GitHub – IoT OT Security News

IDEsaster という新たな脆弱性クラス：GitHub Copilot／Gemini CLI／Claude などに深刻な影響

Critical Vulnerabilities in GitHub Copilot, Gemini CLI, Claude, and Other Tools Impact Millions of Users

2025/12/08 CyberSecurityNews — AI 駆動型 IDE (Integrated Development Environment) の登場により、ソフトウェア開発環境は根本的に変化した。GitHub Copilot／Gemini CLI／Claude Code などのツールは、単純な自動補完エンジンから、タスクを実行する自律エージェントへと進化した。しかし、生産性の急速な追求がセキュリティ・ギャップを生み出している。本来は自律性を想定して設計されていないレガシー IDE アーキテクチャを、それぞれのベンダーがエージェントに直接統合したことで、図らずも攻撃対象領域が拡大されてしまった。それを IDEsaster と呼ぶ。

GitHub Actions／GitLab CI/CD とプロンプト・インジェクション：Fortune 500 企業への影響を確認

Prompt Injection Vulnerability in GitHub Actions Impacts Multiple Fortune 500 Companies

2025/12/05 gbhackers — ソフトウェア開発における Artificial Intelligence (AI) の活用が引き起こす副作用が、新しいタイプのセキュリティ脆弱性となり、大企業を危険にさらしている。Aikido Security が発見したのは、PromptPwnd という名の脆弱性である。この脆弱性により、GitHub Actions／GitLab CI/CD パイプライン内で動作する AI エージェントが、攻撃者に乗っ取られる可能性が生じている。

GitHub Actions 標的のタイポスクワッティング：悪意ある npm パッケージ 20 万件以上がダウンロード

Malicious npm Package with 206K Downloads Targeting GitHub Repositories to Steal Tokens

2025/11/13 gbhackers — 11月7日(金) に Veracode Threat Research が発見したのは、GitHub Actions を利用する開発者を標的とした、危険なタイポスクワッティング・キャンペーンである。このキャンペーンにおいて、悪意の npm パッケージ @acitons/artifact (公式パッケージ @actions/artifact の “ti” を “it” に置換) は、削除されるまでに 206,000 回以上もダウンロードされた。それにより、GitHub リポジトリに重大な脅威をもたらし、機密性の高い認証トークンを危険にさらす可能性が生じている。

GitHub Copilot Chat の脆弱性：非公開リポジトリからソースコード／機密情報を流出

Critical GitHub Copilot Vulnerability Let Attackers Exfiltrate Source Code From Private Repos

2025/10/10 CyberSecurityNews — GitHub Copilot Chat に存在する深刻な脆弱性 CVE-N/A (CVSS 9.6) を悪用する攻撃者は、非公開リポジトリからソースコードや機密情報を気付かれずに窃取することが可能だったという。この脆弱性を悪用するシナリオは、GitHub の Content Security Policy (CSP) を巧妙に回避しながら、新たなプロンプト注入技術を用いるものだ。それにより攻撃者は、悪意のコードやリンクを提案し、被害者の Copilot インスタンスを広範に制御する可能性があった。この問題は HackerOne を通じて責任ある形で報告され、その後に GitHub は修正を適用した。

Red Hat を襲ったデータ侵害：28,000 件の GitHub リポジトリから 570GB の圧縮データが奪われる

Red Hat Data Breach – Threat Actors Claim Breach of 28K Private GitHub Repositories

2025/10/02 CyberSecurityNews — Crimson Collective として知られる恐喝グループの犯行声明は、Red Hat の GitHub 非公開リポジトリ 28,000 件に侵入し、約 570GB の圧縮データを盗み出したというものだ。この窃取されたデータには、不正に抽出されたソースコードや機密情報などが含まれ、これまでの最大級の侵害だとされる。

暗号資産ウォレットを狙う Y Combinator 偽装フィッシング攻撃：GitHub 通知を悪用

Hackers Leverage GitHub Notifications to Mimic as Y Combinator to Steal Funds from Wallets

