Cloudflare now blocks all unencrypted traffic to its API endpoints
2025/03/22 BleepingComputer — Cloudflare の発表は、API エンドポイント (api.cloudflare.com) へ向けた、すべての HTTP 接続を終了し、今後はセキュアな HTTPS 接続だけを受け付けるというものだ。この措置の目的は、HTTP 接続を終了したサーバが、安全な通信チャネルにリダイレクトする前に、機密情報が平文の状態で漏洩するリスクを排除することにある。そのため、誤操作などにより送信されるケースも含めて、暗号化されていない API リクエストの送信は停止される。
Continue reading “Cloudflare の断固たる HTTPS 対応:HTTP を介した API リクエストを完全に遮断”Severe Apache Camel Exploit (CVE-2025-29891) Disclosed – Technical Details and PoC Released
2025/03/17 SecurityOnline — Apache Camel に発見された、深刻度の高い脆弱性 CVE-2025-29891 の悪用に成功した攻撃者は、悪意のヘッダーの挿入を達成し、アプリケーションの動作を操作する機会を手にする。この、広く使用される HTTP コンポーネントに影響を及ぼす脆弱性により、開発者の速やかな対応が促される。
Continue reading “Apache Camel の脆弱性が CVE-2025-29891 が FIX:メッセージ・ヘッダー・インジェクションと PoC”CVE-2024-11053 (CVSS 9.1): Curl Vulnerability Exposes User Credentials in Redirects
2024/12/14 SecurityOnline — 人気のコマンドライン・ツール/ライブラリである curl に、新たな脆弱性 CVE-2024-11053 (CVSS 9.1) が発見された。この脆弱性は、.netrcファイルを用いた認証情報の保存と、curl の HTTP リダイレクト処理とのインタラクションに起因する。この脆弱性が悪用されると、ユーザー認証情報の漏えいにつながる可能性がある。
CVE-2024-53990 (CVSS 9.2): AsyncHttpClient Vulnerability Puts Java Applications at Risk
2024/12/05 SecurityOnline — Java ライブラリである AsyncHttpClient (AHC) に、深刻な脆弱性 CVE-2024-53990 (CVSS:9.2) が発見された。 この、非同期 HTTP リクエスト送信で広く利用されるライブラリの脆弱性により、攻撃者はユーザー・セッションの悪用を達成し、機密情報への不正アクセスの可能性を手にする。
Continue reading “AsyncHttpClient の脆弱性 CVE-2024-53990 (CVSS 9.2) が FIX:誤った Cookie 処理の発生”30% of customer-facing APIs are completely unprotected
2024/10/08 HelpNetSecurity — ユーザー向け API の 70% は HTTPS により保護されているが、残りの 30%は保護されていないと、F5 が指摘している。これまでの10年間における、セキュアな Web 通信の推進により、いまでは Web ページの 90% が、HTTPS 経由でアクセスされ用になってきたが、API に関しては対照的な状況にあるとも言える。
Continue reading “ユーザー向け API の保護:HTTPS を使わない 30% の接続という現状”Beyond HTML: The Hidden Danger of Phishing in HTTP Response Headers
2024/09/12 SecurityOnline — Palo Alto Networks – Unit 42 の研究者たちは、あまり知られていない手法である、HTTP リフレッシュ・レスポンス・ヘッダーを通じて配信される、フィッシング・ページによる大規模なフィッシング・キャンペーンを発見しました。従来からの、悪意のHTML コンテンツに依存するフィッシング戦術とは異なり、この手法は、サーバから送信されたレスポンス・ヘッダーを使用して、HTML コンテンツが処理される前に、ユーザーを不正なサイトへとリダイレクトするものだ。2024年5月〜7月に、研究者たちが検出した悪意の URL は、1日あたり 2,000 件に達しており、この手法が広く使用されていることを示している。
Continue reading “HTTP Response Header を悪用するフィッシング・キャンペーン:危険性が高まる理由は何処に?”CVE-2024-23692: Unauthenticated RCE Flaw in Rejetto HTTP File Server, PoC Published
2024/06/09 SecurityOnline — Rejetto HTTP File Server (HFS) バージョン 2.x に、深刻な脆弱性 CVE-2024-23692 (CVSS:9.8) が発見され、このソフトウェアを利用している組織や個人に、重大なリスクをもたらしている。この脆弱性の悪用に成功した未認証のリモート攻撃者は、任意のコードを実行する可能性を持ち、データ漏洩/ランサムウェア攻撃/システムの完全な侵害へといたる恐れがある。
