Why Attackers Target GitHub, and How You Can Secure It
2022/12/28 DarkReading — 先週に Okta は、GitHub でホストされている同社のソースコードに、攻撃者がアクセスするというセキュリティ侵害について発表した。ただし、それは、GitHub に保存される企業のソースコードに対する、不正なアクセスを仕掛ける攻撃の、最新の事例に過ぎない。以前には、Dropbox/Gentoo Linux/Microsoft なども、GitHub のアカウントが狙われたことがあるのだ。
Continue reading “Okta の GitHub リポジトリ侵害から学ぶ:セキュリティ確保のための7つのヒント”Okta’s source code stolen after GitHub repositories hacked
2022/12/21 BleepingComputer — 今月のことだが、認証サービスおよび IAM (Identity and Access Management) ソリューションの大手プロバイダーである Okta は、同社のプライベート GitHub リポジトリがハッキングされたことを発表した。Okta から送信された機密のメール通知によると、このセキュリティ・インシデントにおいて、脅威アクターが Okta のソースコードを盗み出したという。
Continue reading “Okta の GitHub リポジトリで侵害が発生:3月の Lapsus$ との関連性は不明”Hackers bombard PyPi platform with information-stealing malware
2022/12/20 BleepingComputer — Python パッケージ・リポジトリである PyPI に、情報窃取マルウェアを取り込んだ悪意のパッケージが相次いでドロップされ、ソフトウェア開発者のデータが盗み出されている。このキャンペーンでドロップされたマルウェアは、オープンソース W4SP Stealer のクローンであり、PyPI 上で 2022年11月に広まったマルウェア感染の原因となったものでもある。それ以来、W4SP をドロップする 31個のパッケージが、PyPI リポジトリから削除されてはいるが、このマルウェアの運営者は、マルウェアを再導入するための新たな方法を模索し続けているようだ。
Continue reading “PyPI に W4SP Stealer:大量の亜種が出回り 2500回もダウンロードされた”GitHub to require all users to enable 2FA by the end of 2023
2022/12/15 BleepingComputer — 2023年末までに GitHub は、このプラットフォーム上でコードをコントリビュートする全ユーザーに対して、アカウント保護の追加措置として 2FA の有効化を義務付ける予定である。2FA (二要素認証) とは、ワンタイム・コードを入力する追加ステップを、ログイン時に導入することで、アカウントのセキュリティを向上させるものだ。
Continue reading “GitHub の 2FA 義務化:2023/03〜2023/12 で全ユーザーに対応”Open Source Ransomware Toolkit Cryptonite Turns Into Accidental Wiper Malware
2022/12/06 TheHackerNews — Cryptonite と呼ばれるオープンソースのランサムウェア・ツールキットだが、その構造とプログラミングの問題により、ワイパー機能を持つことが判明した。Cryptonite は、他のランサムウェア系統とは異なり、サイバー犯罪者の地下マーケットでは販売されていない。その代わりに、最近まで CYBERDEVILZ という脅威アクターが、GitHub リポジトリで無料で提供していた。このソースコードとフォークは、その後に削除されている。
Continue reading “Cryptonite というランサムウェア・ツールキット:誤ってワイパー型マルウェアに豹変”Ducktail information stealer continues to evolve
2022/11/23 SecurityAffairs — 2022年7月下旬に WithSecure (旧 F-Secure Business) の研究者たちが発見したのは、Facebook Business/Ads プラットフォームの組織/個人を標的とする、Ducktail という名の進行中のオペレーションだ。このキャンペーンの主体については、2018年から活動していると見られる、ベトナムの経済的な動機を持つ脅威アクターだと、専門家たちは考えている。この脅威アクターの主目的は、ターゲットの Facebook Business アカウントを乗っ取ることだ。
Continue reading “Ducktail 情報スティーラーが進化:狙いは Facebook Business アカウント”Researcher warns that Cisco Secure Email Gateways can easily be circumvented
2022/11/22 SecurityAffairs — 匿名の研究者が公開したのは、Cisco Secure Email Gateway アプライアンスの一部のフィルターを回避し、特別に細工したメールを介してマルウェアを配信する一連のテクニックである。この研究者は、攻撃の複雑性が低いことを指摘し、また、すでに第三者により公開されているエクスプロイトが、用いられることを付け加えている。この専門家は、協調的な開示手続きの中で、この技術を開示した。
