Critical Meshtastic RCE Vulnerability (CVE-2025-24797) Requires Urgent Update
2025/04/21 SecurityOnline — 携帯電話やインターネットによる接続に依存することなく長距離/低消費電力の通信を可能にする、OSS の LoRa メッシュ・ネットワーク・プラットフォーム Meshtastic に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-24797 (CVSS:9.4) は、ファームウェア・バージョン 2.6.2 未満を実行するデバイスにおいて、未認証のリモートコード実行 (RCE) を許すものである。
Continue reading “Meshtastic の深刻な脆弱性 CVE-2025-24797 が FIX:不正なメッシュ・パケットによる RCE”Arista EOS: Critical Vulnerability Exposes Cleartext Transmission (CVE-2024-12378)
2025/04/11 SecurityOnline — Arista Networks が公開したのは、同社の EOS (Extensible Operating System) に存在する、深刻な脆弱性に対処するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-12378 (CVSS:9.1) により、機密情報が平文で送信される可能性が生じる。
Continue reading “Arista EOS の脆弱性 CVE-2024-12378 が FIX:機密情報の平文送信の可能性”Cheap Yet Secure: Top VPNs for Privacy-Conscious Users on a Budget
2025/02/01 HackRead — オンライン・プライバシーへの懸念が高まる中で、完全なプライバシー保護を低コストで実現する VPN (Virtual Private Network) を見つけることは難しいかもしれない。大半のユーザーは、高額なプレミアム VPN を利用するのか、また、データの安全性が危ぶまれる無料サービスを利用するのか、どちらかを選択しなければならない。
Continue reading “一般的なユーザー向け Top VPN の選び方:低コストでプライバシー保護を実現”D-Link Patches Critical Remote Code Execution Vulnerability in DSL-3788 Router
2025/01/30 SecurityOnline — D-Link が公表したのは、DSL-3788 ルーターに影響を及ぼす、認証を必要としない深刻なリモート・コード実行 (RCE) の脆弱性への対処である。SECURE NETWORK BVTECH により発見され、2024年11月25日の時点で D-Link に報告された、この脆弱性の悪用に成功した攻撃者は、標的とするデバイスの完全な制御の可能性を手にする。
Continue reading “D-Link DSL-3788 Router の深刻な脆弱性 CVE-N/A が FIX:RCE の恐れ”CVE-2024-12847 (CVSS 9.8): NETGEAR Router Flaw Exploited in the Wild for Years, PoC Published
2025/01/10 SecurityOnline — 複数の NETGEAR ルーターに、深刻なセキュリティ脆弱性 CVE-2024-12847 (CVSS 9.8) が発見された。この脆弱性は、リモートの攻撃者に対して、デバイスへの不正なアクセス/制御を許すものであり、遅くとも 2017年から実環境で悪用されていたことが確認されている。
Continue reading “NETGEAR ルーターの脆弱性 CVE-2024-12847:2017年からの悪用と PoC の提供”CVE-2024-12912 & CVE-2024-13062: ASUS Routers at Risk
2025/01/02 SecurityOnline — ASUS が公開したセキュリティ勧告は、複数のルーター・モデルに影響を及ぼす、2つの脆弱性 CVE-2024-12912/CVE-2024-13062 (CVSS 7.2) に関するものだ。これらの脆弱性の悪用に成功した攻撃者は、脆弱性のあるデバイス上での任意のコマンド実行の可能性を手にする。
Continue reading “ASUS ルーターの脆弱性 CVE-2024-12912/13062 が FIX:任意のコマンド実行にいたる可能性”CVE-2024-56334: Command Injection Flaw Exposes Millions of Node.js Systems to Attack
2024/12/23 SecurityOnline — 広く使用されている Node.js 用パッケージ systeminformation に存在する、深刻なコマンド・インジェクションの脆弱性 CVE-2024-56334 が確認された。このパッケージは、月間に 800万以上もダウンロードされ、総ダウンロード数は 3億3000万に上る。この脆弱性の悪用に成功した攻撃者は、任意の OS コマンドを実行することが可能となるが、パッケージの使用方法に応じて、リモート・コード実行 (RCE) や権限の昇格につながる可能性もある。
Continue reading “Node.js の脆弱性 CVE-2024-56334 が FIX:ただちにアップデートを!”Mirai botnet targets SSR devices, Juniper Networks warns