Continue reading “Rejetto HTTP File Server の RCE の脆弱性 CVE-2024-23692 が FIX:PoC も提供!”New HTTP/2 Vulnerability Exposes Web Servers to DoS Attacks
2024/04/04 TheHackerNews — HTTP/2 プロトコルの CONTINUATION フレームを悪用することで、サービス拒否 (DoS) 攻撃が可能なことが、新たな研究で判明した。セキュリティ研究者の Bartek Nowotarski により、このテクニックは “HTTP/2 CONTINUATION Flood” というコードネームで呼ばれている。2024年1月25日に彼は、この問題を CERT Coordination Center (CERT/CC) に報告している。
Continue reading “HTTP/2 で発見された新たな脆弱性:CONTINUATION Flood の仕組みについて解説する”Apache HTTP Server Hit by Triple Vulnerabilities – Users Urged to Update
2024/04/04 SecurityOnline — 広く使用されている Apache HTTP Server に、3つの脆弱性が存在することを、セキュリティ研究者たちが発見した。それらの脆弱性 CVE-2023-38709/CVE-2024-27316/CVE-2024-24795 が開く攻撃のドアから、脅威アクターたちが入り込み、Web サイトのコンテンツ改ざんから、サービス拒否 (DoS) シナリオにいたるまでの、攻撃が仕掛けられる恐れがある。
Continue reading “Apache HTTP サーバの3つの脆弱性が FIX:ただちにパッチを!”Node.js Security Update Addresses Server Crash, Request Smuggling Vulnerabilities
2024/04/03 SecurityOnline — Node.js プロジェクトがリリースしたのは、人気の JavaScript 実行環境における、アクティブなリリースライン v18.x/v20.x/v21.x に存在する、2つの脆弱性に対処するための重要なセキュリティ更新プログラムである。1つ目の脆弱性には、Node.js HTTP/2 サーバのクラッシュにいたる可能性があり、2つ目の脆弱性には、HTTPリクエスト・スマグリング攻撃を容易にする可能性がある。
Continue reading “Node.js の脆弱性 CVE-2024-27983/27982 が FIX:クラッシュと HTTP スマグリングの可能性”CVE-2024-30156 Flaw in Popular Varnish Cache Software Could Cripple Websites
2024/03/24 SecurityOnline — Web サイトのスピードとパフォーマンスの向上のために、広く利用されている Varnish Cache だが、深刻なセキュリティ脆弱性 CVE-2024-30156 が発見された。この脆弱性の悪用に成功した攻撃者は、サービス拒否 (DoS) 攻撃を仕掛け、コンテンツが豊富な大規模な Web サイトが相手であっても、ダウンさせる可能性を持つという。
Continue reading “Varnish Cache の脆弱性 CVE-2024-30156:Web サイトをダウンさせる Dos 攻撃が生じる恐れ”DDoS Evolves: 2023 Trends Reveal Attackers Shift Tactics, Target E-commerce
2024/02/18 SecurityOnline — 分散型サービス拒否 (DDoS) 攻撃の世界において、2023年は著しく変革する年となった。Qrator Labs の力作であるレポートでは、商業ツールとしての DDoS の戦略的武器化や、電子商取引プラットフォームを狙った攻撃の執拗な増加、そして、適応的な防御戦略を必要とする複雑化する脅威の状況などの、いくつかの憂慮すべき動向が明らかにされている。
Continue reading “DDoS 2023 調査:UDP フラッド攻撃が急増 – Qrator Labs”86% of cyberattacks are delivered over encrypted channels
2023/12/21 HelpNetSecurity — HTTPS を介した脅威は 2022年から 24%増加し、暗号化されたチャネルを標的にするサイバー犯罪の手口の巧妙化が、Zscaler により明らかにされた。2年連続で最も標的とされた業界は製造業であり、それに続く教育機関と政府機関は、前年比で攻撃増加率が最も高くなっている。その他の暗号化チャネルを介した攻撃タイプと比べて、悪意の Web コンテンツやマルウェアのペイロードなどの配信が多く見受けられ、すべてのブロックされた攻撃全体の 78% を、広告スパイウェア・サイトとクロスサイト・スクリプティング攻撃が占めていた。
Continue reading “サイバー攻撃の 86% は暗号化チャネルを介して到達する:HTTPS 攻撃は前年比で 24% 増”Cloudflare Mitigated 89 Hyper-Volumetric HTTP Distributed DDoS Attacks Exceeding 100 Million rps
