulnerabilityCVE-2025-31103Discovered in a-blog cms, Act Now to Protect Your Web Server

2025/03/28 SecurityOnline — appleple が開発した Web コンテンツ管理システム a-blog cms に、深刻なセキュリティ脆弱性が発見された。日本の JPCERT/CC は、脆弱性 CVE-2025-31103 について、信頼されていないデータに対する不適切なデシリアライゼーションの欠陥だと強調している。この欠陥は、影響を受けるバージョンのソフトウェアを実行している Web サーバに、深刻なリスクをもたらす。

CoffeeLoader という最新のマルウェア・ローダーを発見：SmokeLoader との連携も疑われる

CoffeeLoader Malware Loader Linked to SmokeLoader Operations

2025/03/27 InfoSecurity — 新たに特定された CoffeeLoader というマルウェア・ローダーだが、エンドポイント・セキュリティ対策を回避しながら、第２段階のペイロードを展開することが確認されている。Zscaler ThreatLabz の研究者たちは、この 2024年9月に登場したマルウェアを追跡しており、SmokeLoader と組み合わせも確認しているという。

npm パッケージに仕込まれた情報窃取型マルウェア：暗号通貨関連の機密情報を流出？

Infostealer campaign compromises 10 npm packages, targets devs

2025/03/27 BleepingComputer — npm パッケージ 10個が改ざんされ、悪意のコードが仕込まれ、開発者のシステムから環境変数などの機密データが接種されていたことが、Sonatype の最新の調査により明らかになった。この攻撃キャンペーンは複数の暗号通貨関連パッケージを標的としており、その中には、週に数千回ダウンロードされる人気のパッケージ “country-currency-map” も含まれている。

CISA KEV 警告 25/03/27：Chromium Mojo の CVE-2025-2783 を登録

U.S. CISA adds Google Chromium Mojo flaw to its Known Exploited Vulnerabilities catalog

2025/03/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium Mojo のサンドボックス・エスケープ脆弱性 CVE-2025-2783 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Synapse Servers の脆弱性 CVE-2025-30355 が FIX：積極的な DoS 攻撃を観測

Synapse Servers at Risk: Zero-Day DoS in the Wild

2025/03/27 SecurityOnline — OSS の Matrix ホームサーバ実装である Synapse に、深刻なゼロデイ脆弱性が発見された。すでに、この脆弱性は悪用されており、サービス拒否状態が引き起こされる可能性が生じている。

CISA KEV 警告 25/03/26：6年前に発見された Sitecore CMS／XP の脆弱性を登録

CISA Flags Two Six-Year-Old Sitecore Flaws Amid Active Exploitation Evidence

2025/03/27 TheHackerNews — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、活発に悪用されているという証拠に基づき、Sitecore CMS および Experience Platform (XP) に影響を与える２つのセキュリティ脆弱性を、KEV (Known Exploited Vulnerabilities) カタログに追加した。これらの脆弱性は、６年前に発見されたものである。

Atlantis AIO という Credential Stuffing as a Service：140 のサイトに対応

New Atlantis AIO platform automates credential stuffing on 140 services

2025/03/26 BleepingComputer — Atlantis AIO という新たなサイバー犯罪プラットフォームは、電子メールサービス／電子商取引サイト／バンキング／VPN などの 140 のオンライン・プラットフォームに対して、自動化されたクレデンシャル・スタッフィング・サービスを提供している。具体的に言うと、Atlantis AIO にはプレ・コンフィグ・モジュールが備わっており、ブルートフォース攻撃／CAPTCHA の回避／アカウント回復プロセスなどを自動化することで、盗み出したクレデンシャルやアカウントから収益を得るサービスが提供される。

Chromium Mojo の脆弱性 CVE-2025-2783 が FIX：ロシア標的の攻撃で積極的に悪用

Google fixed the first actively exploited Chrome zero-day since the start of the year

