Popular Selenium Library WebDriverManager Hit by Critical XXE Bug (CVE-2025-4641, CVSS 9.3)
2025/05/16 SecurityOnline — Selenium ベースの自動化フレームワークで広く使用されている重要な Java ライブラリ、WebDriverManager に、重大な XML 外部エンティティ (XXE) の脆弱性 CVE-2025-4641 が発見された。この脆弱性は、CVSS スコアで 9.3 と評価されており、Windows/macOS/Linux を含む複数のプラットフォームに深刻な影響を及ぼす可能性がある。
Continue reading “WebDriverManager の脆弱性 CVE-2025-4641 が FIX:Java ライブラリに XXE 情報漏洩と不正アクセス”CVE-2025-30065 (CVSS 10): Critical Vulnerability Discovered in Apache Parquet Java
2025/04/02 SecurityOnline — 広く使用されている OSS のカラム指向データファイル形式である Apache Parquet に、深刻なセキュリティ脆弱性が存在することが判明した。この脆弱性は、Apache Parquet Java ライブラリを使用するシステムに対して、深刻なリスクをもたらす。
Continue reading “Apache Parquet Java の脆弱性 CVE-2025-30065 (CVSS 10) が FIX:任意のコード実行の恐れ”2025/03/31 gbhackers — HPE Insight Cluster Management Utility (CMU) v8.2 に存在する、認証を必要としないリモート・コード実行 (RCE) 脆弱性を悪用する攻撃者は、HPC high-performance computing) クラスター上で、認証を回避して root としてコマンド実行を達成すると、研究者たちが明らかにした。
Continue reading “HPE Insight CMU v8.2 の RCE 脆弱性 CVE-2024-13804:EoL に対する PoC の提供”CVE-2025-0851 (CVSS 9.8): Deep Java Library Vulnerability Allows Path Traversal Exploits
2025/02/02 SecurityOnline — ZipUtils.unzip/TarUtils.untar ユーティリティに、パス・トラバーサルの脆弱性 CVE-2025-0851 (CVSS 9.8) が発見された。これらのユーティリティは、DJL (Deep Java Library) で用いられるモデルをロードする際に、tar/zip モデル・アーカイブを抽出するために使用される。この問題は、DJL のバージョン 0.1.0〜0.31.0 に影響を及ぼすものであり、抽出プロセス中の絶対パス・トラバーサルに対する不十分な保護により発生する。
Continue reading “Deep Java Library の脆弱性 CVE-2025-0851 (CVSS 9.8) が FIX:パス・トラバーサルの恐れ”Critical Flaw CVE-2024-53299 in Apache Wicket: Memory Leak Flaw Exposes Web Apps to DoS Attacks
2025/01/25 SecurityOnline — 人気の Java ベースの Web App フレームワーク Apache Wicket に、きわめて深刻な脆弱性 CVE-2024-53299 が存在することが判明した。この脆弱性の悪用に成功した攻撃者は、意図的にメモリ・リークをトリガーし、影響を受ける Web アプリケーションに対してサービス拒否 (DoS) 攻撃を仕掛けられることが分かった。
Continue reading “Apache Wicket の深刻な脆弱性 CVE-2024-53299 が FIX:DoS 攻撃の恐れ”Apache OpenMeetings Users Urged to Patch Critical Flaw – CVE-2024-54676 (CVSS 9.8)
2025/01/08 SecurityOnline — ビデオ会議などのコラボレーションで人気を博す、OSS プラットフォーム Apache OpenMeetings で、深刻なセキュリティ脆弱性 CVE-2024-54676 (CVSS:9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、脆弱なシステム上で任意のコード実行を達成し、機密データの窃取やサービスの中断などを引き起こす可能性を手にする。
Continue reading “Apache OpenMeetings の脆弱性 CVE-2024-54676 (CVSS 9.8) が FIX:ただちにパッチを!”CVE-2024-53990 (CVSS 9.2): AsyncHttpClient Vulnerability Puts Java Applications at Risk
2024/12/05 SecurityOnline — Java ライブラリである AsyncHttpClient (AHC) に、深刻な脆弱性 CVE-2024-53990 (CVSS:9.2) が発見された。 この、非同期 HTTP リクエスト送信で広く利用されるライブラリの脆弱性により、攻撃者はユーザー・セッションの悪用を達成し、機密情報への不正アクセスの可能性を手にする。
