Chinese APT Hackers Used Log4Shell Exploit to Target Academic Institution
2021/12/30 The Hacker News — 中国を拠点とする新たな標的型侵入攻撃者である Aquatic Panda は、Apache Log4j ロギング・ライブラリの深刻な欠陥をアクセス・ベクターとして利用し、ターゲット・システム内での偵察や資格情報の収集などの、持続性のある攻撃のための準備を行っていることが観察されている。
Continue reading “中国の APT ハッカーたちが Log4Shell を使って大規模な学術機関を攻撃”Log4j 2.17.1 out now, fixes new remote code execution bug
2021/12/28 BleepingComputer — Apache は、Log4j 2.17.0 における、新たなリモートコード実行 (RCE) 脆弱性 CVE-2021-44832 をに対して、新バージョン 2.17.1 をリリースし、この問題を修正した。今日までは、2.17.0 が Log4j の最新バージョンであり、アップグレードする対象として、最も安全であると考えられていたが、アドバイザリは進化している。
Continue reading “Apache から Log4j 2.17.1 がリリース:新たなリモートコード実行 CVE-2021-44832 に対応”Experts monitor ongoing attacks using exploits for Log4j library flaws
2021/12/27 SecurityAffairs — DrWeb の研究者たちは、Apache Log4j ライブラリの脆弱性 (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104/CVE-2021-42550) を悪用した攻撃を監視し、また、防御策を講じる必要性を警告している。これらの脆弱性を悪用することで、脅威アクターによるターゲット・システム上での、任意のコード実行/サービス妨害 (Denial of Service)/機密情報の開示などを許してしまう。
Continue reading “Log4j ライブラリの脆弱性悪用:専門家たちが仕掛けたハニーポットからの情報”Log4j: A CISO’s Practical Advice
2021/12/24 DarkReading — あなたは、おそらく、Log4j の脆弱性について、信頼できる技術的分析をたくさん読んでいることだろう。しかし、そのような分析は、この記事にはない。その代わりに、CISO の役割に費やしてきた私の数十年からの視点と、CISO/CIO 仲間との会話から得られた視点を提供したい。
Continue reading “Log4j 問題に関する CISO の実践的なアドバイス:対処法の繰り返しで良いのか?”Arctic Wolf Script Can Discover Log4Shell Vulnerabilities
2021/12/23 SecurityBoulevard — 今週のこと、マネージド・セキュリティ・サービスを提供している Arctic Wolf は、スキャン・ツールによる Log4Shell 脆弱性の発見を支援するスクリプトを公開した。Arctic Wolf の Field CTO である Ian McShane によると、同社は Log4Shell Deep Scan スクリプトを使用して、ネストされた JAR/WAR/EAR ファイル内の CVE-2021-45046/CVE-2021-44228 の脆弱性を検出している。
Continue reading “Arctic Wolf の Log4Shell Deep Scan スクリプト:入れ子になっている Log4j を探査”4-Year-Old Bug in Azure App Service Exposed Hundreds of Source Code Repositories
202/12/22 TheHackerNews — Microsoft の Azure App Service におけるセキュリティ上の欠陥により、2017年9月から少なくとも4年間に渡り、Java/Node/PHP/Python/Ruby で書かれた、顧客アプリケーションのソースコードが公開されていたことが明らかになった。
Continue reading “Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩”New Log4j Attack Vector Discovered
2021/12/21 DarkReading — 12月9日に公開された Log4j のリモートコード実行 (RCE) の脆弱性だが、それを狙う攻撃への対応を進めている企業は、いくつかの新たな検討事項を念頭に置いている。Blumira のセキュリティ研究者たちは、内部およびローカルに公開された Log4j アプリケーションに対して、JavaScript による WebSocket 接続を介した、RCE の脆弱性がトリガーされる可能性があることを発見した。
Continue reading “Log4j の新たな攻撃ベクター WebSocket と3つの脆弱性に関する整理”WhiteSource Open Source Tool Can Discover Log4j Vulnerabilities