2023/10/23 SecurityAffairs — 2023年の Cloudflare DDoS 脅威レポートによると、同社は数千件のハイパー・ボリューム・メトリック HTTP 分散型サービス拒否 (DDoS) 攻撃を阻止したという。同社が阻止した攻撃のうちの 89 件が、100 million rps (requests per second) を超えていたという。最大の攻撃のピーク値は 201 million rps であり、これは過去最大の攻撃 71M rps の3倍に相当する。これらの攻撃は、HTTP/2 Rapid Reset が脆弱性 CVE-2023-44487 を悪用したものである。
Continue reading “Cloudflare が緩和した 89件の大規模 HTTP DDoS 攻撃:なぜ 100M rps 超えが多発するのか?”Critical SOCKS5 Vulnerability in cURL Puts Enterprise Systems at Risk
2023/10/11 SecurityWeek — 10月10日に、データ転送プロジェクト cURL のメンテナたちは、エンタープライズで使用される大量の OS/アプリ/デバイスを、ハッカーからの攻撃にさらす可能性のある、深刻なメモリ破壊の脆弱性に対するパッチを配布した。このハイリスクな脆弱性は、cURL の SOCKS5 プロキシ・ハンドシェイク・プロセスに直接的な影響をもたらし、一部の非標準的なコンフィグレーションでは、リモートからの悪用を許す可能性があるという。この脆弱性 CVE-2023-38545 は、デバイスとサーバの間でデータ交換を処理する、libcurl ライブラリに存在する。
Continue reading “cURL の深刻な脆弱性 CVE-2023-38545 が FIX:バージョン 8.4.0 への移行を急いでほしい”Why Shadow APIs are More Dangerous than You Think
2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化/サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視/監査されない、最も脆弱な存在なのだ。
Continue reading “Shadow API の調査:監視/監査されない最も脆弱な存在について考える”HTTP/S DDoS Attacks Soar 487% in Three Years
2023/04/04 InfoSecurity — Netscout によると、HTTP/HTTPS の Web サイトを標的としたアプリケーション層の DDoS (Distributed Denial of Service) 攻撃の量は、Killnet などにより、2019年から2022年にかけて 487% も急増したという。セキュリティ・ベンダーである Netscout の 2022 H2 レポート “DDoS Threat Intelligence Report” は、93カ国と世界のインターネット・トラフィックの 50%以上をカバーする、同社の ATLAS ネットワークが収集したデータを基に作成されたものだ。2019年以降に、Web サイトへの攻撃が最も急増したのは 2022年下半期で、親ロシア・ハクティビストの活動による影響が大きい。
Continue reading “HTTP/S DDoS 攻撃が3年間で 487%急増:ウクライナをめぐるサイバー戦争が激化”Volume of HTTPS Phishing Sites Surges 56% Annually
2023/03/30 InfoSecurity — セキュリティ専門家たちが明らかにしたのは、HTTPS を使用するフィッシング・サイトの急増である。つまり、ブラウザに南京錠のマークが表示されている Web サイトであっても、要注意だと警告しているのだ。この調査結果は、9,500 万台ものエンドポイント/センサー/サードパーティのデータベースから収集した情報を、Open Text Cybersecurity が取りまとめた “2023 Global Threat Report” によるものだ。同レポートによると、HTTPS を使用していたフィッシング・サイトの割合は前年比で 56%近くも増加し、全体に占める割合は 2021年の32%から 2022年の 49%以上へと跳ね上がっている。
Continue reading “フィッシングの HTTPS 化:悪意のサイトの 49% が ブラウザに南京錠マークを表示”Microsoft Reclassifies SPNEGO Extended Negotiation Security Vulnerability as ‘Critical’
2022/12/15 TheHackerNews — Microsoft は、2022年9月にパッチ適用したセキュリティ脆弱性について、リモートコード実行に悪用される可能性があると判明したことで、深刻度を Critical に修正した。この脆弱性 CVE-2022-37958 (CVSS : 8.1) は、SPNEGO Extended Negotiation (NEGOEX) Security Mechanism における情報漏洩の脆弱性であると、これまでは説明されてきた。
Continue reading “Microsoft Windows SPNEGO の脆弱性 CVE-2022-37958:IBM が唱える異論とは?”Researchers Detail New Attack Method to Bypass Popular Web Application Firewalls