Continue reading “AsyncHttpClient の脆弱性 CVE-2024-53990 (CVSS 9.2) が FIX:誤った Cookie 処理の発生”Popular Java Security Framework ‘pac4j’ Vulnerable to RCE (CVE-2023-25581)
2024/10/13 SecurityOnline — 広く利用されている Java セキュリティ・フレームワーク pac4j に存在する深刻な脆弱性が、GitHub Security Lab (GHSL) のセキュリティ研究者 Michael Stepankin (@artsploit) により発見された。この脆弱性 CVE-2023-25581 (CVSS:9.2) の悪用に成功した攻撃者は、影響を受けるシステム上での任意のコード実行の可能性を手にする。
Continue reading “Java セキュリティ・フレームワーク “pac4j” の脆弱性 CVE-2023-25581 が FIX:ただちにアップデートを!”Apache Roller Patches CSRF Flaw CVE-2024-46911 in Latest Update
2024/10/13 SecurityOnline — 人気の Java ベースのブログ・プラットフォームである、Apache Roller に対するセキュリティ・アップデートがリリースされた。このアップデートで修正された、深刻な CSRF (Cross-site Request Forgery ) の脆弱性 CVE-2024-46911 により、攻撃者はマルチ・ユーザーの Roller サイト上で権限昇格の可能性を得る。
Continue reading “Apache Roller の CSRF 脆弱性 CVE-2024-46911 が FIX: 直ちにアップデートを!”Ubuntu 24.10 Oracular Oriole brings tighter security controls
2024/10/11 HelpNetSecurity — Canonical は、Ubuntu 24.10 Oracular Oriole をリリースした。このリリースに導入される画期的な機能としては、更新されたカーネル/新しいツールチェーン/GNOME 47 デスクトップ環境などがあり、大幅なソフトウェア・セキュリティの強化が達成されている。Canonical の CEO である Mark Shuttleworth は、「Oracular Oriole は、最新のアップストリーム・カーネルと、ツールチェーンの提供において、新たなペースを設定するものだ。もの実験的で斬新なセキュリティ機能は、コミュニティとの対話を通じて、今後の 20年間において、そして、それ以降においても、Linux デスクトップ・エクスペリエンスを継続的に向上させていくという、当社の取り組みを実証している」と述べている。
Continue reading “Ubuntu 24.10 Oracular Oriole がリリース:セキュリティ管理の強化と利便性の向上”CVE-2024-38816: Spring Framework Path Traversal Vulnerability Threatens Millions
2024/09/15 SecurityOnline — 人気の Spring Framework に、深刻なセキュリティ脆弱性 CVE-2024-38816 (CVSS 7.5) が発見され、世界中の何百万もの Java アプリケーションに影響を及ぼす可能性が生じている。このパス・トラバーサルの脆弱性により、攻撃者はサーバ上の機密ファイルへの不正アクセスを達成し、データ漏洩やシステム侵害などの深刻な被害をリスクをもたらす可能性を手にする。
Continue reading “Spring Framework の脆弱性 CVE-2024-38816 が FIX:データ漏洩などが生じる恐れ”Python Popularity Soars: Nearing Java’s Record in TIOBE Index
2024/08/06 SecurityOnline — 2024年8月に Python は、プログラミング言語の人気度を示す指標である TIOBE Index において、初めて人気度 18%を突破した。2016年11月に Java も、同レベルの記録を達成しているが、2001年6月に記録した 26.49%という、TIOBE Index 史上最高の記録は未だに塗り替えられていない。
Continue reading “Python の人気が急上昇: TIOBE Index で人気度 18% を記録”CISA: Most critical open source projects not using memory safe code
2024/06/26 BleepingComputer — 6月26日に米国の CISA が公開したレポートは、メモリ欠陥の影響の受けやすさについて、172件の主要オープンソース・プロジェクトを調べた結果をまとめたものだ。CISA/FBI/ASD (Australian Signals Directorate)/ACSC (Australian Cyber Security Centre)/CCCS (Canadian Centre for Cyber Security) によるレポートは、2023年12月に発表された “Case for Memory Safe Roadmaps” に続くものであり、メモリ・セーフなコードの重要性に対する、認識を高めることを目的としている。
Continue reading “CISA/FBI などの共同勧告:多くの OSS プロジェクトで Memory Unsafe 言語が使用されている”CVE-2024-37902 (CVSS 10): Critical Flaw in Deep Java Library Opens Door to System Takeover