Continue reading “Cisco の Secure Email Gateways の簡単な回避方法:匿名の研究者が詳細を公表”Microsoft sued for open-source piracy through GitHub Copilot
2022/11/05 BleepingComputer — プログラマーで弁護士の Matthew Butterick が、GitHub の Copilot がオープンソースのライセンス条項に違反し、プログラマーの権利を侵害しているとして、Microsoft/GitHub/OpenAI を提訴している。2022年6月にリリースされた GitHub Copilot は、Visual Studio でソースコードや関数の推奨値を、OpenAI Codex を利用してリアルタイムに生成する、AI ベースのプログラミング支援ツールだ。公開リポジトリの数十億行のコードを使用して、機械学習によりトレーニングされた GitHub Copilot は、自然言語を、数十のプログラミング言語のコード・スニペットに変換できるとされる。
Continue reading “Microsoft と GitHub に対する提訴:Copilot を通じてオープンソースの著作権を侵害した疑い”130 Dropbox code repos plundered after successful phishing attack
2022/11/02 HelpNetSecurity — Dropbox はデータ侵害に遭ったが、攻撃者による Dropbox のアカウント/パスワード/支払い情報などへのアクセスはなかったので、ユーザーは心配する必要ない。その代わりに、同社が GitHub にホストしている 130件のプライベート・リポジトリーからコードが取得されてしまった。
Continue reading “Dropbox の開発者を狙うフィッシング:GitHub リポジトリ侵害と 130 件のコード流出”Dozens of PyPI packages caught dropping ‘W4SP’ info-stealing malware
2022/11/02 BleepingComputer — 研究者たちが発見したのは、PyPI レジストリ上において、情報窃取マルウェアをプッシュしている 20件以上の Python パッケージだ。それらの大半は難読化されたコードを含んでおり、感染させたマシンに上に W4SP Info-Stealer をドロップしていく。また、他のマルウェアは、教育を目的として作成されたと称している。
Continue reading “PyPI からドロップされる W4SP Info-Stealer:タイポスクワットで開発者を狙い続ける”GitHub Bug Exposed Repositories to Hijacking
2022/10/27 InfoSecurity — セキュリティ研究者が新たに発見した GitHub の欠陥は、攻撃に成功した攻撃者がリポジトリを制御し、関連するアプリやコードにマルウェアを拡散する可能があるものだ。現時点において GitHub は、”popular repository namespace retirement” 機能のバグを修正しているが、将来において同じツールが、脅威者の標的となる可能性があると Checkmarx は警告している。
Continue reading “GitHub の名前空間リタイアメントにバグ:RepoJacking 攻撃が発生する可能性とは?”New Cryptojacking Campaign Targeting Vulnerable Docker and Kubernetes Instances
2022/10/27 TheHackerNews — 脆弱な Docker/Kubernetes インフラを標的とし、暗号通貨の不正マイニングを行う、新たなクリプトジャッキング・キャンペーンが発覚した。このアクティビティを Kiss-a-dog と名付けた CrowdStrike は、その Command and Control インフラについて、ミスコンフィグレーションのある Docker/Kubernetes インスタンスへの攻撃で知られる、TeamTNT などのグループとの重複があることを明らかにした。この、kiss.a-dog[.]top というドメインに由来する侵入は、2022年9月に発見されており、Base64 エンコードされた Python コマンドを用いて、侵入したコンテナでシェル・スクリプト・ペイロードを起動するものである。
Continue reading “Docker/Kubernetes の脆弱なインスタンスを狙う:Kiss-a-dog クリプトジャッキング”MyOpenVDP: Open-source web application to securely disclose vulnerabilities
2022/10/26 HelpNetSecurity — MyOpenVDP とは、誰もが自分の脆弱性開示ポリシー (VDP : Vulnerability Disclosure Policy) をホストできるようにするための、オープンソース・ソリューションのことである。この、YesWeHack により開発された Web アプリケーションは、GitHub 上で公開されている。
Continue reading “MyOpenVDP で脆弱性を通知:OSS で実現する Vulnerability Disclosure Policy とは?”Multiple RCE Vulnerabilities Discovered in Veeam Backup & Replication App