2025/09/25 CyberSecurityNews — GitHub の通知システムを悪用する高度なフィッシング・キャンペーンを仕掛けるサイバー犯罪者が、著名なスタート・アップアクセラレーター Y Combinator を装いながら偽の資金調達の機会をルアーにして、開発者の暗号通貨ウォレットを標的にしている。この攻撃は、GitHub の課題追跡システムを悪用し、プラットフォームの正規通知インフラを通じて既存のメール・セキュリティ・フィルタを迂回しながら、フィッシング通知を大量に拡散させている。

GitHub にホストされたマルウェア：Malwarebytes／LastPass／Citibank／SentinelOne などを装う手口とは？

Weaponized Malware: GitHub Hosts Malware from Malwarebytes, LastPass, Citibank, SentinelOne, and More

2025/09/24 gbhackers — Mac ユーザーを標的とする大規模な攻撃キャンペーンで、偽の GitHub ページが悪用され、人気の正規アプリケーションを装う情報窃取マルウェアが拡散された。偽装されたソフトウェアに含まれていたのは、Malwarebytes for Mac／LastPass／Citibank／SentinelOne などの、数多くの有名ブランドである。ブランドへの成りすまし自体は目新しいものではないが、今回の攻撃キャンペーンが示した戦術の進化は、サイバー犯罪者がユーザーを誘導して有害なコードをインストールさせる手口にある。

GitHub の公式通知を悪用するフィッシング・キャンペーンを検知：公式を模倣する巧妙なメール

Hackers Exploit GitHub Notifications to Launch Phishing Attacks

2025/09/23 gbhackers — GitHub の公式通知システムを悪用し、認証情報を窃取するためのペイロードを配信する、新たなフィッシング・キャンペーンが、サイバー・セキュリティ研究者たちにより発見された。つまり、オープンソース・コントリビューターたちが、GitHub の通信チャネルに寄せる信頼を悪用する攻撃者は、従来からのメール・フィルターやソーシャル・エンジニアリング防御を回避できる。

GitHub が npmセキュリティを大幅に刷新：より強力な認証と信頼できる公開を導入

GitHub Introduces npm Security with Stronger Authentication and Trusted Publishing

2025/09/25 gbhackers — 今日のテクノロジーを支えるオープンソース・ソフトウェアにより、世界中の開発者たちは、ツール／ライブラリ／アプリケーションの構築／共有を可能にしている。しかし、イノベーションを促進するオープン性は、それと同時に深刻なセキュリティ課題ももたらす。攻撃者は npm などのパッケージ・レジストリを標的とし、アカウントを侵害して悪意あるコードを挿入する。この状況を受け、GitHub は npm のセキュリティを大幅に刷新し、強力な認証方式／有効期間の短いトークン／信頼できる公開に重点を置くようにした。これらの変更は、オープンソース・コミュニティを保護し、ソフトウェア・サプライチェーンの安全の確保を目的としている。

LastPass が ClickFix 攻撃を警告：GitHub を介して Mac ユーザー標的の偽ソフトを配布

LastPass: Fake password managers infect Mac users with malware

2025/09/22 BleepingComputer — MacOS ユーザーを標的とし、不正な GitHub リポジトリを通じて人気製品を装う悪質なソフトウェアを配布するキャンペーンについて、LastPass が警告している。具体的に言うと、それらの偽アプリは、Google／Bing などの検索エンジン最適化 (SEO) 戦略で宣伝され、ClickFix 攻撃を通じて Atomic (AMOS) 情報窃取マルウェアを配信している。

GitHub Actionsワークフローに悪意のコードを注入：PyPI 公開トークン窃取の恐れ

Hackers Injecting Malicious Code into GitHub Actions Workflows to Steal PyPI Publishing Tokens

2025/09/15 CyberSecurityNews — Python Package Index (PyPI) の公開トークンを盗み出すという広範なキャンペーンの一環として、攻撃者たちは GitHub Actions ワークフローに悪意のコードを挿入した。それにより、一部のトークンが GitHub シークレットから盗まれたが、PyPI 管理者によると、プラットフォーム自体は侵害されておらず、盗まれたトークンが使用された証拠も確認されていないという。