2024/06/17 SecurityOnline — ディープ・ラーニング・プロジェクト用の OSS フレームワークとして広く利用されている、Deep Java Library (DJL) に深刻な脆弱性 CVE-2024-37902 が発見された。この脆弱性は、DJL バージョン 0.28.0 未満に影響をおよぼすものであり、悪用に成功した攻撃者は、重要なシステム・ファイルを上書きし、侵害したシステムの制御を奪う可能性を手にする。
Continue reading “Deep Java Library の深刻な脆弱性 CVE-2024-37902 が FIX:システム乗っ取りの恐れ”Critical Apache Log4J2 Flaw Still Threatens Global Finance
2024/06/01 SecurityAffairs — 金融業界に甚大な影響を与える可能性のある深刻なロギング設定の欠陥を、独立系サイバー脅威インテリジェンス・アナリストである Anis Haboubi が警告している。Apache Log4j2 に存在する、脆弱性 CVE-2021-44832 の悪用に成功したリモートの攻撃者は、影響を受けるシステム上で悪意のコードを実行できるという。この脆弱性の CVSS スコアは 6.6 であり、log4j バージョン 2.0-alpha7 〜 2.17.0 に影響を及ぼすが、2.3.2/2.12.4 は含まれない。
Continue reading “Apache Log4J2 脆弱性の悪用:Sisense/Snowflake への侵害が金融セクターに波及する?”CVE-2024-32888 (CVSS 10): SQLi Vulnerability Discovered in Amazon Redshift JDBC Driver
2024/05/16 SecurityOnline — Redshift 用の Amazon JDBC Driver は、Java アプリケーションを Amazon Redshift データウェアハウス・サービスに接続するためのツールとして、広く使用されているものだ。その Redshift JDBC Driver に、深刻な SQL インジェクションの脆弱性 CVE-2024-32888 が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で不正なコマンドを実行し、データ漏洩/不正アクセスなどを引き起こし、さらには、システムの完全な乗っ取りを達成する可能性を得る。
Continue reading “Amazon Redshift JDBC Driver の SQLi 脆弱性 CVE-2024-32888 (CVSS 10) が FIX:ただちにパッチを!”Ant Media Server Flaw Grants Local Users Root Access (CVE-2024-32656)
2024/04/29 SecurityOnline — 何千もの組織で使用されている一般的なストリーミング・ソリューションである、Ant Media Server に存在する深刻な脆弱性 CVE-2024-32656 が、Praetorian red team により発見された。この脆弱性はミスコンフィグに起因し、対象システム上で権限を持たない任意のユーザーに悪用されると、最高レベルのアクセスである root への権限昇格にいたる可能性が生じる。
Continue reading “Ant Media Server の脆弱性 CVE-2024-32656 が FIX:直ちにアップデートを!”Multiple Vulnerabilities Patched in Apache HugeGraph – Update Immediately
2024/04/22 SecurityOnline — Apache HugeGraph は、数十億の交点とエッジの処理を行い、堅牢な OLTP (online transaction processing) 機能を持つ、主要な高性能グラフ・データベースとして知られている。その HugeGraph だが、最近になって、ユーザーに重大なリスクをもたらし得る、3つのセキュリティ脆弱性に対処した。これらの脆弱性は、HugeGraph システムの様々なコンポーネントに影響するものであり、悪用されると、SSRF (Server-Side Request Forgery)/ RCE (Remote Command Execution)/認証バイパスなどが生じる恐れがある。
Continue reading “Apache HugeGraph の脆弱性 CVE-2024-27347 などが FIX:直ちにアップデートを!”CVE-2024-22257: Spring Security Flaw Opens Door to Broken Access Control Attacks
20224/03/18 SecurityOnline — Java ベースのアプリケーション保護に広く使われているフレームワーク Spring Security に、深刻な脆弱性が発見された。この脆弱性は CVE-2024-22257 (深刻度 “High”) の悪用に成功した攻撃者は、認証をバイパスして機密システムに不正アクセスすることが可能になるという。
Continue reading “Spring Security の脆弱性 CVE-2024-22257 が FIX:機密システムへの不正アクセスが生じる恐れ”CISA Outlines Efforts to Secure Open Source Software