2022/10/24 InfoSecurity — Veeam Backup & Replication アプリケーションで、複数の重大かつ深刻な脆弱性が発見された。その中でも、リモート・コード実行 (RCE) の脆弱性を悪用する、完全に武器化されたツールが販売されている可能性があることが判明しました。この発見は、CloudSEK のセキュリティ研究者たちによるものであり、今日の未明にアドバイザリが発表されている。
Continue reading “Veeam の深刻な RCE 脆弱性 CVE-2022-26501/CVE-2022-26504 が FIX”Thousands of GitHub repositories deliver fake PoC exploits with malware
2022/10/23 BleepingComputer — Leiden Institute of Advanced Computer Science の研究者たちは、様々な脆弱性に対する偽の PoC エクスプロイトを提供する、GitHub 上の数千のリポジトリを発見した。それらのリポジトリには、マルウェアも含まれていたという。GitHub は最大のコード・ホスティング・プラットフォームの1つである。そして、研究者たちが GitHub を用いて PoC エクスプロイトを公開し、セキュリティ・コミュニティが脆弱性の修正を検証することで、脆弱性の影響と範囲を判断できるようにしている。
Continue reading “GitHub に潜む偽 PoC エクスプロイト:騙されてマルウェアを配信される確率は 10.3%”Google Launches GUAC Open Source Project to Secure Software Supply Chain
2022/10/20 TheHackerNews — 木曜日に Google は、ソフトウェア・サプライチェーン強化の継続的な取り組みの一環として、新たなオープンソース構想 Graph for Understanding Artifact Composition (GUAC) とへの、コントリビュータを募集していると発表した。Google の Brandon Lum と、Mihai Maruseac、Isaac Hepworth は、「GUAC とは、ソフトウェアのビルド/セキュリティ/依存関係のメタデータを生成するための、エコシステム全体で急成長している取り組みから生まれたニーズに対応するものだ」と、The Hacker News で共有した投稿で述べている。
Continue reading “Google の GUAC:OSS の全ての要素を結びつける Knowledge Graph の作成が目標”Intel Confirms Leak of Alder Lake BIOS Source Code
2022/10/10 TheHackerNews — 先週に Intel は、同社の CPU である Alder Lake に関連する独自のソースコードが、正体不明の第三者により 4chan/GitHub で公開されたと発表した。公開されたのは、2021年11月に発売された、同社の第12世代プロセッサー Alder Lake の UEFI (Unified Extensible Firmware Interface) コードだ。
Continue reading “Intel Alder Lake の UEFI ソースコードが流出:中国メーカーの従業員が関与している?”Toyota discloses data leak after access key exposed on GitHub
2022/10/10 BleepingComputer — トヨタ自動車株式会社は、約5年間にわたり GitHub 上でアクセス・キーが、誤って公開されていたことが判明したことで、顧客の個人情報が流出した可能性があるとして、警告を発している。トヨタ T-Connect は、トヨタ車のオーナーのスマートフォンと、車両のインフォテインメント・システムを連携させ、電話/音楽/ナビ/通知/走行データ/エンジン状態/燃費などの情報を活用するための、公式コネクティビティ・アプリである。
Continue reading “Toyota からの警告:T-Connect のソースが GitHub 上で誤って公開されていた”LofyGang Group Linked to Recent Software Supply Chain Attacks
2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。
Continue reading “LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明”Critical Packagist Vulnerability Opened Door for PHP Supply Chain Attack
2022/10/04 SecurityWeek — 10月4日に、コード・セキュリティ企業の SonarSource は、Packagist に影響を及ぼす深刻な脆弱性の詳細を発表した。この脆弱性の悪用に成功した脅威アクターにより、PHP コミュニティを標的としたサプライチェーン攻撃が行われる可能性があるという。Packagist とは、PHP 管理ツールである Composer のデフォルト・リポジトリであり、インストール可能な PHP パッケージが集約されている場所だ。Composer は、毎月のように 20億以上のパッケージをダウンロードするために使用されている。