GitHub リポジトリの “dangling” コミットが標的：新たなマルバタイジング・キャンペーンが発覚

New Malvertising Campaign Exploits GitHub Repositories to Distribute Malware

2025/09/12 gbhackers — 正規の GitHub リポジトリの “dangling” コミットを介して無防備なユーザーを狙うという、巧妙なマルバタイジング・キャンペーンが発覚した。この攻撃者は、人気の開発プロジェクトや OSS プロジェクトに、偽造 GitHub Desktop インストーラーのプロモーション・コンテンツを挿入している。正規のクライアントを装うインストーラーをダウンロードすると、バックグラウンドで悪意のペイロードが密かに配信され、ユーザーには気づかれることなく、システムが迅速に侵害される。

GitHub Copilot の RCE 脆弱性 CVE-2025-53773 が FIX：Visual Studio に生じる YOLO モードとは？

GitHub Copilot RCE Vulnerability via Prompt Injection Enables Full System Compromise

2025/08/13 gbhackers — GitHub Copilot に深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、高度なプロンプト挿入技術を用いて、リモート・コード実行やシステムへの完全な侵入を可能にする。この脆弱性 CVE-2025-53773 は、セキュリティ研究者による責任ある開示を受けて修正されたものであり、Microsoft の 2025年8月の Patch Tuesday において、Visual Studio のバグとして情報公開された。

Toptal の GitHub が侵害された：悪意の npm パッケージが 5,000 回もダウンロード

Hackers Breach Toptal GitHub, Publish 10 Malicious npm Packages With 5,000 Downloads

2025/07/28 TheHackerNews — Toptal の GitHub 組織アカウントに侵入した正体不明の脅威アクターが、そのアクセス権を悪用して 10個の悪意のパッケージを npm レジストリに公開するという、ソフトウェア・サプライチェーン攻撃の最新事例が紹介されている。先週に Socket が公開したレポートによると、これらのパッケージに隠された悪意のコードにより、GitHub の認証トークン窃取や、被害者システムの破壊などが引き起こされるという。それに加えて、この組織に関連する73個のリポジトリが公開されている。

Apple／Facebook／Google などから 160億件もの認証情報が漏洩：大規模なキャンペーンが発覚

Massive 16 Billion Passwords From Apple, Facebook, Google and More Leaked From 320 Million Computers

2026/06/20 CyberSecurityNews — 新たなレポートが報告するのは、Apple／Facebook／Google／GitHub／Telegram、政府サービスなどの主要プラットフォームからの、160億件ものログイン認証情報の発見である。30種類のデータセットから発見された、この大規模な漏洩は前例のない脅威であり、世界的なサイバー・セキュリティとデジタル・プライバシーへの懸念が生じている。漏洩したデータセットのサイズは大きく異なるものであり、最小のものには 1600万件以上のレコードが、最大のものには35億件以上の認証情報が含まれている。

GitHub Actions に潜む問題：MITRE／Splunk リポジトリへの侵害を研究者たちが実証

Insecure GitHub Actions in Open Source Projects MITRE and Splunk Exposes Critical Vulnerabilities

2025/06/18 CyberSecurityNews — GitHub に対する包括的なセキュリティ調査により、主要な OSS リポジトリ全体にわたる GitHub Actions ワークフローにおいて、広範な脆弱性の存在が明らかになったが、その中には MITRE や Splunk といった組織が管理するリポジトリも含まれる。今回の発見が浮き彫りにするのは、これらのプロジェクトを潜在的なサプライチェーン攻撃や機密情報への不正アクセスにさらす、安全が確保されない CI/CD (Continuous Integration and Continuous Delivery) コンフィグレーションの懸念すべきパターンである。