2021/12/20 SecurityBoulevard — WhiteSource は、Log4j ロギング・ソフトウェアの脆弱なインスタンスを検出するための、オープンソース・ツールを公開した。最近になって公開された Log4j の欠陥は、サイバー犯罪者が Java アプリケーションを介して、リモートコード実行 (RCE) 攻撃を仕掛けることを許してしまう。
Continue reading “WhiteSource の OSS Tool:Log4j 脆弱性の発見を容易にする”Intruders leverage Log4j flaw to breach Belgian Defense Department
2021/12/20 CyberScoop — ベルギー国防省 (Belgian Defense Ministry) のコンピュータ・ネットワークの一部が、Apache Log4j の脆弱性を悪用するサイバー攻撃を受け、木曜日から停止していると、同国の政府関係者が発表した。Olivier Séverin 報道官は VRT ニュースの取材に対して、「この週末は、すべてチームを動員して問題をコントロールし、活動を継続し、パートナーに警告を発している。最優先事項は、ネットワークの運用を継続することであり、引き続き状況を監視していく」と述べている。
Continue reading “Log4j 脆弱性を悪用する侵入者:ベルギー国防総省のネットワークを侵害”CISA Issues Emergency Directive on Log4j
2021/12/20 SecurityBoulevard — 人気の Java ベースのロギング・ライブラリ Log4j に存在する、一連の脆弱性への警戒レベルを高めるために、Cybersecurity and Infrastructure Security Agency (CISA) が緊急指令を発出した。この脆弱性は、2021年12月9日に公開された、複数の脅威アクターたちにより活発に悪用されている。
Continue reading “CISA の Log4j 緊急指令:さまざまな報告義務は意図どおりに機能するのか?”Google Finds 35,863 Java Packages Using Defective Log4j
2021/12/20 SecurityWeek — コンピュータ・セキュリティ業界は、Log4j のセキュリティ問題が散見される、長くて険しい道のりに気を引き締めている。専門家たちは、ソフトウェアの依存関係にパッチを当てる作業が上手くいかないと、世界的な緩和策が遅れてしまうと警告している。今週に、Google のオープンソース・チームが、Maven Central にある 35,863個のJava パッケージが、欠陥のある Log4j ライブラリ。バージョンを使用していると報告したことで、この危機の規模と影響が明らかになった。(編集部注:Maven Centralは最大かつ最重要な Java パッケージ・リポジトリ)
Continue reading “Google 調査:Log4j の影響を受ける Java Packages は 35,863 種類”Log4Shell Vulnerability Risks for OT Environments — and How You Can Better Protect Against Them
2021/12/19 SecurityIntelligence — Log4Shell の脆弱性を知らない (対応していない) IT 担当者はいない、と言っても過言ではないだろう。オペレーショナル・テクノロジー (OT) の分野も例外ではないが、この脆弱性が OT テクノロジーにおよぼす影響については、まだ完全には解明されていない。今月の初めに公開された、この脆弱性については、最新のパッチ情報を含め、ココで詳細を確認できる。IT 業界は、ネットワークを強化して不正侵入を防ごうとしているが、OT 環境では更に集中的なアプローチが必要になるかもしれない。
Continue reading “OT 環境での Log4Shell リスク:防御のための最適な手段を探る”Apache releases the third patch to address a new Log4j flaw
2021/12/18 SecurityAffairs — 専門家たちが、Log4j ライブラリ上の公開された2つ目の脆弱性 CVE-2021-45046 の悪用を警告する一方で、3つ目のセキュリティ脆弱性も話題になっている。ここでは、Log4j の脆弱性の時系列を整理する。1つ目の脆弱性 CVE-2021-44228 (Log4Shell) は、先週に中国のセキュリティ研究者 p0rz9 が PoC エクスプロイトを公開したことで話題になったものだ。
Continue reading “Apache Log4j の3度目のパッチ:Lookup による制御不能な再帰に対応”New Local Attack Vector Expands the Attack Surface of Log4j Vulnerability
2021/12/18 TheHackerNews — サイバー・セキュリティ研究者たちが、JavaScript による WebSocket 接続を介して、ローカル・サーバー上の Log4Shell 脆弱性を悪用するという、まったく新しい攻撃ベクターを発見した。
Continue reading “Log4j 脆弱性:WebSocket を介した新たな攻撃ベクターと参入ランサムウェア”TellYouThePass ransomware revived in Linux, Windows Log4j attacks