Continue reading “PHP Packagist の深刻な脆弱性 CVE-2022-24828:サプライチェーン攻撃にいたる恐れ”Hackers stealing GitHub accounts using fake CircleCI notifications
2022/09/22 BleepingComputer — GitHub は、9月16日に始まったフィッシング・キャンペーンが活発に進行していることについて、注意を呼びかけている。具体的に言うと、継続的なインテグレーションとデリバリーのプラットフォームである、CircleCI になりすましたメールがユーザーを狙っているという。この偽メッセージは、「ユーザー規約とプライバシー・ポリシーが変更されたことをユーザー知らせ、GitHub アカウントにサインインして変更を受け入れ、サービスを使い続ける必要がある」と述べている。
Continue reading “CircleCI で進行するフィッシング:GitHub のアカウント認証情報と 2FA コードを盗み出す”350K Open-Source Projects At Risk of Supply Chain Vulnerability
2022/09/21 InfoSecurity — Trellix が設立を発表した Advanced Research Center は、最新のサイバー・セキュリティ脅威を検出/対応/修復するための、リアルタイムのインテリジェンスと脅威指標の作成を目的とするものだ。Trellix の最高製品責任者である Aparna Rayasam は、「脅威の状況は、洗練され、影響を与える可能性が拡大している。我々は、デジタルと物理的な世界で全ての人々を安全にするために、この事業に取り組んでいる。脅威アクターたちは、人材と技術的ノウハウに戦略的に投資している。したがって、サイバー・セキュリティ業界は、最も好戦的な行為者とその手法を研究し、より速い速度で革新していく義務がある」と述べている。
Continue reading “PyPI の脆弱性 CVE-2007-4559:35万件のオープンソース・プロジェクトに影響”Open Source Repository Attacks Soar 700% in Three Years
2022/09/21 InfoSecurity — Sonatype の調査結果によると、アップストリームのオープンソース・コード・リポジトリを標的とする悪意の活動の量は、この3年間で3桁の増加に達したという。同社は、新たに公開したデータの中で、ソフトウェア・コンポーネントにマルウェアを仕込むことを目的とした攻撃が、700%増加していることを検出したと主張している。また、同社は、これらのコンポーネントがダウンストリームの DevOps チームに悪影響をおよぼすことで、大混乱が引き起こされる可能性があると述べている。
Continue reading “オープンソース・リポジトリへの攻撃が3年間で 700% 増加:サプライチェーンの深刻な危機”High Severity Vulnerabilities Found in HP Enterprise Devices
2022/09/12 InfoSecurity — Binarly のセキュリティ・リサーチ・チームは、同社が1年の間に発見した、ファームウェアにおける深刻度の高い6つの脆弱性を公開した。Black Hat 2022 カンファレンスで初めて取り上げられた一連の脆弱性は、HP EliteBook デバイスに影響を与えるものであり、Common Vulnerability Scoring System (CVSS) スコアは 7.5〜8.2 となっている。
Continue reading “HP Enterprise デバイスの6つの深刻な脆弱性が未対応:Binarly 警告”A new Google bug bounty program now covers Open Source projects
2022/08/30 SecurityAffairs — Google は、同社のプロジェクトをカバーしてきた Open Source Software Vulnerability Rewards Program (OSS VRP) の一環として、新たなバグバウンティ・プログラムを開始した。このプログラムでは、Google のプロジェクトに存在する脆弱性に対して、最大 $31,337 〜 最低 $100 の報酬額が支払われるという。
Continue reading “Google がバグバウンティを刷新:オープンソース・プロジェクトも取り込んでいく”Iranian Government Hackers Exploit Log4Shell in SysAid Apps for Initial Access
2022/08/26 SecurityWeek — イラン政府に関連するとされる脅威グループが、SysAid の Log4Shell 脆弱性を悪用し、ターゲットの組織へのイニシャル・アクセスを確立したようだ。Apache Log4j のロギング・ユーティリティに影響を与える脆弱性 Log4Shell は、2021年12月に明るみに出たものである。この脆弱性 CVE-2021-44228 は、リモート・コード実行に悪用される可能性があり、営利目的のサイバー犯罪者に加えて、国家に支援されるサイバー・スパイにも悪用されてきた。