GitHub を悪用する新たなサプライチェーン攻撃：ゲームチーターや経験の浅い脅威アクターが標的

Backdoored Open Source Malware Repositories Target Novice Cybercriminals

2025/06/05 SecurityWeek — デベロッパー／エンタープライズ／エンドユーザーを標的とし、情報窃取型のマルウェアやバックドアを展開するサプライチェーン攻撃が、今年だけでも数十件に達していることが明らかになった。その多くは、悪意の NPM パッケージを介して行われている。そして、6月4日 (水) に Sophos が明らかにしたのは、GitHub リポジトリを悪用することで、ゲームチーターや経験の浅い脅威アクターを標的とし、同様のバックドアを仕込むという攻撃行動である。

GitHub MCP サーバに重大な脆弱性：トキシック・エージェント・フローによる情報漏洩

Critical GitHub MCP Server Vulnerability Allows Unauthorized Access to Private Repositories

2025/05/27 gbhackers — GitHub で 14,000 以上のスターを獲得している人気の GitHub MCP インテグレーションに、深刻な脆弱性が発見された。Invariant の自動セキュリティ・スキャナーにより特定された、この欠陥は、ユーザーのプライベート・リポジトリ内のデータに、重大なリスクをもたらすものだ。この脆弱性の悪用に成功した攻撃者は、悪意の GitHub Issue を介してユーザーのエージェントを操作し、プライベート・リポジトリにおける機密情報の漏洩の可能性を手にする。

npm に潜む悪意のパッケージを発見：Telegram Bot API を装い SSH バックドアを展開

Rogue npm Packages Mimic Telegram Bot API to Plant SSH Backdoors on Linux Systems

2025/04/19 TheHackerNews — npmレジストリ内に存在し、人気の Telegram ボット・ライブラリを装いながら、SSH バックドアとデータ窃取の機能を隠し持つ３つの悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。

PyPI から 39,000+ DL の悪意の Python パッケージ：クレカの有効性を自動的に検証

Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data

2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。

GitHub Action での連鎖的攻撃：SpotBugs の PAT 漏洩トリガー説を掘り下げる

SpotBugs Access Token Theft Identified as Root Cause of GitHub Supply Chain Attack

2025/04/04 TheHackerNews — Coinbase を最初に標的とし、その後に “tj-actions/changed-files” GitHub Action のユーザーへと拡大していった、いわゆる連鎖型のサプライチェーン攻撃が確認されている。さらに、この攻撃の足跡を遡ると、SpotBugs に関連する PAT (personal access token) の窃取に端を発していたことが判明した。

GitHub Actions の脆弱性 CVE-2025-30154／CVE-2025-30066：サプライチェーン攻撃の可能性を考える

Impact, Root Cause of GitHub Actions Supply Chain Hack Revealed

2025/03/21 SecurityWeek — GitHub Actions “tj-actions/changed-files” は、ファイルやディレクトリの変更を追跡するために、23,000 以上のリポジトリで積極的に使用されているアクションである。先週末のことだが、この GitHub Actions に発生した攻撃により、CI/CD シークレットをダンプしてログを作成するように設計された、悪意のスクリプトが実行されたことが判明した。

GitHub Actions の侵害：最初のターゲットとして狙われたのは Coinbase

Coinbase was primary target of recent GitHub Actions breaches

2025/03/21 BleepingComputer — 最近の GitHub Actions への連鎖型のサプライ・チェーン攻撃により、数百のリポジトリのシークレットが侵害されているが、その主要なターゲットは Coinbase であると、研究者たちが断定している。Palo Alto Unit 42 と Wiz の最新レポートによると、この綿密に計画された攻撃は、悪意のコードが reviewdog/action-setup@v1 GitHub Action に挿入されたときから始まっているという。この侵害の発生の方法は不明であるが、脅威アクターはアクションを変更して、CI/CD シークレットと認証トークンを、GitHub Actions ログにダンプした。

Node.js ライブラリ xml-crypto の脆弱性 CVE-2025-29774／29775 が FIX：IoC も提供

Million-Download Node.js Library xml-crypto Hit by Critical Security Flaws (CVE-2025-29774, CVE-2025-29775)