2025/03/26 SecurityAffairs — Google が公表したのは、Windows 版 Chrome ブラウザに存在する、深刻度の高い out-of-band の脆弱性 CVE-2025-2783 に対処する修正のリリースである。この脆弱性は、ロシアの組織を標的とする攻撃で、積極的に悪用されていたという。

Oracle Cloud のアカウント情報窃取：ユーザーの証言と脆弱性 CVE-2021-35587 の悪用

Oracle customers confirm data stolen in alleged cloud breach is valid

2025/03/26 BleepingComputer — Oracle Cloud フェデレーション SSO ログイン・サーバの侵害と、600 万人分のアカウント・データの窃取について、同社は否定しているが、BleepingComputer が複数の企業に確認したところ、脅威アクターが共有した関連データ・サンプルは有効だと推定できる。

中国ハッカー Weaver Ant：アジアのテレコムへの４年超の不正アクセス

Chinese Hackers Breach Asian Telecom, Remain Undetected for Over 4 Years

2025/03/25 TheHackerNews — 中国の国家支援ハッカーにより４年以上にわたって、あるアジアの大手テレコムがシステム侵入の被害を受けていたことが、インシデント対応企業 Sygnia の最新レポートで明らかになった。Sygnia は、このインシデントを “Weaver Ant” という名称で追跡しており、きわめてステルス性が高く執拗な攻撃者だと述べている。なお、侵入を受けたテレコムの名称は公表されていない。

Raspberry Robin マルウェアの C2 ドメイン約 200件を特定：ロシアとの関係と EU 経由での拡散

Researchers Uncover ~200 Unique C2 Domains Linked to Raspberry Robin Access Broker

2025/03/25 TheHackerNews — Raspberry Robin マルウェアに関連する約 200のユニークな C2 (command-and-control) ドメインが、Silent Push の調査により発見された。Silent Push は、「Raspberry Robin (別名：Roshtyak／Storm-0856) は、複雑で進化し続ける脅威アクターであり、他の犯罪グループに対して初期アクセス・ブローカー (IAB：initial access broker) サービスを提供している。それらのグループの多くは、ロシアとつながりがある」と、 The Hacker News に共有したレポートで述べている。

Windows MMC の脆弱性 CVE-2025-26633 を悪用：Water Gamayun が展開するキャンペーンとは？

CVE-2025-26633: Water Gamayun Exploits Windows MMC in Active Zero-Day Campaign

2025/03/25 SecurityOnline — Windows の脆弱性 CVE-2025-26633 だが、Water Gamayun として知られるロシア由来の高度な脅威アクターにより積極的に悪用されているという。この脅威アクターは、EncryptHub や Larva-208 といった別名でも活動している。Trend Research が発表したのは、この攻撃者が MSC EvilTwin という手法を用いて、Windows の Microsoft Management Console (MMC) を悪用するキャンペーンに関する情報である。

Microsoft の .NET MAUI を悪用する脅威アクターたち：高機能をマルウェアを量産

Hackers Are Using Microsoft’s .NET MAUI to Spread Android Malware

2025/03/25 HackRead — Microsoft が新たに導入した .NET MAUI アプリ開発ツールを悪用するサイバー犯罪者が、クロス・プラットフォーム機能を備えた Android マルウェアを拡散していることを、McAfee Labs が明らかにした。

Oracle Cloud からの 600 万件のレコード窃取：CloudSEK が提示する証拠とは？

CloudSEK Disputes Oracle Over Data Breach Denial with New Evidence

2025/03/24 HackRead — Oracle Cloud のインフラに、大規模なデータ侵害が発生し、同社のサイバー・セキュリティが混乱に巻き込まれていという議論がある。先週に HackRead は、サイバー・セキュリティ企業 CloudSEK の調査結果に基づく記事を公開し、ある脅威アクターが Oracle Cloud から 600 万件のレコードを盗んだことを明らかにした。”rose87168″ という名前で特定されたハッカーは、主要な SSO エンドポイントを侵害し、SSO と LDAP の認証情報／OAuth2 キー／顧客テナント情報などの、機密データを流出させたと主張している。