Continue reading “SysAid で Log4j の脆弱性を悪用:イラン政府のハッカーがイニシャル・アクセスに成功”RubyGems Makes Multi-Factor Authentication Mandatory for Top Package Maintainers
2022/08/16 TheHackerNews — プログラミング言語 Ruby の公式パッケージ・マネージャである RubyGems は、NPM や PyPI に続くかたちで、人気のパッケージ・メンテナに対して多要素認証 (MFA) を義務付けるプラットフォームになった。そのため、総ダウンロード数が 1億8000万を超える gem の所有者は、2022年8月15日から MFA をオンにすることが義務付けられた。
Continue reading “RubyGems でも MFA の運用がスタート:人気パッケージのメンテナに義務化”Malicious PyPi packages aim DDoS attacks at Counter-Strike servers
2022/08/15 BleepingComputer — 今週末、ロシアの Counter-Strike 1.6サーバーにDDoS攻撃を仕掛けるタイポスクワッティング攻撃のために、悪意の Python パッケージ 12個が PyPI レポジトリにアップロードされた。Python Package Index (PyPI) とは、オープンソースのソフトウェア・パッケージのリポジトリであり、開発者は自身の Python プロジェクトに、それらのパッケージを簡単に組み込み、最小限の労力で複雑なアプリを構築できる。
Continue reading “PyPI に悪意のパッケージ 12個:Counter-Strike への DDoS 攻撃に巻き込まれる恐れ”Many ZTNA, MFA Tools Offer Little Protection Against Cookie Session Hijacking Attacks
2022/09/11 DarkReading — 組織において、内部ネットワークからインターネット・トラフィックを分離するためにディプロイされるツールの多く (多要素認証/ZTNA/SSO/ID プロバイダー・サービスなど) は、Cookie の盗難/再利用および、セッション ハイジャック攻撃からの保護にはほとんど効果がない。 今週にイスラエルの新興企業 Mesh Security の研究者たちが発表したところによると、これらの技術やサービスには、適切な Cookie セッション検証メカニズムがないことが多いという、したがって、これらの技術やサービスを、攻撃者は比較的容易に迂回できるという現実がある。
Continue reading “Cookie セッション・ハイジャックの脅威:ZTNA/MFA ツールの大半は無力化される”GitHub’s new privacy policy sparks backlash over tracking cookies
2022/08/11 BleepingComputer — GitHub のプライバシー・ポリシーが変更され、GitHub によるサブドメインへのトラッキング・クッキーの設置が可能になることに、開発者たちが激怒している。今月に、Microsoft の子会社である GitHub は、9月から一部のマーケティング用 Web ページに Non-essential クッキーを追加し、さらに、ユーザーに対して 30日間のコメント期間を提供すると発表した。
Continue reading “GitHub の新しいプライバシーポリシー:Tracking Cookie への反発で大騒動”35,000 code repos not hacked—but clones flood GitHub to serve malware
2022/08/03 BleepingComputer — GitHub における数千のリポジトリがフォーク (コピー) され、そのクローンにマルウェアが仕込まれていることが、ソフトウェア・エンジニアたちにより発見された。オープンソース・リポジトリでのクローン作成は、一般的な開発手法であり、開発者の間で推奨されることもあるが、今回のケースは異なるものとなる。具体的に言うと、脅威アクターたちが正規のプロジェクトのコピーを作成し、それを悪意のあるコードで汚染し、悪意のクローンに仕立て上げ、無防備な開発者をターゲットにするという流れになる。GitHub は、エンジニアの報告を受けた後に、悪意のあるリポジトリの大半を追放した。
Continue reading “GitHub に 35,000 の悪意のリポジトリ:バックドア付きのクローンに御用心”Researchers Discover Nearly 3,200 Mobile Apps Leaking Twitter API Keys
2022/08/01 TheHackerNews — 研究者たちが発見した 3,207件のアプリ・リストだが、そのうちのいくつかは、Twitterアカウントに不正にアクセスするために利用できるものだという。シンガポールのサイバー・セキュリティ企業 CloudSEK は、The Hacker News と独占的に共有したレポートの中で、正規の Consumer Key と Consumer Secret の情報が流出したことで、乗っ取りが可能になると述べている。
Continue reading “Twitter API キーをリークする 3,200 のモバイル・アプリ:研究者が推奨する対策とは?”Over a Dozen Android Apps on Google Play Store Caught Dropping Banking Malware