2025/03/18 SecurityOnline — Node.js 向けの XML デジタル署名／暗号化ライブラリである xml-crypto に、２つの深刻な脆弱性が発見された。毎週 110万回以上ダウンロードを誇る、このライブラリの脆弱性を放置すると、XML 署名検証を利用するアプリケーションに広範な影響が生じる。

CISA KEV 警告 25/03/18：Fortinet の CVE-2025-24472 と GitHub の CVE-2025-30066 を登録

Cybersecurity Alert: CISA Adds Fortinet and GitHub Action Vulnerabilities to Exploited List

2025/03/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、２つの深刻なセキュリティ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、実際に悪用されていることを示した。これらの脆弱性は、広く使用されている Fortinet の FortiOS／FortiProxy および、GitHub Action “tj-actions/changed-files” に影響を及ぼすものだ。

GitHub リポジトリ 12,000 件が標的：偽のセキュリティ通知を悪用するフィッシング攻撃

Fake “Security Alert” issues on GitHub use OAuth app to hijack accounts

2025/03/16 BleepingComputer — 偽のセキュリティ通知を手段とする、大規模なフィッシング攻撃の標的として、約 12,000 の GitHub リポジトリが狙われている。この偽アラートを悪用する攻撃者は、開発者を騙して悪意の OAuth アプリを承認させ、アカウントやコードの完全な制御権を獲得する。その、偽のセキュリティ通知に含まれるメッセージは、「セキュリティ警告：異常なアクセス試行：ユーザーの GitHub アカウントへのログイン試行が、新しい場所またはデバイスから行われたことを検知する」というものだ。

GitHub Action の脆弱性 CVE-2025-30066：侵害によるシークレット漏洩と是正の手順

2025/03/15 SecurityOnline — GitHub Action “tj-actions/changed-files” は、広く使用されているソフトウェア・ワークフローのためのものだが、新たに検出された深刻なセキュリティ・インシデントが懸念を生じている。セキュリティ侵害を積極的に調査する Step Security は、ユーザーに警告を発し、速やかに是正措置を取るよう促している。このインシデントを追跡するコードとして、公式に CVE-2025-30066 が採番されている。

npm リポジトリ汚染：Lazarus にリンクする６つの悪意のパッケージを発見

North Korean Lazarus hackers infect hundreds via npm packages

2025/03/11 BleepingComputer — npm (node package manager) で発見された６つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取／侵害済みシステムへのバックドア展開／機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。

悪意の OSS パッケージを分析：1,000件以上に共通する特徴／戦術／手口とは？ – Fortinet

Over 1000 Malicious Packages Found Exploiting Open-Source Platforms

2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。

Apache Airflow のミスコンフィグ：認証情報の漏洩と AWS／Slack／PayPal などへの影響

https://gbhackers.com/apache-airflow-misconfigurations-leak-login-credentials/

2025/03/06 gbhackers —Apache Airflow のミスコンフィグに関する最近の調査により、ログイン認証情報／API キー／クラウド・サービスのアクセス・トークンなどを攻撃者に対して露出する、深刻な脆弱性の存在が明らかになった。このワークフロー・プラットフォームにおけるミスコンフィグの主な原因は、安全が確保されないコーディング手法や、古いバージョンの使用などにあり、金融／医療／e コマース業界などでの、データ・セキュリティ侵害につながるものだ。つまり、AWS／Slack／PayPal の認証情報や、内部データベースの認証情報が、適切に保護されていない状態になっていた。

Fix Inventory は OSS のクラウド・アセット・インベントリ：断片化されたクラウド環境を統合する

Fix Inventory: Open-source cloud asset inventory tool

2025/03/05 HelpNetSecurity — Fix Inventory は、クラウド・インフラ・アカウントの、コンプライアンスとセキュリティ・リスクを検出するための OSS だ。クラウド・ネイティブ環境向けにゼロから構築されており、AWS／Google Cloud／Azure／DigitalOcean／Hetzner／Kubernetes／GitHub などの、300 を超えるクラウド・サービスを幅広くサポートしている。