2021/12/17 BleepingComputer — 攻撃者たちが復活させたのは、TellYouThePass と呼ばれる、以前から存在しているアクティブではないランサムウェアであり、Apache Log4j ライブラリの深刻なリモートコード実行の脆弱性を標的とし、Windows および Linux デバイスへの攻撃のためにディプロイされている。KnowSec 404 Team の Heige は月曜日の Twitter で、Log4Shell と名付けられた脆弱性 CVE-2021-44228 を悪用するランサムウェアが、古い Windows システム上にドロップされたことを確認した後に、一連の攻撃を報告した。
Continue reading “TellYouThePass ランサムウェアが復活:Log4Shell で Linux/Windows への攻撃を準備”Conti ransomware uses Log4j bug to hack VMware vCenter servers
2021/12/17 BleepingComputer — Conti のランサムウェアは、深刻な脆弱性である Log4Shell を利用して、組織内の VMware vCenter Server インスタンスに素早くアクセスし、仮想マシンを暗号化している。Conti は、この新しい攻撃手法の具体化に時間をかけることなく、Log4j の脆弱性を武器にした、最初の一線級のランサムウェア・ギャングとなった。
Continue reading “Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める”Russian Cyberspy Groups Start Exploiting Log4Shell Vulnerability
2021/12/17 SecurityWeek — 先日に公開された、Log4Shell の脆弱性を狙う国家のリストにロシアが追加されたが、すでに複数のロシアン・サイバースパイ・グループが悪用を試みている。この、CVE-2021-44228/Log4Shell/LogJam として追跡されている、Log4j の脆弱性の悪用は 12月初旬に始まっている。最初の攻撃報告では、暗号通貨マイナー/DDoS マルウェア/ランサムウェア/悪意のプログラムの配信などの、利益を追求するサイバー犯罪者に関連する活動が報告されていた。
Continue reading “ロシアのスパイグループが Log4Shell の悪用を開始:APT28/Turla/Ursnif などによる探索を検知”Log4Shell – The API Security Challenge
2021/12/16 SecurityBoulevard — 先週に発生した Log4Shell CVE-2021-44228 の脆弱性は、現代のアプリケーションや、相互に接続されたサービス、そして普及した API が、いかにしてセキュリティに大きな課題を引き起こすかを示す顕著な例である。長年にわたり、API の脆弱性を調査してきたセキュリティ・リサーチャーとしては、これは、どのようにして物事が上手くいかなくなるかを示す好例だと言いたい。私は最近、この新たな脅威に対する、私の理解を共有するために、このエクスプロイトの詳細を説明するウェビナーに参加した。
Continue reading “Log4Shell という API セキュリティの課題:ユーザー入力/JNDI/LDAP が生み出すモンスター”Log4j attackers switch to injecting Monero miners via RMI
2021/12/16 BleepingComputer — Apache Log4j の脆弱性を悪用する一部の脅威アクターたちは、LDAP コールバック URL から RMI への切り替えを図り、また、成功の可能性を最大限に高めるために、1つのリクエストで双方を使用しているようだ。この移行は、進行中の攻撃における顕著な変化であり、すべての潜在的な攻撃ベクターを、防御者が保護しようとする際に注意する必要が生じる。
Continue reading “Log4j の攻撃手法が LDAP から RMI へ:現時点では Monero マイナーが使用”Nation-state hackers aim to exploit Log4j software flaw, Microsoft warns
2021/12/15 CyberScoop — 火曜日に、Microsoft の Threat Intelligence Team が発表したところによると、中国/北朝鮮/イラン/トルコの政府に関連するハッカーたちが、Apache Log4j の脆弱性を利用する方法を模索しているとのことだ。この脆弱性を利用して、米国の連邦政府機関を標的した例はないが、依然として攻撃を警戒していると、Cybersecurity and Infrastructure Security Agency (CISA) が述べている。
Continue reading “Microsoft 警告:国家に支援されたハッカーたちが Log4j 悪用を開始”Hackers Begin Exploiting Second Log4j Vulnerability as a Third Flaw Emerges