2022/07/29 TheHackerNews — Google Play Store における、一見無害なドロッパー・ アプリを利用した悪質なキャンペーンにより、ユーザーの端末がバンキング・マルウェアに感染する被害が発生していた。Trend Micro が DawDropper と総称する 17種類のドロッパー・アプリは、ドキュメント・スキャナー/QR コードリーダー/VPN サービス/コール・レコーダーなどの、生産性/実用性の高いアプリを装っていた。現在は、これらのアプリは全て、Play Storeから削除されている。
Continue reading “Google Play がドロッパーアプリ群を削除:Octo などのバンキング・マルウェアを配布”GitHub introduces 2FA and quality of life improvements for npm
2022/07/27 BleepingComputer — GitHub は、npm (Node Package Manager) に対して、3つの重要な改良点の提供を発表したが、それにより、npm 利用が安全かつ管理しやすくなる。新機能の概要は、より合理化されたログインおよび公開エクスペリエンスと、Twitter/GitHub アカウントの npm リンク、そして、パッケージ署名の検証システムの追加などである。さらに GitHub は、2022年5月に導入された2要素認証プログラムのベータが終了し、すべての npm ユーザーも利用できるようになるとも述べている。
Continue reading “GitHub が npm セキュリティ強化を実施:パッケージ署名の検証システムなどを追加”Log4j Software Flaw ‘Endemic,’ New Cyber Safety Panel Says
2022/07/14 SecurityWeek — ジョー・バイデン大統領が設立した、新しい Cyber Safety Review Board によると、昨年に発見された、どこにでもあるソフトウェアに存在する脆弱性は、潜在的に 10年以上にわたってセキュリティ・リスクをもたらす風土病のようなものになるという。木曜日の報告書で、このサイバー安全審査委員会は、Log4j の脆弱性 CVE-2021-44228 による大規模なサイバー攻撃の兆候はないが、今後の数年間は悪用され続けるだろうと述べている。
Continue reading “Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する”Experts demonstrate how to unlock several Honda models via Rolling-PWN attack
2022/07/10 SecurityAffairs — Star-V Lab のセキュリティ研究者 Kevin2600 と Wesley Li のチームが、脆弱性 CVE-2021-46145 に対する Rolling-PWN 攻撃により、Honda 車両のロック解除や発進を可能になることを発見した。研究者たちが、車両の解錠/発進を遠隔操作で可能にする Remote Keyless Entry System (RKE) をテストしたところ、リモートで車両の解錠/施錠ができる Rolling-PWN 攻撃の問題が発見された。専門家たちによると、この問題は、2012年〜2022年に販売された全ての Honda 車に影響するとのことだ。
Continue reading “Honda 車両のロック解除/エンジン始動を可能にする Rolling-PWN 攻撃とは?”PyPI mandates 2FA for critical projects, developer pushes back
2022/07/09 BleepingComputer — 金曜日に、サードパーティのオープンソース Python プロジェクトための、公式リポジトリである Python Package Index (PyPI) は、重要なプロジェクトのメンテナに対して二要素認証 (2FA) を義務付ける計画を発表した。この動きに対して、多くのコミュニティ・メンバーが賞賛したが、ある人気 Python プロジェクトの開発者が、自分のプロジェクトに与えられた Critical ステータスを無効にするために、PyPI からコードを削除して再公開することになった。
Continue reading “PyPI の Critical プロジェクトで 2FA が義務化:突然の決定に反発する開発者も”CISA: Log4Shell exploits still being used to hack VMware servers
2022/06/23 BleepingComputer — 今日の CISA 警告は、Log4Shell のリモート・コード実行の脆弱性 CVE-2021-44228 が、国家を後ろ盾とするハッキング・グループなどの脅威アクターに悪用されており、VMware Horizon/Unified Access Gateway(UAG)サーバーが依然として標的にされているというものだ。攻撃者たちは、ローカルまたはインターネットにアクセスできる脆弱なサーバー上で、 Log4Shell をリモートがら悪用することで、機密データが保存される内部システムへのアクセスを獲得するまで、ネットワーク上の水平移動が可能になる。
Continue reading “CISA と CGCYBER の Log4Shell 共同勧告:依然として VMware Server はハッキング対象”Unpatched Travis CI API Bug Exposes Thousands of Secret User Access Tokens