LLM トレーニングに用いられるデータセットの問題：約 12,000 個の API キーの発見

12,000+ API Keys and Passwords Found in Public Datasets Used for LLM Training

2025/02/28 TheHackerNews — LLM のトレーニングに使用されるデータセットに、認証を成功させるライブ・シークレットが約 12,000 個も取り込まれていることが判明した。

PRevent という OSS SecTool：GitHub プルリクエストで悪意のコードをスキャン

PRevent: Open-source tool to detect malicious code in pull requests

2025/02/20 HelpNetSecurity — ユーザー組織におけるソフトウェア開発ライフサイクルの一環として、悪意のコードの検出に有益となる OSS ツールが、Apiiro のセキュリティ研究者たちによりリリースされた。それらは、プルリクエストに対するスキャナーである PRevent と、悪意のコードを検出するルールセットSemgrep、静的コード用の分析ツール Opengrep で構成されている。

GitHub Copilot で発見されたジェイルブレイクの手法：悪意のモデルのトレーニングなどが可能に？

New Jailbreaks Allow Users to Manipulate GitHub Copilot

2025/01/31 DarkReading — GitHub の AI コーディング・アシスタント Copilot を操作する、２つの新たな手法を研究者たちが発見した。この方式を用いれば、セキュリティ制限やサブスクリプション料金の回避や、悪意のモデルのトレーニングなどが可能になる。

go-git の脆弱性 CVE-2025-21613／21614 が FIX：不正アクセス／DoS の可能性

Secure Your Repos: go-git Patches Critical Vulnerability – CVE-2025-21613 (CVSS 9.8)

2025/01/07 SecurityOnline — Git インタラクションに用いられる、Go ライブラリ go-git がリリースしたのは、２つの深刻な脆弱性を修正したバージョン 5.13.1 である。これらの脆弱性が悪用されると、不正アクセスや DoS にいたる可能性がある。開発者に対して強く推奨されるのは、依存関係を直ちに更新することだ。

NPM リポジトリ汚染：タイポスワッティングで正規のパッケージを偽装

Thousands Download Malicious npm Libraries Impersonating Legitimate Tools

2024/12/19 TheHackerNews — npm レジストリへのアップロードが確認された悪意のパッケージは、正規のパッケージである ”typescript-eslint” や ”@types/node” などを装うものである。それらの偽のパッケージは ”@typescript_eslinter/eslint”／”types-node” と名付けられ、それぞれがトロイの木馬をダウンロードするものとして、また、２段階目のペイロードを取得するものとして設計されている。

GitHub の偽 PoC リポジトリ：研究者たちの機密データと大量の WordPress 資格証明を窃取

390,000+ WordPress Credentials Stolen via Malicious GitHub Repository Hosting PoC Exploits

2024/12/13 TheHackerNews — WordPress ツールとして宣伝され、現在は削除されている悪意の GitHub リポジトリにより、39万件以上の認証情報が流出したと推定されている。この狡猾なアクティビティは、MUT-1244 と名付けられた脅威アクターが展開する、広範な攻撃キャンペーンの一部であり、フィッシング情報や PoC コードをホストする、トロイの木馬化された複数の GitHub リポジトリで構成されるものだ。

Prometheus に認証情報／API キー流出の可能性：30万以上のインスタンスが公開されている

Over 300K Prometheus Instances Exposed: Credentials and API Keys Leaking Online

2024/12/12 TheHackerNews — OSS イベント監視ソリューションである、Prometheus をホスティングしている数千のサーバが、情報漏洩／サービス拒否 (DoS) 攻撃／リモート・コード実行 (RCE) 攻撃などのリスクにさらされていると、研究者たちが警告している。Aqua Security の研究者である Yakir Kadkoda と Assaf Morag は、「Prometheus Server／Exporter では、認証の欠落が多発するため、認証情報や API キーなどの機密情報が、攻撃者により容易に収集されてしまう」と、The Hacker News に共有されたレポートで述べている。