2021/12/15 TheHackerNews — 水曜日に、Web インフラ企業である Cloudflare は、幅広く利用されている Log4j ロギング・ユーティリティーの2つ目のバグを悪用しする脅威が存在することを明らかにした。パッチを適用していないシステムに対して、多様なマルウェアによる攻撃が続いているため、顧客は最新バージョンのインストールを迅速に行う必要がある。
Continue reading “Log4j の2つ目の脆弱性 CVE-2021-45046 が悪用されている:3つ目の脆弱性も浮上”Attackers Target Log4J to Drop Ransomware, Web Shells, Backdoors
2021/12/15 DarkReading — 新たに公開された Log4j の脆弱性を利用して、ランサムウェア/リモートアクセス型トロイの木馬/Web シェルなどを、脆弱なシステム上に展開しようとするアクティビティが、少なくとも1つの国家機関を含む脅威アクターたちにより行われている。その一方で、複数のユーザー組織が、このログツールの脆弱性を含むバージョンをダウンロードし続けている。
Continue reading “Log4J と攻撃者たち:IT/IoT/OT を狙うランサムウェア・ギャングから国家支援ハッカーまで”CISA probes scope, potential fallout of Log4j vulnerability
2021/12/14 CyberScoop — この火曜日に、米政府のサイバー担当トップが語ったところによると、Cybersecurity and Infrastructure Security Agency (CISA) では、Apache Log4j の脆弱性を悪用したハッカーによる連邦政府機関への危害を確認していないが、この脆弱性を原因とする広範な攻撃を依然として恐れているという。
Continue reading “CISA の Log4j 対策:Log4Shell による被害の範囲と深刻さを把握したい”US CISA orders federal agencies to fix Log4Shell by December 24th
2021/12/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府の各組織に対して 2021年12月24日までに、Log4j ライブラリに存在する深刻な脆弱性 Log4Shell に対処するよう命じた。この命令は、脆弱性 Log4Shell を悪用する脅威アクターによるたちが、政府システムを攻撃することを防ぐことを目的としている。
Continue reading “米国 CISA から連邦政府各組織へ:Log4Shell への対応を 12月24日までに完了せよ”40% of Corporate Networks Targeted by Attackers Seeking to Exploit Log4j
2021/12/14 DarkReading — Log4j の脆弱性が、インターネット・セキュリティにとって最大の脅威の1つであるという初期の懸念は、週末に爆発的に増加した脆弱性の悪用と悪用活動により早急に確認されており、企業が行うべき修復作業の膨大さが明らかになっている。
Continue reading “Log4j の悪用:企業ネットワークの 40% が攻撃者の標的になり得る”Researchers release ‘vaccine’ for critical Log4Shell vulnerability
2021/12/10 BleepingComputer — サイバー・セキュリティ企業 Cybereason の研究者たちは、インターネット上で猛威を振るっている、Apache Log4j に存在するコード実行脆弱性 Log4Shell を、リモートから緩和させるワクチンを発表した。Apache Log4j とは、Webサーバーのアクセスログや、アプリケーションのログを分析するための、Java ベースのロギング・プラットフォームである。このソフトウェアは、エンタープライズおよび eコマース・プラットフォームなどで多用され、本日未明にパッチ版が配布された Minecraft などのゲームでも利用されている。
Continue reading “Apache Log4Shell 脆弱性:Cybereason がワクチン Logout4Shell を発表”OWASP ModSecurity Core Rule Set sandbox launched to help security researchers test new CVEs
2021/12/10 DailySwig — OWASP ModSecurity Core Rule Set に対してペイロード・テストを行うセキュリティ研究者たちが、プロジェクト・メンテナがリリースした新しいサンドボックスを使えるようになったという朗報である。この Core Rule Set (CRS) とは、ModSecurity および、互換性のある Web Application Firewalls (WAF) で使用するための、一般的な攻撃検知ルールのセットである。その目的は、OWASP Top Ten を含む広範な攻撃から、Webアプリケーションを保護することにある。
Continue reading “OWASP ModSecurity Core Rule Set サンドボックスが登場:新たな CVE の研究が効率化される”New zero-day exploit for Log4j Java library is an enterprise nightmare