2022/06/14 TheHackerNews — Travis-CI API における未パッチの脆弱性により、数万人のユーザー・トークンが潜在的な攻撃にさらされ、脅威アクターによるクラウド・インフラの侵害/不正なコード変更/サプライチェーン攻撃がなど事実上可能になっている。クラウド・セキュリティ企業である Aqua の研究者たちは、月曜日のレポートの中で「無料ユーザーの 7億 7000万件以上のログが公開され、そこから GitHub/AWS/Docker Hubといった人気のクラウドサービス・プロバイダーに関連する、トークン/機密情報/認証情報などが容易に抽出できる」と述べている。
Continue reading “Travis-CI API からの OAuth トークン流出:GitHub や AWS S3 に影響が生じた理由が判明”PyPI package ‘keep’ mistakenly included a password stealer
2022/06/12 BleepingComputer — PyPI パッケージである keep/pyanxdns/api-res-py の一部のバージョンには、悪意の request との依存関係が存在するため、バックドアが含まれることが判明した。たとえば、keep プロジェクトの大半のバージョンでは、HTTP リクエストを行うために正規の Python モジュール requests を使用しているが、keep v.1.2 にはマルウェアである request (s なし) が含まれている。BleepingComputer は、これが単なる誤植なのか自作自演なのか、それとも、メンテナ・アカウントの乗っ取りによるものなのかを確認するため、それぞれのパッケージの作者に問い合わせた。
Continue reading “PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取”GitHub: Attackers stole login details of 100K npm user accounts
2022/05/27 BleepingComputer — GitHub が明らかにしたのは、4月中旬に発生したセキュリティ侵害において、Heroku と Travis-CI に発行された OAuth アプリ・トークンを悪用した攻撃者により、約10万件の npm アカウントのログイン情報が盗み出されたという状況である。この脅威アクターは、数十の組織が所有するプライベート・リポジトリからの侵入と、データの窃取に成功したという。
Continue reading “GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明”Cybersecurity Community Warned of Fake PoC Exploits Delivering Malware
2022/05/24 SecurityWeek — サイバー・セキュリティ・コミュニティのメンバーたちに、PoC エクスプロイトだと偽ってマルウェアを配信する、脅威アクターたちの新たな動きが、研究者たちにより暴かれた。5月19日に研究者たちは、2022日4月の Patch Tuesday アップデートで Microsoft が修正した、Windows の脆弱性数件の PoC エクスプロイトに見せかけた、悪意のソフトウェアが GitHub にホストされていることを報告した。
Continue reading “偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式”High-Severity Bug Reported in Google’s OAuth Client Library for Java
2022/05/19 TheHackerNews — 2022年4月に Google は、Java 用 OAuth クライアント・ライブラリに存在する深刻度の高い脆弱性に対処した。この欠陥は、漏洩したトークンを用いる脅威アクターに対して、任意のペイロード展開を許す可能性があるというものだ。この脆弱性 CVE-2021-22573 の深刻度は CVSS 値 8.7 と評価され、暗号署名の不適切な検証に起因し、ライブラリの認証バイパスにいたる恐れがある。
Continue reading “Google の OAuth Client Library for Java における深刻な脆弱性 CVE-2021-22573 が FIX”Log4Shell Exploit Threatens Enterprise Data Lakes, AI Poisoning
2022/05/13 DarkReading — 人工知能 (AI) や機械学習 (ML) の導入が進み、企業のデータレイクは大容量化しているが、残念なことに、Java Log4Shell 脆弱性を介して悪用されやすいことが、研究者たちにより明らかにされている。一般的な組織は、プライバシー保護に配慮しながら、AI/ML アルゴリズムの学習用に可能な限り多くのデータポイントを取り込むことに注力しているが、データレイク自体のセキュリティ強化に手を抜いていることが、あまりにも多くなっているという。
Continue reading “Log4Shell 悪用と AI ポイズニング:企業のデータレイクに忍び寄る脅威とは?”New stealthy Nerbian RAT malware spotted in ongoing attacks
