API Token が脅かすソフトウェアの完全性:数千件が Web 上で公開されている

Thousands of Publicly Exposed API Tokens Could Threaten Software Integrity

2022/10/21 InfoSecurity — 機密情報/データ/プライベート・ネットワークなどへのアクセスを脅威アクターに許し、ソフトウェアの完全性を脅かしてしまう数千のアクティブな API Token が、Web 上で公開されていることが発見された。この結果は、JFrog のセキュリティ研究者たちが、同社のセキュリティ・ソリューションの新機能をテストしている際に発見されたものだ。

Continue reading “API Token が脅かすソフトウェアの完全性:数千件が Web 上で公開されている”

LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明

LofyGang Group Linked to Recent Software Supply Chain Attacks

2022/10/07 InfoSecurity — Checkmarx の最新調査により、ソフトウェア・サプライチェーンに対する注目すべきサイバー・インシデントの大半に、1年以上前から活動している攻撃グループ LofyGang が関与していることが判明した。研究者たちは、LofyGang に関連する約 200の悪意のパッケージと数千のインストーラを発見した。これらのパッケージには、いくつかのクラスに分類される悪意のペイロード/一般的なパスワード窃盗ツール/Discord 専用の永続的マルウェアなどが含まれていたという。

Continue reading “LofyGang という犯罪グループ:ソフトウェア・サプライチェーン攻撃への大規模な関与が判明”

悪意の NPM パッケージを量産:サプライチェーン攻撃のための驚異のシステム

A Large-Scale Supply Chain Attack Distributed Over 800 Malicious NPM Packages

2022/03/29 TheHackerNews — RED-LILI と呼ばれる脅威アクターが、約800の悪質なモジュールを公開したが、NPM (Node Package Manager) パッケージ・リポジトリを標的として進行中の、大規模なサプライチェーン攻撃キャンペーンに関与していることが明らかになった。イスラエルのセキュリティ企業である Checkmarx は、「一般的に、攻撃者は匿名の使い捨ての NPM アカウントを使用し、そこから攻撃を開始する。今回の攻撃者は、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに1つの専用アカウントを開設していたようであり、新しい悪意のパッケージを一括して発見することを難しくしていた」と述べている。

Continue reading “悪意の NPM パッケージを量産:サプライチェーン攻撃のための驚異のシステム”

Cassandra NoSQL データベースの深刻な脆弱性 CVE-2021-44521 が FIX

High-Severity Vulnerability Found in Apache Database System Used by Major Firms

2022/02/16 SecurityWeek — 火曜日に JFrog のセキュリティ研究者たちは、Apache Cassandra の最新バージョンに存在する、深刻度の高いリモートコード実行の脆弱性に関する、詳細な技術情報を公開した。Cassandra は、高いスケーラビリティを持つ分散型 NoSQL データベースであり、Netflix/Reddit/Twitter/Cisco/Constant Contact/Digg/Urban Airship/OpenX などの組織や、DevOps 開発者などの間で人気がある。

Continue reading “Cassandra NoSQL データベースの深刻な脆弱性 CVE-2021-44521 が FIX”

H2 Database Console に Log4Shell と同じ構造の脆弱性:約 6,800 件のアーティファクトに影響

Log4Shell-like Critical RCE Flaw Discovered in H2 Database Console

2022/01/07 TheHackerNews — H2 データベース・コンソールで発見されたリモートコード実行の脆弱性だが、先月に明らかになった Log4Shell と同じ構造を持つ欠陥であることが、研究者たちにより公表された。JFrog の研究者である Andrey Polkovenko と Shachar Menashe は、「Log4j 以外のコンポーネントで発表された、Log4Shell に似た初めての深刻な問題であり、Log4Shell と同じ根本的な原因であう、JNDI リモートクラス・ローディングを悪用するものだ」と述べている。

Continue reading “H2 Database Console に Log4Shell と同じ構造の脆弱性:約 6,800 件のアーティファクトに影響”

Prometheus:保護されていない大量のエンドポイントが発見される

Prometheus endpoint unprotected installs could expose sensitive data

2021/10/18 SecurityAffairs — JFrog の研究者たちが、オープンソースのイベント監視ソリューションである、Prometheus の保護されていない複数のインスタンスを発見し、機密データが漏洩する可能性があることを公表した。Prometheus は、複数のエンドポイントからリアルタイムでメトリクスを取得するソリューションであり、Uber などの大手企業で使用されている。

Continue reading “Prometheus:保護されていない大量のエンドポイントが発見される”