2021/12/10 BleepingComputer — ユビキタスな Java ベースのロギング・ライブラリである Apache Log4j の、深刻なゼロデイ脆弱性の PoC エクスプロイトがオンラインで共有されたことで、ホーム/エンタープライズ・ユーザーが、リモートコード実行の攻撃にさらされる可能性が生じている。
Continue reading “Log4j Java library の深刻なゼロデイ脆弱性 CVE-2021-44228 に対処するには?”Microsoft, Google OAuth flaws can be abused in phishing attacks
2021/12/09 BleepingComputer — 研究者たちが発見したのは、脆弱な OAuth 2.0 実装に対して URL リダイレクト攻撃を仕掛けるという、これまで知られていなかった一連の手法である。これらの攻撃により、フィッシグ検知やメール・セキュリティの回避が生じると同時に、フィッシング URL が正当であるかのような錯覚により、被害者を増やすことにつながる。Proofpoint が検出したキャンペーンは、Outlook Web Access/PayPal/Microsoft 365/Google Workspace を対象としている。
Continue reading “OAuth の欠陥とフィッシング:Microsoft/Google/PayPal もリダイレクトの対象だ”Grafana fixes zero-day vulnerability after exploits spread over Twitter
2021/12/07 BleepingComputer — 今日、オープンソースの分析/可視化ソリューションを提供する Grafana は、ローカル・ファイルへのリモート・アクセスを許してしまう、深刻度の高いゼロデイ脆弱性を修正する緊急アップデートを行った。この問題の詳細は、今週の初めに公開が始まっており、Grafana Labs は影響を受けるVersion 8.0.0-beta1〜8.3.0 のアップデートを提供した。
Continue reading “Grafana のゼロデイ脆弱性 CVE-2021-43798 の PoC が Twitter で拡散”Searching for Bugs in Open Source Code
2021/11/30 SecurityBoulevard — まずは、迷信の払拭から始めよう。オープンソース・ソフトウェアが、クローズドソース・ソフトウェアよりも、安全性が低いということはない。しかし、オープンソースのプログラムに脆弱性が発見されると、クローズドソースで発見された脆弱性よりも、はるかに容易に武器化し、悪用される傾向にある。これが、現実だ。
Continue reading “オープンソースからバグを取り除く:重要なのは報奨金とエコシステムだ”Hackers Using Compromised Google Cloud Accounts to Mine Cryptocurrency
2021/11/29 TheHackerNews — Google Cloud Platform (GCP) の不適切なセキュリティ管理を悪用することで、侵害されたシステムへの暗号通貨マイニング・ソフトウェアのダウンロードや、インフラを悪用したランサムウェアのインストール、フィッシング・キャンペーンの実施、YouTube トラフィック/視聴回数の操作などが横行している。
Continue reading “Google 警告:GCP の不適切な管理がもたらす暗号通貨マイニングなどの手口”Red Teams and the Value of Open Source PoC Exploits
2021/11/10 SecurityBoulevard — レッド・チームとは、優れたサイバー・セキュリティを構成するうえで必要な要素である。(ISC)2 Security Congressで講演した、セキュリティ研究者の Richard Tychansky は、レッド・チームは攻撃的なセキュリティであると説明している。レッド・チームのプロセスにおいては、いくつかの段階的なステップを踏む必要があると、彼は言う。
Continue reading “レッドチームが必要な理由:PoC エクスプロイトが重要な理由”Researchers Uncover ‘Pink’ Botnet Malware That Infected Over 1.6 Million Devices
2021/11/01 TheHackerNews — サイバー・セキュリティ研究者たちが、過去6年間で悪用が観測された、最大のボットネットについて詳細を公開した。主に中国にある 160万台以上のデバイスに感染し、分散型サービス拒否 (DDoS) 攻撃や、無防備なユーザーが訪れる Web サイトへの悪意の広告挿入などに用いられてきた。
Continue reading “中国で発見された Pink ボットネット:160 万台のデバイスに感染していた”Cybercriminals Take Aim at Connected Car Infrastructure
2021/10/30 DarkReading — 自動車のコネクテッド化が進む中、さまざまな攻撃が発生している。自動車盗難者はキーレス・エントリー・システムを悪用し、ハッカーは自動車の部品を悪用する新たな方法を見つけだし、自動車金融を狙った詐欺行為が行われていると、自動車サイバー・セキュリティの専門家が、今週のインタビューで語っている。