2024/12/19 SecurityAffairs — Juniper Networks SSR (Session Smart Router) の、パスワードがデフォルトに設定されているデバイスを、Mirai ボットネットが標的にしていることが判明した。2024年12月11日の時点で Juniper Networks に寄せられたのは、SSN (Session Smart Network) プラットフォーム上で検知された、異常な動作に関する複数の報告である。Mirai を操る攻撃者たちの手口は、最初に標的デバイスを侵害し、その後に、それらのデバイスを足場にして DDoS 攻撃を仕掛けるというものだ。
Continue reading “Mirai Botnet が Juniper SSR デバイスを悪用:DDoS 攻撃に至る恐れ”21 Vulnerabilities in Sierra Wireless Routers Could Expose Critical Infrastructure to Attacks
2023/12/06 SecurityWeek — Sierra Wireless の一部のセルラー・ルーターに存在する 21件の脆弱性により、重要インフラ分野などの組織に重大なリスクが生じる可能性があると、ネットワーク・セキュリティおよびリスク管理企業の Forescout が述べている。この “Sierra:21” と称される脆弱性は、行政/電力/水道/医療/製造/輸送/小売などの分野で、ローカル・ネットワークを Web に接続する際に多用される Sierra Wireless AirLink OT/IoT ルーターに存在するものであり、Forescout の研究者たちにより発見されたものだ。
Continue reading “Sierra Wireless の 21件の脆弱性が FIX:86,000台の脆弱なルーターがインターネットに露出”Companies carry unquantified levels of risk due to current network security approaches
2023/04/07 HelpNetSecurity — Titania の調査によると、サイバー・セキュリティ上級意思決定者の 40% が、Payment Card Industry Data Security Standard (PCI DSS) 4.0 準拠のリスクに対して、効果的に優先順位をつけていることが分かった。この調査で明らかになったのは、石油/ガス/通信/銀行/金融などのサービスを提供する組織が、脆弱なネットワーク機器のコンフィグレーションを悪用して攻撃を拡大する、脅威アクターたちの主要な標的であることである。また、ネットワーク・セキュリティを脅かすコンプライアンス・リスクについて、適切かつ効果的に分類し、優先順位を付けている組織が、37% に過ぎないことも明らかになった。
Continue reading “ネットワーク・セキュリティのリスクが定量化できない? いまのアプローチが問題なのか?”Third Critical Bug Affects Netgear Smart Switches — Details and PoC Released
2021/09/16 TheHackerNews — Netgear Smart Switches に存在する脆弱性の、詳細が明らかになった。この脆弱性は Seventh Inferno (CVSS:9.8) と呼ばれ、Demon’s Cries (CVSS:9.8) および Draconian Fear (CVSS:7.8) と呼ばれる、3つのセキュリティ欠陥の一部を構成するものでもある。これらの一連の脆弱性は、Google の Security Engineer である Gynvael Coldwind により、Netgear のネットワーク/ストレージ/セキュリティ・ソリューション・プロバイダーに報告されている。
Continue reading “Netgear Smart Switches を完全に乗っ取る脆弱性のセットとは?”Don’t Leave Security to the Network
2021/08/27 SecurityBoulevard — これまでのエンタープライズ・ネットワークのセキュリティ・モデルには、未来がない。現在、ネットワークは継続的な攻撃を受けており、従来のセキュリティ・モデルは無防備であることが証明されている。Colonial Pipeline や、Kaseya、アイルランドのヘルスケアシステム、北ヨーロッパの鉄道切符販売機へのランサムウェア攻撃は、巨大な氷山の一角に過ぎない。最近のある推計によると、昨年、私たちが知っているだけで 65,000件の攻撃があったとされるが、この問題の本当の規模については、推測する以外に為す術がない。不安を抱える企業には、株主や顧客に知られたくないと思う攻撃が、報告された数だけあるのだ。
Continue reading “セキュリティを押しつけるな!ネットワークさんが怒ってます!”Cybersecurity and Smart Manufacturing
2021/05/26 AutomationCom — これまで、自動化システムから得られるデータは、移動しないデータだった。それらのデータは、センサー/PLC/レコーダなどで生成され、ローカルの OPC サーバーやデータベースに保存され、少数の熟練したオペレーターやエンジニアによりアクセスされていた。したがって、安全性は高いが、データへのアクセスは限られていた。
Continue reading “サイバー・セキュリティとスマート・マニュファクチャリング”
IoT OT Security News 