Telegram のエクスプロイトに $4 million：ロシアのブローカー Operation Zero が提示

Zero-day broker Operation Zero offers up to $4 million for Telegram exploits

2025/03/22 SecurityAffairs — ロシアのゼロデイ・ブローカーである Operation Zero が、Telegram のエクスプロイトに対して、最大で $4 million の報酬を提示しているというニュースが、Tech Crunch により報じられた。このロシアの企業は、ワンクリック RCE に $500K／ゼロクリック RCE に $1.5M／デバイス全体を侵害するフルチェーン・エクスプロイトに $4 million を示している。この Operation Zero は、ロシア政府と国内の企業に対してのみ、エクスプロイトを販売している。

Microsoft Trusted Signing：マルウェアのコード署名での悪用が判明

Microsoft Trust Signing service abused to code-sign malware

2025/03/22 BleepingComputer — Microsoft の Trusted Signing プラットフォームを悪用するサイバー犯罪者たちが、有効期限が３日間のコード署名証明書を使って、マルウェアに署名していたことが明らかになった。コード署名証明書を悪用するマルウェアを、正規のソフトウェアに見せかける機会を、以前から攻撃者たちは窺っていた。なぜなら、通常はブロックされやすい未署名の実行可能ファイルと比べて、署名されたマルウェアはセキュリティ・フィルターを回避しやすく、また、疑わしいものとして警戒され難いという利点を持つからだ。

GitHub Actions の脆弱性 CVE-2025-30154／CVE-2025-30066：サプライチェーン攻撃の可能性を考える

Impact, Root Cause of GitHub Actions Supply Chain Hack Revealed

2025/03/21 SecurityWeek — GitHub Actions “tj-actions/changed-files” は、ファイルやディレクトリの変更を追跡するために、23,000 以上のリポジトリで積極的に使用されているアクションである。先週末のことだが、この GitHub Actions に発生した攻撃により、CI/CD シークレットをダンプしてログを作成するように設計された、悪意のスクリプトが実行されたことが判明した。

CheckPoint ZoneAlarm の古いドライバーの脆弱性：BYOVD キャンペーンでの悪用を確認

Cybercriminals Exploit CheckPoint Antivirus Driver in Malicious Campaign

2025/03/21 InfoSecurity — CheckPoint の ZoneAlarm ウイルス対策ソフトウェアのコンポーネントが、Windows のセキュリティ対策を迂回する悪意のキャンペーンで、脅威アクターたちにより悪用されている。3月20日のレポートで、新しい Bring Your Own Vulnerable Driver (BYOVD) 攻撃の詳細を公開したのは、オースティンを拠点とする Venak Security の創設者であり、セキュリティ研究者でもある Nima Bagheri である。

NAKIVO Backup & Replication の脆弱性 CVE-2024-48248：積極的な悪用を観測

NAKIVO Backup & Replication vulnerability exploited by attackers (CVE-2024-48248)

2025/03/21 HelpNetSecurity — あらゆる規模のユーザー組織に向けて、また、さまざまな MSP に向けて設計されている、バックアップ／ランサムウェア対策／災害復旧ソリューションである、NAKIVO Backup and Replication の脆弱性 CVE-2024-48248 が、積極的に悪用されている。

macOS のカーネル・メッセージング・システムの脆弱性 CVE-2024-54471 が FIX：悪用も観測

Researchers Reveal macOS Vulnerability Exposing Systsem Passwords

2025/03/21 gbhackers —macOS の深刻な脆弱性 CVE-2024-54471 について、最近の Noah Gregory の記事が取り上げている。すでに Apple は、修正を完了しており、macOS Sequoia 15.1／Sonoma 14.7.1／Ventura 13.7.1 として、最新のセキュリティ・アップデートを提供している。この脆弱性の悪用により、システム・パスワードが漏洩する可能性があるため、このアップデートは極めて重要である。