Continue reading “コネクテッドカーのインフラ:サイバー犯罪者が狙う格好の標的になる”Penetration Testing in the Cloud Demands a Different Approach
2021/10/20 DarkReading — ほとんどの企業は、攻撃者がテクニックを変更すれば、防御側はセキュリティ戦略を見直す必要があるというパターンを熟知している。そして今、犯罪者がクラウド環境を攻撃の標的にしていることで、企業はクラウド・インフラの安全性を確保する必要に迫られている。
Continue reading “クラウド環境におけるペンテストは従来からのパターンとは全く異なる”BlackByte ransomware decryptor released to recover files for free
2021/10/19 BleepingComputer — ランサムウェア BlackByte の復号器が無償で公開され、これまでの被害者は身代金無しでファイルを復元できるようになった。ほとんどのケースにおいて、ランサムウェアが実行されると、被害者のデバイスを暗号化するための、ファイル/マシンごとに固有の暗号化キーである、セッションキーと呼ばれるものが生成される。
Continue reading “BlackByte ランサムウェア:バグにより複合キーが漏れ出したようだ”Unpatched Dahua cams vulnerable to unauthenticated remote access
2021/10/07 BleepingComputer — パッチが適用されていない Dahua カメラには、2つの認証バイパスの脆弱性が存在するが、本日に公開された PoC エクスプロイトにより、アップグレードが急務となっている。この認証バイパスの脆弱性は、CVE-2021-33044 CVE-2021-33045 として追跡されており、いずれもログイン・プロセス中に、特別に細工されたデータ・パケットをターゲット・デバイスに送信することで、リモートからの悪用が生じる可能性がある。詳細については、GitHub で公開されている PoC (Proof of Concept) を参照してほしい。
Continue reading “Dahua 監視カメラにリモート認証バイパスの脆弱性”Travis CI Flaw Exposes Secrets of Thousands of Open Source Projects
2021/09/16 TheHackerNews — 継続的インテグレーション・ベンダーである Travis CI は、API keys/Access Tokens/Credentials が流出するという、深刻なセキュリティ上の欠陥を修正した。それに伴い、公開されたソースコード・リポジトリを使用する組織には、攻撃を受ける可能性が生じる。
Continue reading “Travis CI の脆弱性により膨大なオープンソース・プロジェクトから秘密が漏れる”VMware denies allegations it leaked Confluence RCE exploit
2021/09/10 DailySwig — VMware は、独立系のセキュリティ研究者が同社のサーバー用に作成した、 Atlassian Confluence 脆弱性の PoC エクスプロイトを、流出させたという非難に反論した。研究者である Thanh Nguyen は、9月7日に公開されたブログ記事の中で、17時間前に VMware に送信した認証前リモートコード実行 (RCE) エクスプロイトと同一のペイロードが、GitHub 上に現れたと主張している。
Continue reading “VMware とバグ報奨金:Atlassian Confluence 脆弱性 PoC をめぐる混乱”HAProxy Found Vulnerable to Critical HTTP Request Smuggling Attack
2021/09/08 TheHackerNews — HAProxy は、オープンソースのロード・バランサー/プロキシ・サーバーとして広く利用されているが、この HAProxy には深刻なセキュリティ上の脆弱性が存在する。この CVE-2021-40346として追跡されている整数オーバーフローの脆弱性は、CVSS 値 8.6 であり、HAProxy Ver 2.0.25 / 2.2.17 / 2.3.14 / 2.4.4 で修正されている。
Continue reading “HAProxy の深刻な脆弱性により HTTP リクエスト・スマグリングが生じる?”Rethinking Cloud Infrastructure Authentication
2021/08/30 SecurityBoulevard — 願わくば p4$$w0r9s を超えて、すべてのクラウド・インフラでセキュアなキーと多要素認証 (MFA) を使ってもらいたいものだ。しかし、それぞれの小さなノードや、ソフトウェア、サーバ、管理コンソールなどにアクセスできる人が、何人いるか把握されているだろうか?スクリプトが実行できるようにするために、どれだけのキーが散らばっているだろうか?信頼できる IP は何個あるだろうか?もし悪意のある人が、これらのうちの1つを手に入れたら、ネットワークがダウンする可能性があるのだろうか?誰かが退職したときに、変更しなければならないパスワードは何個あるのだろうか?