2024/03/08 SecurityWeek — 米国のサイバー・セキュリティ機関 CISA は、2日間にわたって開催された OSS セキュリティ・サミットにおいて、コミュニティのリーダーたちと会合を開き、OSS のセキュリティ確保に向けた主要なアクションを発表した。CISA がコミュニティと連携して実施する措置としては、パッケージ・リポジトリのセキュリティ成熟度を示すフレームワーク Principles for Package Repository Security の推進や、OSS インフラ運営者との連携と情報共有を実現するための、新たな取り組みなどが含まれる。
Continue reading “CISA が OSS セキュリティ・サミットを開催:Principles for Package Repository Security とは?”CVE-2024-1597 (CVSS 10): Critical SQL Injection Flaw in PostgreSQL JDBC Driver
2024/02/20 SecurityOnline — 開発者たちに人気の PostgreSQL データベースに、新たな脆弱性 CVE-2024-1597 (CVSS:10.0) が発見された。この脆弱性が浮き彫りにするのは、予防的なセキュリティ対策の重要性である。ここでは、PostgreSQL JDBCドライバ (pgjdbc) の脆弱性と、その潜在的な影響と、重要な緩和策について探っていく。
Continue reading “PostgreSQL JDBC の脆弱性 CVE-2024-1597 が FIX:CVSS 値は 10.0”PoC Releases for Oracle WebLogic Server Servers RCE Flaw (CVE-2024-20931)
2024/02/07 SecurityOnline — 最近にパッチが適用された Oracle WebLogic Server の脆弱性 CVE-2024-20931 (CVSS:7.5) に対して、任意のコード実行を可能にする PoC エクスプロイト・コードが公開された。この脆弱性は、Oracle WebLogic Server の、特に T3/IIOP プロトコルに影響するものであり、新しいクラスのサイバー脅威に対する防御を強化することを目的とする、Oracle の 2024年1月の Patch Update で公開されたものだ。
Continue reading “Oracle WebLogic Server の RCE 脆弱性 CVE-2024-20931 が FIX:PoC も公開された”A Stealthy Godzilla Webshell: A New Threat Targeting Apache ActiveMQ
2024/01/18 SecurityOnline — Apache ActiveMQ ホストの脆弱性を悪用するサイバー攻撃が、この数週間で急増していることを、Trustwave のサイバー・セキュリティ専門家たちが検知した。これらの攻撃では、Godzilla Webshell と呼ばれる、未知のバイナリ形式に隠されたステルス性の高い Web シェルが発見されている。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604:Godzilla Webshell による侵害を検知”CISA Adds JBoss Richfaces Framework Flaw To Its Known Exploited Vulnerabilities Catalog
2023/09/29 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Red Hat JBoss RichFaces Framework に存在する深刻な脆弱性 CVE-2018-14667 (CVSS : 9.8) を、Known Exploited Vulnerabilities Catalog に追加した。
Continue reading “CISA KEV 警告 23/09/28:JBoss Richfaces Framework の脆弱性 CVE-2018-14667 を追加”High-Severity Access Control Vulnerability Found in Spring WebFlux
2023/08/09 InfoSecurity — Spring Security の最新バージョンに、新たな脆弱性 CVE-2023-34034 (CVSS:9.8) が見つかった。Spring Security は Java ベースの Spring フレームワークの不可欠なパートであり、強固な認証とアクセス制御に対応している。その幅広いユーザー・ベースにより、このセキュリティ上の脆弱性が悪用されると、壊滅的な結果につながる可能性が生じる。
Continue reading “Spring WebFlux の深刻な脆弱性 CVE-2023-34034 が FIX:PoC エクスプロイトも登場”Half of AI Open Source Projects Reference Buggy Packages
2023/07/20 InfoSecurity — AI テクノロジー・スタック全体で、オープンソースが役割を拡大しているが、大半のプロジェクト (52%) ではマニフェスト・ファイルを用いて、既知の脆弱な依存関係が参照されていると、Endor Labs は指摘している。セキュリティ・ベンダーである Endor Labs の最新レポート State of Dependency Management によると、ChatGPT の API はリリースから僅か5ヶ月で、”多様な問題領域”にまたがる 900件の npm/PyPI パッケージで使用されており、これらのパッケージの 70% は真新しいものだという。しかし、あらゆるオープンソース・プロジェクトと同様に、脆弱な依存関係に伴うセキュリティ・リスクは管理される必要があると、Endor Labs は警告している。
