Splunk Enterprise Updates Patch High-Severity Vulnerabilities
2023/02/15 SecurityWeek — 2月14日に Splunk は、Splunk Enterprise のアップデートを発表した。それにより、同製品で使用されるサードパーティ・パッケージに影響を与える、複数の深刻な脆弱性が解決されることになる。 最も深刻な脆弱性は CVE-2023-22939/CVE-2023-22935 (CVSS:8.1) であり、危険なコマンドに対する Search Processing Language (SPL) セーフガードが、バイパスされる可能性が生じるという。どちらの脆弱性も、Splunk Web を有効にしたインスタンスに影響するが、前提として高特権ユーザーによるブラウザ・リクエストが必要となる。
Continue reading “Splunk Enterprise の複数の深刻な脆弱性が FIX:早急なパッチ適用が推奨されている”Malicious NPM, PyPI Packages Stealing User Information
2023/02/01 SecurityWeek — NPM/PyPI に存在するパッケージの中に、ユーザー情報の窃取と追加のペイロードをダウンロードの行うものあると、先日に Check Point と Phylum が警告を発した。アプリケーション開発において広く利用されているオープンソース・コードを悪用する脅威アクターたちは、開発者とユーザーをマルウェアに感染させるために、ソフトウェア・サプライチェーン攻撃を多用している。2022年10月の Sonatype のレポートによると、2022年に観測されたソフトウェア・サプライチェーン攻撃の数は、前年比 633% 増となっている。
Continue reading “NPM/PyPI に悪意のパッケージ:Python-drgn と bloxflip に要注意”Java, .NET Developers Prone to More Frequent Vulnerabilities
2023/01/16 DarkReading — Java と .NET で書かれたアプリケーションの約 75% が、OWASP Top-10 に含まれる脆弱性を、少なくとも1つは持っていることが判明した。ソフトウェア・テスト会社である Veracode が、約76万件のアプリケーションを分析した結果として、上記の2つのプログラミング・エコシステムを使用したアプリケーションの 20% ほどは、少なくとも1つの深刻な脆弱性を抱えていることも明らかになった。
Continue reading “Java と .NET のデベロッパー:大量の脆弱性に対峙する理由を解明”Researchers Find a Way Malicious NPM Libraries Can Evade Vulnerability Detection
2022/11/30 TheHackerNews — サイバー・セキュリティ企業である JFrog の最新調査によると、npm エコシステムを標的とするマルウェアは、npm Command Line Interface (CLI) ツールの “unexpected behavior” を悪用することで。セキュリティ・チェックを回避できることが判明した。
Continue reading “npm 悪意のライブラリ侵入経路が判明:プレ・リリース・バージョンに要注意”NPM Bug Allowed Attackers to Distribute Malware as Legitimate Packages
2022/04/26 TheHackerNews — Node.js JavaScript 実行環境における、デフォルト・パッケージ・マネージャである NPM の「論理的欠陥」により、悪意の行為者が不正ライブラリを正規のものとして見せかけ、騙された開発者にインストールさせることが可能であることが判明した。このサプライチェーンの脅威は、クラウド・セキュリティ企業である Aqua の研究者たちにより、Package Planting と名付けられている。2月10日に Aqua から開示され、4月26日には NPM により、問題の根本が修正された。
Continue reading “NPM の深刻なバグ:不正ライブラリを正規のものとして混入する問題が FIX”A Large-Scale Supply Chain Attack Distributed Over 800 Malicious NPM Packages
2022/03/29 TheHackerNews — RED-LILI と呼ばれる脅威アクターが、約800の悪質なモジュールを公開したが、NPM (Node Package Manager) パッケージ・リポジトリを標的として進行中の、大規模なサプライチェーン攻撃キャンペーンに関与していることが明らかになった。イスラエルのセキュリティ企業である Checkmarx は、「一般的に、攻撃者は匿名の使い捨ての NPM アカウントを使用し、そこから攻撃を開始する。今回の攻撃者は、NPM アカウントの作成プロセスを完全に自動化し、パッケージごとに1つの専用アカウントを開設していたようであり、新しい悪意のパッケージを一括して発見することを難しくしていた」と述べている。
Continue reading “悪意の NPM パッケージを量産:サプライチェーン攻撃のための驚異のシステム”25 Malicious JavaScript Libraries Distributed via Official NPM Package Repository
2022/02/22 TheHackerNews — 悪意を持った 25種類の JavaScript ライブラリが、公式の NPM パッケージ・レジストリに新たに登録され。感染したシステムから Discord トークンや環境変数を盗みだそうとしている。DevOps セキュリティ企業である JFrog は、「問題のライブラリは typosquatting 技術を活用し、colors.js/crypto-js/discord.js/marked/noblox.js といった正規パッケージを装っているが、これらのパッケージは “ビギナー・マルウェア作者の作品” だ」と指摘している。
Continue reading “25 種類の 悪意の JavaScript ライブラリ:NPM 公式パッケージ・レジストリ”Two NPM Packages With 22 Million Weekly Downloads Found Backdoored
2021/11/07 TheHackerNews — オープンソース・ソフトウェアのリポジトリを標的とした、新たなサプライチェーン攻撃が発生した。毎週の累積ダウンロード数が、約2,200万にも上る人気の NPM パッケージ2つが、開発者のアカウントへの不正アクセスにより、悪意のコードで侵害されていたことが判明した。
Continue reading “Node.js NPM パッケージにバックドア:2200万回/週も DL される人気のライブラリ”Juniper Networks released +40 security advisories to fix +70 vulnerabilities
2021/10/15 SecurityAffairs — サイバーセキュリティ・プロバイダーの Juniper Networks は、同社のソリューションに影響する 70件以上の脆弱性に対処するため、40以上のセキュリティ・アドバイザリを発表した。
Continue reading “Juniper Networks がセキュリティ・アドバイザリを発表:70件以上の脆弱性に対応”Critical Bug Reported in NPM Package With Millions of Downloads Weekly
2021/09/13 TheHackerNews — JavaScript 用の NPM パッケージ Pac-Resolver に存在する、深刻なリモートコード実行の脆弱性に対する修正プログラムが提供された。さまざまな局面で利用される Pac-Resolver だが、この脆弱性が悪用されると、HTTP リクエストが送信されるたびに、Node.js アプリケーション内で悪意のコードが実行される可能性がある。この脆弱性 CVE-2021-23406 は、CVSS 値が 8.1 であり、Pac-Resolver の 5.0.0 以前のバージョンに影響する。
Continue reading “Node.js NPM の Proxy Auto-Configuration パッケージに深刻な脆弱性が発見される”
IoT OT Security News 