Continue reading “クラウド・インフラの認証を再考:GitOps のすすめ”CISA: Don’t use single-factor auth on Internet-exposed systems
2021/08/30 BleepingComputer — 今日のこと、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、一要素認証 (SFA : Single Factor Authentication) を、同機関が推奨するサイバー・セキュリティのバッド・プラクティスに追加した。CISA のバッド・プラクティス・カタログには、連邦政府機関が非常に危険と判断したプラクティスが含まれており、政府機関や民間企業のシステムが脅威にさらされる、不必要なリスクを負うことになるため、使用すべきではないとしている。
Continue reading “CISA スバラシイ:一要素認証をバッド・プラクティスと認定する”Windows 365 exposes Microsoft Azure credentials in plaintext
2021/08/13 BleepingComputer — ありセキュリティ研究者が、Mimikatz を使って、Microsoft の最新 Windows 365 Cloud PC Service から、ユーザーの Microsoft Azure 認証情報を平分でダンプする方法を発見した。Mimikatz とは、Benjamin Delpy が作成したオープンソースのサイバー・セキュリティ・プロジェクトであり、認証情報の窃取や成りすましの脆弱性をテストするために、研究者たちに利用されるソフトウエアである。このプロジェクトの GitHub ページには、「メモリから平文のパスワードや、ハッシュ、PIN コード、Kerberos チケットを抽出することはよく知られている。
Continue reading “Windows 365 から Microsoft Azure クレデンシャル情報を平文でダンプ”Google open-sourced Allstar tool to secure GitHub repositories
2021/08/13 SecurityAffairs — Google がオープンソース化した Allstar は、設定ミスを防ぐための一連のセキュリティ・ポリシーを施行することで、GitHub プロジェクトのセキュリティを確保するツールのプロジェクトである。このプロジェクトの説明には、「Allstar は、組織やリポジトリにインストールして、セキュリティ・ポリシーを設定/実施するための GitHub App だ。その目的は、リスクを伴う可能性のある GitHub の設定や、セキュリティのベスト・プラクティスに従わないリポジトリの、ファイル・コンテンツを継続的に監視/検出する点にある。Allstar により、リポジトリのコンプライアンス違反が発見された場合には、課題の作成やセキュリティ設定の復元などのアクションが実行される」と書かれている。
Continue reading “Google Allstar は GitHub のセキュアな運用のためのオープンソース”New Cobalt Strike bugs allow takedown of attackers’ servers
2021/08/04 BleepingComputer — セキュリティ研究者が、ビーコン C2 (command-and-contro) 通信チャネルの遮断や、新たなデプロイメントを阻止する、Cobalt Strike のサービス拒否 (DoS) 脆弱性を発見した。Cobalt Strike は、レッドチーム (セキュリティの専門家が、自組織のインフラを攻撃する役割で行動し、セキュリティ・ギャップや脆弱性を発見する) の攻撃フレームワークで使用するために設計された、正規のペネトレーション・テスト・ツールだ。
Continue reading “Cobalt Strike の新たなバグにより悪意のサーバーがダウンした?”GitHub Launches ‘Copilot’ — AI-Powered Code Completion Tool
2021/06/30 TheHackerNews — 火曜日に GitHub がテクニカル・プレビューを開始した、AI 搭載の新たな Pair Programming Tool は、Python / JavaScript / TypeScript / Ruby / Go などでプログラミングする際に、ソフトウェア開発者がより良いコードを書けるようにすることを目的としている。この Copilot という名のツールは、OpenAI と共同で開発されたコード・シンセサイザーであり、Codex という新たな AI システムを活用している。
Continue reading “GitHub がリリースする Copilot は AI 搭載のコード・コンプリーション・ツール?”79% of Third-Party Libraries in Apps Are Never Updated
2021/06/24 DarkReading — ソフトウェア開発者は、サードパーティ・ライブラリをコードベースに組み込んだ後に、そのライブラリをアップデートしないことが、大半であることが分かった。Veracode は、301,000 以上のソフトウェア・ライブラリを含む、約86,000の顧客リポジトリを対象に、1,300万回のスキャンを行った結果を分析した。
Continue reading “アプリケーションに含まれる Third-Party ライブラリの 79% が更新されていない?”GitHub Discloses Details of Easy-to-Exploit Linux Vulnerability
2021/06/11 SecurityWeek — 今週のこと、GitHub は Linux に存在する、root 権限取得の脆弱性を公開したが。この脆弱性は、数多くの Linux ディストリビューションににおいて、デフォルトで搭載されている認証サービス polkit に影響するものだ。このセキュリティ・ホールは、GitHub Security Lab の Kevin Backhouse により発見されたものであり、詳細に関するブログとビデオも公開されている。
Continue reading “簡単に悪用できる Linux の脆弱性を GitHub が公表”GitHub now scans for accidentally-exposed PyPI, RubyGems secrets
2021/06/09 BleepingComputer — 最近の GitHub は、PyPI と RubyGems のレジストリにおける機密情報を含むリポジトリに対して、スキャン機能を拡張している。それにより、Ruby や Python の開発者が作成した、何百万ものアプリケーションの保護が実現される。つまり、開発者たちは、GitHub の公開リポジトリの中に、何らかの機密情報や認証情報を不用意にコミットしている可能性があるのだ。
Continue reading “GitHub の秘密のスキャンが PyPI や RubyGems の安全性を護る”
IoT OT Security News 
You must be logged in to post a comment.