Continue reading “AI と Open Source の関係:半数以上のプロジェクトで脆弱なパッケージが使用されている”Researchers Uncover New Exploit for PaperCut Vulnerability That Can Bypass Detection
2023/05/04 TheHackerNews — 先日に公開された PaperCut サーバの深刻な欠陥だが、現時点における全ての検出方法を回避しながら悪用する手口を、サイバー・セキュリティ研究者たちが解明している。この脆弱性 CVE-2023-27350 (CVSS:9.8) は、PaperCut MF/NG のインストールに影響を及ぼし、認証されていない攻撃者に対して、SYSTEM 権限での任意のコード実行を許すものである。オーストラリアに本拠を置く PaperCut により、この欠陥は 2023年3月8日にパッチが適用されたが、活発な悪用の兆候が 2023年4月13日に観測されている。
Continue reading “PaperCut 脆弱性の悪用:新たな PoC エクスプロイトが証明する検出回避の手口”Google delivers secure open source software packages
2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。
Continue reading “Google が発表した Assured OSS サービス:Java/Python エコシステムからサポートを開始”CISA warns of critical VMware RCE flaw exploited in attacks
2023/03/10 BleepingComputer — CISA が新たに KEV カタログに追加したのは、VMware Cloud Foundation に存在する深刻な脆弱性であり、野放し状態での悪用が確認されているものだ。この欠脆弱性 CVE-2021-39144 は、VMware 製品で使用されている XStream オープンソース・ライブラリに起因するものであり、VMware の評価による深刻度スコアは 9.8 となっている。ユーザーの操作が不要な、低複雑度の脆弱性を悪用する未認証の脅威者は、パッチ未適用のアプライアンス上のルート権限で、リモートから任意のコードを実行可能になるという。
Continue reading “CISA KEV 警告 23/03/10:VMware の RCE 脆弱性 CVE-2021-39144 を追加”Java, .NET Developers Prone to More Frequent Vulnerabilities
2023/01/16 DarkReading — Java と .NET で書かれたアプリケーションの約 75% が、OWASP Top-10 に含まれる脆弱性を、少なくとも1つは持っていることが判明した。ソフトウェア・テスト会社である Veracode が、約76万件のアプリケーションを分析した結果として、上記の2つのプログラミング・エコシステムを使用したアプリケーションの 20% ほどは、少なくとも1つの深刻な脆弱性を抱えていることも明らかになった。
Continue reading “Java と .NET のデベロッパー:大量の脆弱性に対峙する理由を解明”Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar
2023/01/13 TheHackerNews — StrRAT/Ratty などのリモート・アクセス型トロイの木馬は、ポリグロット と悪意の Java アーカイブ (JAR) ファイルの組み合わせで配布されており、検知を回避する新しい方法を、脅威アクターが継続的に発見していることを、改めて浮き彫りにしている。Deep Instinct のセキュリティ研究者 Simon Kenin のレポートには、「攻撃者たちは、JAR ファイル形式を適切に検証できないセキュリティ・ソリューションを混乱させるために、ポリグロット手法を使用している」と述べている。
Continue reading “StrRAT/Ratty マルウェア:ポリグロット方式で検知を回避して配布される”Internet AppSec Remains Abysmal & Requires Sustained Action in 2023
2022/12/27 DarkReading — 防御可能なインターネットを構築できるのか? 2023年におけるインターネットとクラウド・アプリケーションのセキュリティを向上させるために、より良い対策を講じる必要があると、専門家たちは指摘している。2022年の初めには、多くのアプリケーションで広く使われている、Log4j ライブラリというコンポーネントに存在する深刻な脆弱性が発見され、それを緩和するために企業が奔走したのは有名な話である。
Continue reading “2023年以降の Internet AppSec:依然として脆弱であり継続的な対策が必要”Shift to Memory-Safe Languages Gains Momentum