ServiceNow の古い脆弱性 CVE-2024-4879／5217／5178 が標的：データベース侵害の恐れ

New Attacks Exploit Year-Old ServiceNow Flaws – Israel Hit Hardest

2025/03/21 HackRead — ServiceNow で以前に公開された３つの脆弱性を狙う、悪意のある活動が大幅に増加していることを、脅威インテリジェンス企業 GreyNoise のセキュリティ研究者たちが警告している。ServiceNow は、ユーザー組織におけるデジタル・ワークフローの管理／自動化のためのクラウド・ベースのプラットフォームである。

Apache Tomcat の RCE の脆弱性 CVE-2025-24813：検出された悪用と問題点の整理

Tomcat RCE Vulnerability Exploited in the Wild – Mitigation Steps Outlined

2025/03/21 gbhackers — 先日から注目を集めている Apache Tomcat の脆弱性 CVE-2025-24813 は、認証を必要としないリモート・コード実行 (RCE) および、深刻な情報漏洩、悪意のコンテンツの挿入に悪用される可能性があるため、サイバー・セキュリティ専門家たちの間で、先日から懸念を引き起こしている。この脆弱性は、2025年3 月10日の時点で情報が公開され、パッチが提供されたが、脅威アクターたちによる脆弱なサーバの悪用の試みが、すでに発生している。

武器化された CAPTCHA に御用心：PowerShell の実行とマルウェアのデプロイ

Attackers Leverage Weaponized CAPTCHAs to Execute PowerShell and Deploy Malware

2025/03/21 gbhackers — 近ごろの高度なサイバー攻撃の急増の背景にあるのは、偽の CAPTCHA チャレンジを悪用してユーザーを騙す、脅威アクターたちの存在である。それにより、悪質な PowerShell コマンドを実行させ、マルウェア感染を引き起こしているという。HP Wolf Security Threat Insights Report for March 2025 が強調する、この戦術は、悪質な Web サイトへと潜在的な被害者を誘導し、検証手順を完了するように促すものである。

GitHub Actions の侵害：最初のターゲットとして狙われたのは Coinbase

Coinbase was primary target of recent GitHub Actions breaches

2025/03/21 BleepingComputer — 最近の GitHub Actions への連鎖型のサプライ・チェーン攻撃により、数百のリポジトリのシークレットが侵害されているが、その主要なターゲットは Coinbase であると、研究者たちが断定している。Palo Alto Unit 42 と Wiz の最新レポートによると、この綿密に計画された攻撃は、悪意のコードが reviewdog/action-setup@v1 GitHub Action に挿入されたときから始まっているという。この侵害の発生の方法は不明であるが、脅威アクターはアクションを変更して、CI/CD シークレットと認証トークンを、GitHub Actions ログにダンプした。

Cisco Smart Licensing Utility の積極的な悪用を観測：2024年9月の CVE-2024-20439／20440

Cisco Smart Licensing Utility Vulnerabilities Under Hacker Exploitation

2025/03/20 gbhackers — 最近の報告によると、Cisco Smart Licensing Utility の２つの深刻な脆弱性の、ハッカーたちによる積極的な悪用試行が観測されているようだ。それらの脆弱性は、2024年9月の時点で Cisco が公開した、CVE-2024-20439／CVE-2024-20440 である。１つ目の脆弱性は、静的な認証情報に関連する漏洩を生じ、２つ目の脆弱性は、過剰なログ記録に関連する漏洩を生じるという。