2022/05/11 BleepingComputer — Nerbian RAT と呼ばれる、新たなリモート・アクセス型トロイの木馬が発見された。この RAT は、研究者による検出や分析を回避する機能などの、豊富な機能を備えていることが判明している。この新しいマルウェアの亜種は、Golang で書かれているため、クロス・プラットフォームの 64 Bit 脅威となっており、現時点においてはマクロが混入された文書の添付ファイルを使用した、小規模な電子メール配信キャンペーンにより配布されている。この電子メール・キャンペーンは、Proofpoint の研究者たちが発見したものであり、同社は Nerbian に関するレポートも発表している。
Continue reading “Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する”Heroku Shares Details on Recent GitHub Attack
2022/05/06 SecurityWeek — 今週に Platform-as-a-Service 企業の Heroku は、複数の顧客の GitHub リポジトリに不正アクセスをもたらした 、4月のサイバー攻撃に関する追加情報を公開した。この、2022年4月中旬に公開されたインシデントは、Heroku と Travis CI に対して発行された OAuth トークンが盗まれ、この CI (Continuous Integration) システムを使用している組織のリポジトリに、攻撃者がアクセス可能になったというものである。
Continue reading “Heroku が語る先日の GitHub 攻撃:盗まれた OAuth トークンについて”GitHub to require 2FA from active developers by the end of 2023
2022/05/03 BleepingComputer — 今日、GitHub は、同社のプラットフォーム上でコードをコントリビュートする、約 8300万人の開発者が使用するアカウントに対して、2023年末までに二要素認証 (2FA) の有効化を義務付けることを発表した。この、2FA 有効化が要求されるアクティブなコントリビューターに含まれるのは、コードのコミット/Actionsの使用/プルリクエストの open/merge/パッケージの公開などを行う GitHub ユーザーとなるが、それらに限定されるものではない。
Continue reading “GitHub が 2FA への完全移行を 2023 年末まで実施:ソフトウェア・サプライチェーンを攻撃から守る”GitHub Says Recent Attack Involving Stolen OAuth Tokens Was “Highly Targeted”
2022/05/02 TheHackerNews — クラウドベースのコード・ホスティング・プラットフォーム GitHub は、Heroku と Travis-CI に対して発行された OAuth アクセス・トークンの悪用などを含む、最近の攻撃キャンペーンについて高度な標的型の性質があると説明している。GitHub の Mike Hanley は、「この行動パターンは、攻撃者がプライベート・リポジトリのリストアップとダウンロードのために、選択したターゲットのアカウントを特定するために、対象となる組織をリストアップしていたことが示唆される」と述べている。
Continue reading “GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという”EmoCheck now detects new 64-bit versions of Emotet malware
2022/04/28 BleepingComputer — 今月から感染が検出され始めたマルウェア Emotet の、64 Bit 版を検出するユーティリティ EmoCheck の新バージョンが、JPCERT からリリースされた。Emotet は、Word・Excel 文書/Windows ショートカット/ISO ファイル/パスワードで保護されたZIPファイルなどの、悪意の添付ファイルを含んだフィッシング・メールを介して、最も活発に配布されているマルウェアの1つである。これらのフィッシング・メールは、返信用チェーンメール/出荷通知/税務書類/会計報告書/ホリデーパーティ招待状などによりユーザーを騙し、ファイルを開かせるための独創的な誘い文句を使用している。
Continue reading “JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出”Log4j Attack Surface Remains Massive
2022/04/27 DarkReading — Apache Log4j logging toolの、リモートコード実行の脆弱性が公開されて4ヶ月以上が経ったが、そを悪用しようとする攻撃者は、依然として膨大な数のターゲットを手にしている。検索エンジン Shodan を用いて行った、Rezilion による最新のスキャンでは、このソフトウェアの脆弱なバージョンをインターネット上に公開している、9万台以上ものサーバーが発見されている。ただし、この数字は、オープンソース・ソフトウェアを実行して、一般に公開されているサーバーのみを対象としているため、攻撃者のターゲットの一部に過ぎないと、Rezilion は考えている。
Continue reading “Log4j 問題は収束していない:セキュリティというよりインベントリの問題?”
IoT OT Security News 
You must be logged in to post a comment.