2022/12/07 DarkReading — 今週に、ソフトウェア・セキュリティの専門家たち発表したところによると、リモートからの悪用が可能で、野放し状態での攻撃の大部分に関与している、きわめて深刻な脆弱性のグループに対して、ソフトウェア業界は前進しているようだ。この脆弱性グループとは、いわゆるメモリ安全性の問題である。具体的には、バッファオーバーフロー/ユースアフターフリーなどを含むものであり、ソフトウェア会社が公表するアプリケーション・セキュリティ問題の大半を占めるものだ。今回の最新データでは、Java/C#/Rust などの、メモリ安全性の高い言語の使用が増加したことで、このクラスの脆弱性全体が急速に減少していることが示されている。
Continue reading “Java/Rust/Kotlin のメモリセーフ機能:C/C++ と安全性を比較してみる”Hackers Started Exploiting Critical “Text4Shell” Apache Commons Text Vulnerability
2022/10/21 TheHackerNews — 2022年10月18日に公開された Apache Commons Text の脆弱性だが、その悪用が検出され始めたと、WordPress のセキュリティ企業である Wordfenceが 10月20日に発表した。脆弱性 CVE-2022-42889 (CVSS:9.8) は、別名 Text4Shell として追跡され、この ライブラリのバージョン 1.5〜1.9 に影響を及ぼす。
Continue reading “Apache Commons Text の脆弱性:Text4Shell CVE-2022-42889 の悪用が始まる”Software Supply Chain Attacks Soar 742% in Three Years
2022/10/19 InfoSecurity — 専門家たちが、2022年に発見した悪意のオープンソース・パッケージは 8万8000件にのぼり、2019年のデータと比べて 742% の増加となった。それにより示唆されるのは、企業への攻撃における標的面積の急速な拡大である。この数字は、Maven Central のダウンロード数 1310億件/オープンソース・プロジェクト数千件を含む、公開データ/独自データを分析した、Sonatype のレポート 2021 State of the Software Supply Chain で発表されたものである。
Continue reading “OSS サプライチェーンの深刻な問題:3年間で 742% 急増した悪意のパッケージ”Iranian Government Hackers Exploit Log4Shell in SysAid Apps for Initial Access
2022/08/26 SecurityWeek — イラン政府に関連するとされる脅威グループが、SysAid の Log4Shell 脆弱性を悪用し、ターゲットの組織へのイニシャル・アクセスを確立したようだ。Apache Log4j のロギング・ユーティリティに影響を与える脆弱性 Log4Shell は、2021年12月に明るみに出たものである。この脆弱性 CVE-2021-44228 は、リモート・コード実行に悪用される可能性があり、営利目的のサイバー犯罪者に加えて、国家に支援されるサイバー・スパイにも悪用されてきた。
Continue reading “SysAid で Log4j の脆弱性を悪用:イラン政府のハッカーがイニシャル・アクセスに成功”Log4j Software Flaw ‘Endemic,’ New Cyber Safety Panel Says
2022/07/14 SecurityWeek — ジョー・バイデン大統領が設立した、新しい Cyber Safety Review Board によると、昨年に発見された、どこにでもあるソフトウェアに存在する脆弱性は、潜在的に 10年以上にわたってセキュリティ・リスクをもたらす風土病のようなものになるという。木曜日の報告書で、このサイバー安全審査委員会は、Log4j の脆弱性 CVE-2021-44228 による大規模なサイバー攻撃の兆候はないが、今後の数年間は悪用され続けるだろうと述べている。
Continue reading “Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する”Zoho ManageEngine ADAudit Plus bug gets public RCE exploit
2022/07/01 BleepingComputer — セキュリティ研究者たちは、Active Directory のアクティビティを監視するツール Zoho ManageEngine ADAudit Plus に存在する、深刻な脆弱性 CVE-2022-28219 (CVSS:9.8)の技術詳細と概念実証のためのエクスプロイト・コードを公開した。この脆弱性により、未認証の攻撃者がリモートでコードを実行し、Active Directory のアカウントを侵害することが可能になる。Horizon3.ai のセキュリティ研究者 Naveen Sunkavally から報告を受けた Zoho は、3月末に ADAudit Plus build 7060 で、この問題に対処している。
Continue reading “Zoho ManageEngine ADAudit Plus のバグ:Active Directory アカウント侵害にいたる”CISA: Log4Shell exploits still being used to hack VMware servers
2022/06/23 BleepingComputer — 今日の CISA 警告は、Log4Shell のリモート・コード実行の脆弱性 CVE-2021-44228 が、国家を後ろ盾とするハッキング・グループなどの脅威アクターに悪用されており、VMware Horizon/Unified Access Gateway(UAG)サーバーが依然として標的にされているというものだ。攻撃者たちは、ローカルまたはインターネットにアクセスできる脆弱なサーバー上で、 Log4Shell をリモートがら悪用することで、機密データが保存される内部システムへのアクセスを獲得するまで、ネットワーク上の水平移動が可能になる。