Windows Explorer の脆弱性 CVE-2025-24071 の悪用：NTLM ハッシュ漏洩と PoC のリリース

PoC Released: Windows Explorer CVE-2025-24071 Vulnerability Exposes NTLM Hashes

2025/03/19 SecurityOnline — Windows Explorer に発見されたセキュリティ脆弱性 CVE-2025-24071 (CVSS：7.5) は、RAR/ZIP アーカイブから特別に細工されたファイルを抽出する際に、NTLM ハッシュを漏洩させる可能性があるものだ。この脆弱性は、セキュリティ研究者である 0x6rss により報告された。

Windows ショートカット・ファイルの問題：11 のスパイ・グループが 2017年から積極的に悪用

11 Nation-State Hackers Exploit Unpatched Windows Flaw Since 2017

2025/03/19 HackRead — Windows で発見された新たなゼロデイ脆弱性だが、北朝鮮／中国／イラン／ロシアなどの、少なくとも 11 の APT グループにより、何年も前から積極的に悪用されているものだという。広範な攻撃の証拠は 2017年にまで遡るが、Microsoft はセキュリティ・パッチの発行を拒否し、サービス基準を満たしていないとしている。

CISA KEV 警告 25/03/19：Edimax／ NAKIVO／SAP の脆弱性３件を登録

CISA Warns of Three Actively Exploited Security Vulnerabilities in IoT, Backup, and Enterprise Systems

2025/03/19 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、３件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、サイバー・セキュリティ専門家とシステム管理者に対して緊急の対応を呼びかけている。これらの脆弱性は実際に悪用されており、深刻なリスクをユーザー組織にもたらしている。

CISA KEV 警告 25/03/18：Fortinet の CVE-2025-24472 と GitHub の CVE-2025-30066 を登録

Cybersecurity Alert: CISA Adds Fortinet and GitHub Action Vulnerabilities to Exploited List

2025/03/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、２つの深刻なセキュリティ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、実際に悪用されていることを示した。これらの脆弱性は、広く使用されている Fortinet の FortiOS／FortiProxy および、GitHub Action “tj-actions/changed-files” に影響を及ぼすものだ。

OpenAI の SSRF の脆弱性 CVE-2024-27564：広範な分野で積極的な悪用を観測

CVE-2024-27564: Attackers Exploit OpenAI Vulnerability in the Wild

2025/03/18 SecurityOnline — ChatGPT のサーバ・サイド・リクエストフォージェリ (SSRF) の脆弱性 CVE-2024-27564 だが、単一の悪意の IP からの 10,479 件を超える攻撃の試行が記録されており、サイバー犯罪者の重要なターゲットにされているようだ。Veriti の最新の調査によると、この欠陥は、OpenAI の ChatGPT インフラに影響を与えるものであり、入力パラメータに悪意の URL を挿入する攻撃者は、アプリケーションが意図していないリクエストの、強制的な実行を達成するという。

Apache Tomcat の脆弱性 CVE-2025-24813 の積極的な悪用：対策の全容と戦術変更への備え

Critical RCE flaw in Apache Tomcat actively exploited in attacks

2025/03/17 BleepingComputer — Apache Tomcat の深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-24813 が、実際に攻撃で積極的に悪用されている。この欠陥を突く脅威アクターは、単純な PUT リクエストの送信により標的のサーバを乗っ取ることができるという。この脆弱性が明らかになったのは先週のことだが、それから僅か 30時間後には、GitHub で公開された PoC エクスプロイトが、ハッカーたちに悪用され始めたようだ。

Edimax Camera の脆弱性 CVE-2025-1316：パッチが提供されない状況を Mirai が狙っている

Unpatched Edimax Camera Flaw Exploited for Mirai Botnet Attacks Since Last Year

2025/03/17 TheHackerNews — Edimax IC-7100 ネットワーク・カメラに存在する、未修正のセキュリティ上の脆弱性が、Mirat ボットネット・マルウェアの亜種を配信するために、遅くとも 2024年5月以降に、脅威アクターたちにより悪用されている。この脆弱性 CVE-2025-1316 (CVSS v4：9.3) は、深刻な OS コマンド・インジェクションの欠陥であり、それを悪用する攻撃者は、特別に細工されたリクエストにより、影響を受けやすいデバイス上でのリモート・コード実行の可能性を手にする。