ProjectSend の脆弱性 CVE-2024-11680 (CVSS 9.8)：大量の未パッチ・インスタンスと PoC エクスプロイト

CVE-2024-11680 (CVSS 9.8): Critical ProjectSend Vulnerability Actively Exploited, PoC Published

2024/11/27 SecurityOnline — ProjectSend の深刻な脆弱性 CVE-2024-11680 (CVSS：9.8) が、積極的に悪用されていると、VulnCheck がレポートしている。この OSS のファイル共有 Web アプリケーションに対しては、2023年5月の時点でパッチが提供されているが驚くべきことに、ProjectSend インスタンスの 99% がパッチ未適用であり、悪用の危険性が高まっている。

AnyDesk の脆弱性 CVE-2024-52940：パッチ未適用の状態で PoC が公開

CVE-2024-52940: AnyDesk Vulnerability Exposes User IP Addresses, PoC Published

2024/11/21 SecurityOnline — AnyDesk で発見された脆弱性 CVE-2024-52940 は、Windows システム上の Allow Direct Connections 機能の欠陥に起因するものであり、攻撃者に対してユーザー IP アドレスの特定を許し、重大なプライバシー・リスクをもたらす可能性があるものだ。この人気のリモート・デスクトップ・ソフトウェアに存在する脆弱性は、セキュリティ研究者である Ebrahim Shafiei により発見された。

CVE から PoC へ：Windows におけるローカル権限昇格を整理する GitHub リポジトリとは？

From CVE to PoC: A Collection Maps Windows Privilege Escalation Landscape

2024/11/18 SecurityOnline — Microsoft Windows オペレーティングシステムに影響を与える、ローカル権限昇格 (LPE) 脆弱性に対して開発されたエクスプロイトの包括的なコレクションを、セキュリティ研究者の Michael Zhmaylo が整理した。この、Github にホストされているリポジトリは、権限昇格攻撃に対する理解と軽減に関心のある、セキュリティ研究者／侵入テスト担当者／システム管理者にとって貴重なリソースとして機能する。

GitHub CLI の RCE 脆弱性 CVE-2024-52308 が FIX：ただちにアップデートを！

CVE-2024-52308: GitHub CLI Vulnerability Could Allow Remote Code Execution

2024/11/18 SecurityOnline — GitHub CLI (Command Line Interface) に、深刻なセキュリティ脆弱性 CVE-2024-52308 (CVSS：8.1) が発見された。この脆弱性を悪用する攻撃者に対しては、ユーザーのワークステーション上での RCE (remote code execution) を許される可能性があるという。それのより、浮き彫りにされるのは、開発者によるソフトウェア更新の適切な実施と、セキュリティに対する意識の重要性である。

新たな犯罪グループ EMERALDWHALE：Git コンフィグ・ファイルからクラウド認証情報を窃取

EMERALDWHALE Operation Exposes Over 15,000 Cloud Credentials in Widespread Git Exploit

2024/10/31 SecurityOnline — 世界規模の犯罪組織 EMERALDWHALE が、Git の無防備なコンフィグ・ファイルを悪用し、15,000件以上のクラウド認証情報を盗み出していることが、Sysdig の Threat Research Team (TRT) により発見された。Sysdig TRT のレポートでは、認証情報を漏洩させる大量のミスコンフィグが存在するという、憂慮すべき Web サーバの状況が指摘されている。それらのミスコンフィグは、何千ものプライベート・リポジトリに影響を与え、１つのアカウントが侵害されるごとに、数多くの被害者に損失を与える可能性があるものだ。

悪意の Python 暗号通貨取引パッケージ：PyPI と GitHub で 1,300 回以上もダウンロード

Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code

2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。

OneDev の脆弱性 CVE-2024-45309 が FIX：DevOps Platform から機密情報が漏洩する

OneDev DevOps Platform Patches Critical Security Flaw Exposing Sensitive Data – (CVE-2024-45309)