2022/12/10 TheHackerNews — さまざまなベンダーの Web Application Firewalls (WAF) を回避したシステムへの侵入により、企業や顧客の機密情報へのアクセスを、脅威アクターに許す可能性のある、新たな攻撃方法が発見された。WAF は重要な防衛線であり、Web アプリケーションとの間で HTTP (S) トラフィックをフィルタリング/監視/ブロックし、CSRF/XSS/SQL インジェクション/ファイル・インクルードなどの攻撃からシステムを保護するものだ。
Continue reading “WAF に JSON を投げ込む攻撃手法:バイパスが可能になるという Claroty の調査”Imperva blocked a record DDoS attack with 25.3 billion requests
2022/09/21 SecurityAffairs — サイバー・セキュリティ企業の Imperva は、2022年6月27日に発生した 253回億以上のリクエストによる、DDoS 攻撃を緩和させた。専門家たちによると、この攻撃は Imperva のアプリケーションである DDoS 軽減ソリューションの新記録となったという。今回の攻撃は、中国の無名の電気通信会社を標的とし、4時間以上にわたって発生し、ピーク時には 3.9 million RPS を記録したとされる。
Continue reading “Imperva が DDoS を緩和:25.3 B リクエストの総量と 3.9 M RPS のピーク値”New Log4j Attack Vector Discovered
2021/12/21 DarkReading — 12月9日に公開された Log4j のリモートコード実行 (RCE) の脆弱性だが、それを狙う攻撃への対応を進めている企業は、いくつかの新たな検討事項を念頭に置いている。Blumira のセキュリティ研究者たちは、内部およびローカルに公開された Log4j アプリケーションに対して、JavaScript による WebSocket 接続を介した、RCE の脆弱性がトリガーされる可能性があることを発見した。
Continue reading “Log4j の新たな攻撃ベクター WebSocket と3つの脆弱性に関する整理”New differential fuzzing tool reveals novel HTTP request smuggling techniques
2021/11/25 DailySwig — 研究者たちが、HTTP request smuggling を発見するための、新しいファジング・ツールを発表した。この、T-Reqs と名づけられたツールは、ボストンの Northeastern University と Akamai のチームにより開発された。ホワイト・ペーパーの中で研究者たちは、このファジング・ツールを使って、新しい脆弱性を大量に発見した方式について述べており、バグ・ハンターたちにも利用できると述べている。
Continue reading “新しい差分ファジング・ツールの誕生:HTTP request smuggling を漏らさず見つけ出す”Over 60,000 parked domains were vulnerable to AWS hijacking
2021/09/03 BleepingComputer — ドメイン・レジストラの MarkMonitor は、60,000件以上のパークドメインをハイジャックに対して脆弱な状態にしていた。Clarivate 傘下となった MarkMonitor は、世界のトップ・ブランドと、それを利用する何十億もの人々の、オンライン・プレゼンスの確立/保護を支援するドメイン管理会社である。そこにパークされたドメインは、存在しない Amazon S3 バケットのアドレスを指していることが確認されており、ドメイン乗っ取りの弱点が存在することを示唆している。
Continue reading “6万以上のパークドメインに危機:レジストラだけではなく AWS にも問題が”Expert released PoC exploit code for Windows CVE-2021-31166 bug
2021/05/17 SecurityAffairs — 2021年5月の Microsoft Patch Tuesday は、55件の脆弱性に対応しているが、その中には CVE-2021-31166 として追跡されている、HTTP Protocol Stack におけるリモートコード実行という、クリティカルな脆弱性も含まれる。
Continue reading “Windows の脆弱性 CVE-2021-31166 に関する PoC エクスプロイトが公開された”Google Chrome 90 released with HTTPS as the default protocol
2021/04/14 BleepingComputer — 2021年4月14日に Google Chrome 90 Desktop の Stable Channel Update がリリースされ、セキュリティの改善や、新しい AV1 エンコーダの提供に加え、デフォルト・プロトコルの HTTPS への変更などが実施された。
Continue reading “Google Chrome 90 はディフォルト・プロトコルとして HTTPS を選ぶ”
IoT OT Security News 