GitHub リポジトリ 12,000 件が標的：偽のセキュリティ通知を悪用するフィッシング攻撃

Fake “Security Alert” issues on GitHub use OAuth app to hijack accounts

2025/03/16 BleepingComputer — 偽のセキュリティ通知を手段とする、大規模なフィッシング攻撃の標的として、約 12,000 の GitHub リポジトリが狙われている。この偽アラートを悪用する攻撃者は、開発者を騙して悪意の OAuth アプリを承認させ、アカウントやコードの完全な制御権を獲得する。その、偽のセキュリティ通知に含まれるメッセージは、「セキュリティ警告：異常なアクセス試行：ユーザーの GitHub アカウントへのログイン試行が、新しい場所またはデバイスから行われたことを検知する」というものだ。

Adobe／DocuSign アプリの OAuth リクエストには要注意：Microsoft 365 アカウント乗っ取りが多発

Malicious Adobe, DocuSign OAuth apps target Microsoft 365 accounts

2025/03/16 BleepingComputer — Adobe や DocuSign アプリを装うマルウェアの配信により、Microsoft 365 アカウントの認証情報を盗み出すという、悪質な Microsoft OAuth アプリが、サイバー犯罪者たちにより宣伝されている。このキャンペーンを発見した Proofpoint の研究者たちは、X のスレッド上で “高度に標的を絞った攻撃 ” だと評している。

Akira ランサムウェアに対する複合ツール：GPU を用いて暗号化キーにブルートフォースを仕掛ける

New Akira ransomware decryptor cracks encryptions keys using GPUs

2025/03/15 BleepingComputer — Akira ランサムウェアの Linux 版に対する復号ツールが、セキュリティ研究者の Yohanes Nugroho によりリリースされた。この無料のツールは、GPU パワーを利用して復号キーを取得し、ファイルのロックを解除する。Nugroho は、友人から助けを求められ、この復号ツールを開発することになった。Akira が暗号化キーを生成する方法に、つまり、タイムスタンプを用いる方法を分析すれば、１週間以内で暗号化されたシステムを復号できると判断したのだ。

GitHub Action の脆弱性 CVE-2025-30066：侵害によるシークレット漏洩と是正の手順

2025/03/15 SecurityOnline — GitHub Action “tj-actions/changed-files” は、広く使用されているソフトウェア・ワークフローのためのものだが、新たに検出された深刻なセキュリティ・インシデントが懸念を生じている。セキュリティ侵害を積極的に調査する Step Security は、ユーザーに警告を発し、速やかに是正措置を取るよう促している。このインシデントを追跡するコードとして、公式に CVE-2025-30066 が採番されている。

Fortinet Firewall の脆弱性 CVE-2024-55591／CVE-2025-24472 を悪用：SuperBlack の手口とは？

SuperBlack Ransomware operators exploit Fortinet Firewall flaws in recent attacks

2025/03/14 SecurityAffairs — Fortinet の２つの脆弱性を悪用し、SuperBlack ランサムウェアを展開する脅威アクターの活動を、2025年1月〜3月に Forescout Research – Vedere Labs の研究者たちが観察した。この攻撃では、ロシア語のアーティファクトが用いられ、独自の運用シグネチャである Mora_001 を示すとおり、この脅威アクターによるものだと、専門家たちは考えている。Mora_001 が LockBit エコシステムに関連している可能性があると、専門家たちは推測している。つまり、ランサムウェア・オペレーションの、複雑さが増していることを反映している。