2024/10/22 SecurityOnline — オープンソース DevOps プラットフォーム OneDev に存在する、深刻なセキュリティ脆弱性 CVE-2024-45309 が発見／修正された。この脆弱性の悪用に成功した未認証の攻撃者は、OneDev サーバ・プロセスを介してアクセスできる、任意のファイルの読み取りを可能にする。それらのファイルとしては想定されるものには、ソースコード／コンフィグ／ユーザー認証情報などがあり、機密情報の漏洩にいたる可能性が生じている。

Java セキュリティ・フレームワーク “pac4j” の脆弱性 CVE-2023-25581 が FIX：ただちにアップデートを！

2024/10/13 SecurityOnline — 広く利用されている Java セキュリティ・フレームワーク pac4j に存在する深刻な脆弱性が、GitHub Security Lab (GHSL) のセキュリティ研究者 Michael Stepankin (@artsploit) により発見された。この脆弱性 CVE-2023-25581 (CVSS：9.2) の悪用に成功した攻撃者は、影響を受けるシステム上での任意のコード実行の可能性を手にする。

GitHub Enterprise Server 脆弱性 CVE-2024-9487 (CVSS 9.5) などが FIX：直ちにパッチ適用を！

GitHub Enterprise Server Patches Critical Security Flaw – CVE-2024-9487 (CVSS 9.5)

2024/10/13 SecurityOnline — GitHub が公表したのは、GitHub Enterprise Server に存在する２件の脆弱性に対処するためのセキュリティ・アップデートのリリースである。そのうちの１つは、このプラットフォームの SAML SSO 認証メカニズムに存在する、認証バイパスの脆弱性 CVE-2024-9487 (CVSS：9.5) であり、攻撃者に不正アクセスを許す可能性が生じている。

HAProxy の脆弱性 CVE-2024-45506 が FIX：１件の悪用を確認

HAProxy Vulnerability CVE-2024-45506 Under Active Exploit: Urgent Patching Required

2024/09/08 SecurityOnline — ロード・バランシングとプロキシの機能を提供する、人気のソフトウェアである HAProxy にいおいて、脆弱性 CVE-2024-45506 (CVSS：7.5) が悪用されていることが判明した。この脆弱性は、HAProxy の HTTP/2 マルチプレクサに影響するものであり、特定の条件下において無限ループを引き起こし、システム・クラッシュやリモート・サービス拒否 (DoS) 攻撃にいたる恐れがある。この欠陥は、Enterprise／ALOHA／Kubernetes Ingress Controller などの、複数の HAProxy 製品に影響を与えるものだ。

Spring Cloud Data Flow のファイル書き込みの脆弱性 CVE-2024-22263：PoC が提供

PoC Exploit Released for Arbitrary File Write Flaw (CVE-2024-22263) in Spring Cloud Data Flow

2024/08/27 SecurityOnline — クラウドベースのデータ処理に広く使用されている、Spring Cloud Data Flow に存在する任意のファイル書き込みの脆弱性 CVE-2024-22263 に対する PoC エクスプロイト・コードが、SecureLayer7 のセキュリティ研究者である Zeyad Azima により公開された。この脆弱性の悪用に成功した権限のない攻撃者は、ファイル・システム上の任意の場所に任意のファイルを書き込むことが可能になるため、サーバ全体が危険にさらされる可能性が生じる。

Python Library Pandas の脆弱性 CVE-2024-42992：PoC の登場と NVD の Reject

Critical Flaw Discovered in Popular Python Library Pandas: No Patch Available for CVE-2024-42992

2024/08/25 SecurityOnline — 広く使用されている Python ライブラリ pandas に、深刻なセキュリティ脆弱性が存在することが明らかにされた。この脆弱性 CVE-2024-42992 (CVSS：7.5)の悪用に成功した、攻撃者による不正アクセスの対象となるのは、何百万ものシステムにいたるという。この脆弱性は、pandas のバージョン 2.2.2 以下という、広い範囲に影響を及ぼすため、ユーザーにとって深刻なリスクが生じることになる。