Continue reading “CISA と CGCYBER の Log4Shell 共同勧告:依然として VMware Server はハッキング対象”High-Severity Bug Reported in Google’s OAuth Client Library for Java
2022/05/19 TheHackerNews — 2022年4月に Google は、Java 用 OAuth クライアント・ライブラリに存在する深刻度の高い脆弱性に対処した。この欠陥は、漏洩したトークンを用いる脅威アクターに対して、任意のペイロード展開を許す可能性があるというものだ。この脆弱性 CVE-2021-22573 の深刻度は CVSS 値 8.7 と評価され、暗号署名の不適切な検証に起因し、ライブラリの認証バイパスにいたる恐れがある。
Continue reading “Google の OAuth Client Library for Java における深刻な脆弱性 CVE-2021-22573 が FIX”Log4Shell Exploit Threatens Enterprise Data Lakes, AI Poisoning
2022/05/13 DarkReading — 人工知能 (AI) や機械学習 (ML) の導入が進み、企業のデータレイクは大容量化しているが、残念なことに、Java Log4Shell 脆弱性を介して悪用されやすいことが、研究者たちにより明らかにされている。一般的な組織は、プライバシー保護に配慮しながら、AI/ML アルゴリズムの学習用に可能な限り多くのデータポイントを取り込むことに注力しているが、データレイク自体のセキュリティ強化に手を抜いていることが、あまりにも多くなっているという。
Continue reading “Log4Shell 悪用と AI ポイズニング:企業のデータレイクに忍び寄る脅威とは?”Log4j Attack Surface Remains Massive
2022/04/27 DarkReading — Apache Log4j logging toolの、リモートコード実行の脆弱性が公開されて4ヶ月以上が経ったが、そを悪用しようとする攻撃者は、依然として膨大な数のターゲットを手にしている。検索エンジン Shodan を用いて行った、Rezilion による最新のスキャンでは、このソフトウェアの脆弱なバージョンをインターネット上に公開している、9万台以上ものサーバーが発見されている。ただし、この数字は、オープンソース・ソフトウェアを実行して、一般に公開されているサーバーのみを対象としているため、攻撃者のターゲットの一部に過ぎないと、Rezilion は考えている。
Continue reading “Log4j 問題は収束していない:セキュリティというよりインベントリの問題?”Public interest in Log4Shell fades but attack surface remains
2022/04/25 BleepingComputer — Apache Log4j ライブラリに存在する、深刻なゼロデイ脆弱性 Log4Shell が発見されてから4ヶ月が経過したが、利用可能なはずの修正プログラムの適用が、依然として大幅に遅れていることを、脅威アナリストたちは警告している。世間の関心と情報セキュリティ・コミュニティの焦点は、より新しい脆弱性の悪用などに移っているが、Log4Shell は引き続き大規模な問題であり、重大なセキュリティ・リスクであることに変わりはない。
Continue reading “Log4Shell の現状調査:いまだに山積する問題と解決できない理由とは?”Amazon’s Hotpatch for Log4j Flaw Found Vulnerable to Privilege Escalation Bug
2022/04/21 TheHackerNews — Amazon Web Services (AWS) がリリースした Log4Shell 脆弱性に対する ホットパッチだが、コンテナ・エスケープや権限昇格に悪用され、基盤となるホスト制御の乗っ取りを許してしまう問題があるようだ。Palo Alto Networks Unit 42 の研究者である Yuval Avrahami は、今週に発表したレポートにおいて、「コンテナの問題以外にも、このパッチを悪用することで非特権プロセスを特権昇格させ、root コードを実行させることが可能だ」と述べている。
Continue reading “Amazon の Log4Shell ホットパッチに問題:コンテナ・エスケープと権限昇格が生じる?”Critical Apache Struts RCE vulnerability wasn’t fully fixed, patch now
2022/04/13 BleepingComputer — 圧倒的な支持を得ている Apache Struts プロジェクトの、すでに解決されたと考えられていた深刻な脆弱性において、完全には改善されていなかったことが判明し、新たな修正が提供されることになった。そのため、Cybersecurity and Infrastructure Security Agency (CISA) も、パッチを適用した最新の Struts 2 へのアップグレード急ぐよう、ユーザーと管理者に対して促している。Struts は、Java の Web デベロッパーが、model–view–controller (MVC) アプリケーションを構築するために用いる、オープンソースのアプリケーション開発フレームワークである。