OpenAI の Operator に悪意を植え付ける：Symantec が Phishing PoC で実証したものは？

Symantec Demonstrates OpenAI’s Operator Agent in PoC Phishing Attack

2025/03/14 hackread — 最近になって OpenAI がリリースした “Operator” などの AI エージェントが、サイバー攻撃に悪用される可能性があることを、Symantec の脅威ハンターたちが実証した。それらの AI エージェントは、定型的なタスクを自動化して生産性を高めるように設計されているが、Symantec の調査によると、人間の入力を最小限に抑えることで、複雑な攻撃シーケンスの実行も可能にすることが示されている。

Black Basta が開発した BRUTED Framework：ブルートフォース攻撃の最適化と自動化

Ransomware gang creates tool to automate VPN brute-force attacks

2025/03/14 BleepingComputer — Black Basta ランサムウェアは、ブルートフォース攻撃を自動化するフレームワーク “BRUTED” を使用し、ファイアウォールや VPN などのエッジ・ネットワーク・デバイスを標的にしている。このグループは、独自に開発した BRUTED により、効果的にネットワークへのイニシャル・アクセスを獲得し、インターネット上に公開された脆弱なエンドポイントへのランサムウェア攻撃を拡大させている。流出した Black Basta の内部チャット・ログを、EclecticIQ の研究者である Arda Buyukkaya が詳細に分析した結果により、この BRUTED の存在が明らかになったという。

CISA KEV 警告 25/03/13：Juniper の CVE-2025-21590 と Apple の CVE-2025-24201 を登録

U.S. CISA adds Apple products and Juniper Junos OS flaws to its Known Exploited Vulnerabilities catalog

2025/03/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログに、以下の脆弱性を追加した:

CVE-2025-21590：Juniper Junos OS の不適切な分離／区画化
CVE-2025-24201：Apple 製品の WebKit の境界外書き込み

大規模な SSRF キャンペーンを検出：Grafana のパストラバーサルが偵察に使われている？

Grafana Flaws Likely Targeted in Broad SSRF Exploitation Campaign

2025/03/13 SecurityWeek — 複数の人気プラットフォームにおける、SSRF (Server-Side Request Forgery) を狙う大規模な攻撃の前に、Grafana のパス・トラバーサル脆弱性が悪用されたと、脅威インテリジェンス企業 GreyNoise が報告している。２月の広範から３月の初旬にかけて急増した、SSRF の脆弱性を組織的に悪用するキャンペーンにおいて、Zimbra／GitLab／DotNetNuke／VMware／ColumbiaSoft／Ivanti／BerriAI／OpenBMCS 製品を標的とする 400 以上の IP が観測された。

Windows の脆弱性 CVE-2025-24983 が FIX：修正に要した２年間と現実の攻撃での悪用

Microsoft Patches 2-Year-Old Windows Kernel Flaw CVE-2025-24983 After Exploitation

2025/03/13 SecurityOnline — 2023年3月以降において、長年にわたりハッカーたちに積極的に悪用されてきた、Windows NT カーネル・サブシステムのセキュリティ脆弱性が、ようやく Microsoft により修正されたことを、サイバー・セキュリティ企業 ESET が発表した。この欠陥は、約２年前に ESET の研究者たちにより報告され、2025年3月の Patch Tuesday で対処されたことになる。

Juniper Junos OS の脆弱性 CVE-2025-21590：攻撃の報告とパッチ適用までの緩和策

Juniper Issues Urgent Fix for Actively Exploited Junos OS Flaw – CVE-2025-21590

2025/03/13 SecurityOnline — Juniper Networks がリリースした緊急のセキュリティ速報は、ローカル攻撃者に対して任意のコード実行を許す可能性のある Junos OS の脆弱性に対処するものである。この脆弱性 CVE-2025-21590 は、Junos OS の複数バージョンに影響を及ぼす。