Continue reading “Apache Struts 2 の深刻な RCE 脆弱性が FIX:以前のパッチにおける問題を修正”Mirai malware now delivered using Spring4Shell exploits
2022/04/08 BleepingComputer — 現在、マルウェア Mirai は、Spring4Shell エクスプロイトを悪用して脆弱な Web サーバーを感染させ、DDoS 攻撃 (分散型サービス拒否攻撃) へと導こうとしている。Spring4Shell とは、CVE-2022-22965 として追跡されているリモートコード実行 (RCE) の深刻な脆弱性であり、エンタープライズ・レベルの Java アプリ開発プラットフォームとして広く利用されている、Spring Framework に影響を及ぼすものだ。
Continue reading “Mirai と Spring4Shell:シンガポールに集中する攻撃はグローバル展開への予兆か?”VMware patches Spring4Shell RCE flaw in multiple products
2022/04/04 Bleeping Computer — VMware は、同社のクラウドおよび仮想化の製品のいくつかに影響を及ぼす、深刻なリモートコード実行の脆弱性 (Spring4Shell) に対するセキュリティ・アップデートを公開した。Spring4Shell の影響を受ける VMware 製品の一覧は、同社のアドバイザリで確認できる。修正プログラムが提供されていないケースのために、VMware は一時的な解決策としてワークアラウンドをリリースしている。現時点において、Spring4Shell は活発に悪用される脆弱性でり、セキュリティ速報に記載されているアドバイスに従うことが極めて重要となる。
Continue reading “VMware と Spring4Shell:RCE に対する複数のパッチが提供された”Log4j Attacks Continue Unabated Against VMware Horizon Servers
2022/03/30 DarkReading — いつでも、どこでも、エンタープライズ・アプリへの安全なアクセスをリモート・ワーカーに提供するために、 VMware Horizon サーバーは数多くの組織に利用されている。しかし、2021年12月に公開された Apache Log4j のリモートコード実行の深刻な脆弱性により、VMware Horizon は攻撃者の人気のターゲットであり続けている。
今週のこと、Sophos の研究者たちは、2022年1月19日から現在に至るまで、脆弱な Horizon サーバーに対する攻撃の波が観測されていると発表した。攻撃の多くは、JavaX miner/Jin/z0Miner/XMRig 亜種などの、暗号通貨マイナーを展開しようとする脅威者の試みだった。しかし、他のいくつかの事例では、侵害したシステムで攻撃者たちが、永続的なアクセスを維持するためのバックドアをインストールするケースも確認されている。
Continue reading “VMware Horizon Servers への Log4j 攻撃は衰えることなく継続している”New Linux botnet exploits Log4J, uses DNS tunneling for comms
2022/03/15 BleepingComputer — 最近のことだが、Linux システムを標的とするボットネットが発見された。それにより一般的なユーザーが、ルートキットをインストールされ、リバースシェルを作成され、Webトラフィックのプロキシとして機能し、機密情報を盗むボット軍団に巻き込まれる可能性が生じる。このマルウェアは、Linux ARM/X64 CPU アーキテクチャ・デバイスの攻撃に特化されたものであり、Qihoo 360 の Network Security Research Lab (360 Netlab) により B1txor20 と名付けられている。
Continue reading “Log4j 脆弱性を悪用する Linux ボットネット:DNS トンネリングを巧みに操る”Over 40% of Log4j Downloads Are Vulnerable Versions of the Software
2022/03/11 DarkReading — Apache Foundation が、問題となっている Lo4j の脆弱性 CVE-2021-44228 を公表し、その修正プログラムを発行してから3カ月が経過したが、Java パッケージ・リポジトリ Maven Central からダウンロードされる、このロギング・ツールの 10件中4件以上が、依然として既知の脆弱なバージョンのままとなっている。Maven Central の administrator である Sonatype が、いわゆる Log4Shell の欠陥が表面化した直後に立ち上げたダッシュボードによると、2022年2月4日〜3月10日にダウンロードされた Log4j パッケージの 41% が、Log4j 2.15.0 以前のバージョンであることが判明している。つまり、Log4Shell の欠陥が公開された 2021年12月10日に、Apache Foundation がリリースしたパッチ適用バージョンである。
Continue reading “Log4j とプロジェクトの関係:ダウンロードの 40% 以上が脆弱なバージョンという現実”
IoT OT Security News 
You must be logged in to post a comment.