SSRF 攻撃の脅威が拡大：組織的に複数の CVE を悪用する 400+ の IP アドレス – GreyNoise 調査

Over 400 IPs Actively Exploiting Multiple SSRF Vulnerabilities in the Wild

2025/03/12 gbhackers — 近頃、SSRF (Server-Side Request Forgery) の悪用が急増しており、その傾向が続いていることが、GreyNoise の調査により明らかになった。戦略的な SSRF 攻撃が増加し、少なくとも 400 の固有 IP が、複数の SSRF 関連の CVE を同時に悪用していると、GreyNoise は指摘している。この攻撃パターンが示唆するのは、典型的なボットネットからのトラフィックではなく、情報収集のための自動化された事前侵入などによる、組織的な悪用の可能性である。

npm リポジトリ汚染：Lazarus にリンクする６つの悪意のパッケージを発見

North Korean Lazarus hackers infect hundreds via npm packages

2025/03/11 BleepingComputer — npm (node package manager) で発見された６つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取／侵害済みシステムへのバックドア展開／機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。

FreeType Font Library の脆弱性 CVE-2025-27363 が FIX：Linux／Mobile／Browser で悪用の可能性

CVE-2025-27363: Font Library FreeType Flaw Exploited in the Wild, Millions at Risk

2025/03/11 SecurityOnline — 広く使用されている FreeType フォント・レンダリング・ライブラリに、深刻な脆弱性 CVE-2025-27363 (CVSS：8.1) が発見された。この脆弱性は、FreeType バージョン 2.13.0 以下に影響を及ぼし、数百万台のデバイスをリモート・コード実行のリスクにさらす可能性があるという。

Apple iOS の脆弱性 CVE-2025-24201 が FIX：USB 制限モードの欠陥を修正

Apple Ships iOS 18.3.2 to Fix Already-Exploited WebKit Flaw

2025/03/11 SecurityWeek — 3月11日 (火) に Apple が発表したのは、モバイル OS の古いバージョンで悪用されている、WebKit の欠陥に対する修正を取り込んだ、iOS 18.3.2／iPadOS 1q8.3.2 のリリースである。この脆弱性 CVE-2025-24201 を悪用する攻撃者は、Web Content サンドボックスを突破する。Apple は「iOS バージョン 17.2 以下を使用する、特定の個人を標的にする、きわめて高度な攻撃で、悪用された可能性がある」と警告している。

CISA KEV 警告 25/03/10：Advantive VeraCore と Ivanti EPM の脆弱性を登録

CISA Adds Five Actively Exploited Vulnerabilities in Advantive VeraCore and Ivanti EPM to KEV List

2025/03/11 TheHackerNews — 3月10日 (月) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Advantive VeraCore と Ivanti Endpoint Manager (EPM) の５つのつのセキュリティ上の欠陥を、実際に悪用されている証拠に基づき、Known Exploited Vulnerabilities (KEV) カタログに登録した。

悪意の OSS パッケージを分析：1,000件以上に共通する特徴／戦術／手口とは？ – Fortinet

Over 1000 Malicious Packages Found Exploiting Open-Source Platforms

2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。

PHP-CGI の脆弱性 CVE-2024-4577 を悪用：日本の技術／通信／e コマースへの攻撃を観測

PHP-CGI RCE Flaw Exploited in Attacks on Japan’s Tech, Telecom, and E-Commerce Sectors

2025/03/07 TheHackerNews — 2025年1月以降から、日本の組織を主な標的とする悪意のキャンペーンが確認されている。現時点において、その背後にいる脅威アクターの正体は不明だ。2025年3月6日に公開された技術レポートで、「攻撃者は、Windows 上の PHP-CGI 実装に存在するリモート・コード実行 (RCE) の脆弱性 CVE-2024-4577 を悪用し、被害者マシンでイニシャル・アクセスを獲得していた。続いて、一般に公開されている Cobalt Strike kit である TaoWu のプラグインを利用し、侵害後の攻撃活動を行っていた」と、Cisco Talos の研究員である Chetan Raghuprasad は述べている。