OpenSource – IoT OT Security News

CISA KEV 警告 24/05/01：GitLab の脆弱性 CVE-2023-7028 を KEV に追加

CISA says GitLab account takeover bug is actively exploited in attacks

2024/05/01 BleepingComputer — 5月1日に CISA は、 GitLab の脆弱性 CVE-2023-7028 (CVSS：10.0) を KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を積極的に悪用する攻撃者たちにより、パスワード・リセットとアカウントの乗っ取りが生じると、同組織は警告している。GitLab は、専有コードや API キーを含む機密データをホストしているため、アカウントが乗っ取りが生じると、深刻な事態に陥る可能性がある。この脆弱性の悪用に成功した攻撃者は、CI/CD (Continuous Integration/Continuous Deployment) 環境に悪意のコードを挿入し、リポジトリを侵害するサプライチェーン攻撃を実行する可能性がある。

BentoML の脆弱性 CVE-2024-2912 と PoC エクスプロイト：ただちにパッチを！

CVE-2024-2912: Critical ‘BentoML’ Flaw Opens AI Systems to Remote Takeover

2024/04/30 SecurityOnline — AI アプリケーションのビルド／デプロイに用いられる、人気の Python ベース・フレームワークである BentoML に、深刻なセキュリティ上の欠陥があることが明らかになった。この脆弱性 CVE-2024-2912 は、ソフトウェアがデータを処理する方法に起因し、BentoML を実行しているサーバ上で、攻撃者に任意のコード実行を許すものになる。

Docker Hub ユーザーを標的にした３つのキャンペーン：2021年から展開されていたことが判明

Millions of Docker repos found pushing malware, phishing sites

2024/04/30 BleepingComputer — Docker Hub ユーザーを標的として、2021年初めから展開されている３つの大規模なキャンペーンにより、マルウェアやフィッシング・サイトをプッシュする、数百万のリポジトリが設置されていたことが判明した。Docker Hub がホストする 1,500 万件のリポジトリのうちの約 20%に、スパムからマルウェアやフィッシング・サイトなどにいたる、悪意のコンテンツが含まれていたことが、JFrog のセキュリティ研究者たちにより発見された。

R プログラミング言語の脆弱性 CVE-2024-27322：サプライチェーン攻撃につながる恐れ

New R Programming Vulnerability Exposes Projects to Supply Chain Attacks

2024/04/29 TheHackerNews — プログラミング言語 R に新たに発見されたセキュリティ脆弱性 CVE-2024-27322 は、攻撃者が作成した悪意のRDS (R Data Serialization) ファイルを、読み込んで参照するとコードが実行され、侵害にいたるというものだ。この脆弱性について、AI アプリケーション・セキュリティ企業 Hidden Layer は、「R-lang における Promise オブジェクトの使用と遅延評価に起因する」と、The Hacker News に共有したレポートで述べている。

技術者の就活を狙う悪意の npm パッケージ：騙されてマルウェアをインストール

Bogus npm Packages Used to Trick Software Developers into Installing Malware

2024/04/27 TheHackerNews — 現在進行中のソーシャル・エンジニアリング・キャンペーンは、ソフトウェア開発者の就活をターゲットにする偽の npm パッケージを提供し、Python バックドアをダウンロードさせるというものだ。サイバー・セキュリティ企業の Securonix は、このキャンペーンを DEV#POPPER という名前で追跡しており、北朝鮮の脅威アクターと結びつけている。

XZ Utils へのバックドア混入：そこで用いられたソーシャル・エンジニアリングを紐解く

Attacker Social-Engineered Backdoor Code Into XZ Utils

2024/04/25 DarkReading — SolarWinds や CodeCov が経験したような、広範なソフトウェア・サプライチェーンへの攻撃において、敵対者には高度な技術的スキルは必要ない。必要なのは、ほんの少しの時間と、巧妙なソーシャル・エンジニアリングだけということもある。今年の初めに、Linux システムの OSS である XZ Utils データ圧縮ユーティリティに、バックドアを仕込んだ人物も、きっと、そうだっただろう。今週に発表された、このインシデントに対する Kaspersky による分析と、ここ数日における他の企業からの同様の報告から判明したのは、このユーティリティにバックドアを組み込んだ攻撃者は、ほぼ全面的にソーシャル・エンジニアリングを頼っていたことだ。

GitLab の深刻な脆弱性が FIX：アカウントの乗っ取りにいたる可能性も

Urgent GitLab Update Patches Account Takeover Flaw, Other High-Severity Bugs

2024/04/24 SecurityOnline — 先日の GitLab セキュリティ・リリースで対処されたのは、広範なコード・リポジトリや開発ワークフローに影響を及ぼす可能性のある一連の脆弱性である。それらの脆弱性の悪用に成功した攻撃者は、リソース消耗によりサービス拒否から、完全なアカウント乗っ取りに至るまでの、さまざまな攻撃を引き起こす可能性を持つ。GitLab を利用している組織にとって、バージョン 16.11.1／16.10.4／16.9.6 へのアップグレードは必須である。

node-mysql2 の脆弱性 CVE-2024-21508 などが FIX：PoC も公開！

Critical Vulnerabilities in Popular Database Library Expose Millions of Applications to Attack

2024/04/23 SecurityOnline — 無数の Web アプリケーションとバックエンド・システムの基盤である、JavaScript データベース・ライブラリ node-mysql2 に複数の脆弱性が存在することが、セキュリティ研究者たちにより発見された。これらの脆弱性は、CVE-2024-21508／CVE-2024-21509／CVE-2024-21511 として追跡されており、あらゆる業界の組織に対して、広範な影響を及ぼす可能性がある。

Apache HugeGraph の脆弱性 CVE-2024-27347 などが FIX：直ちにアップデートを！

Multiple Vulnerabilities Patched in Apache HugeGraph – Update Immediately

2024/04/22 SecurityOnline — Apache HugeGraph は、数十億の交点とエッジの処理を行い、堅牢な OLTP (online transaction processing) 機能を持つ、主要な高性能グラフ・データベースとして知られている。その HugeGraph だが、最近になって、ユーザーに重大なリスクをもたらし得る、３つのセキュリティ脆弱性に対処した。これらの脆弱性は、HugeGraph システムの様々なコンポーネントに影響するものであり、悪用されると、SSRF (Server-Side Request Forgery)／ RCE (Remote Command Execution)／認証バイパスなどが生じる恐れがある。

GitLab にも GitHub スタイルのコメント悪用の問題：マルウェアのホスティングが容易になる

GitLab affected by GitHub-style CDN flaw allowing malware hosting

2024/04/22 BleepingComputer — 先日に BleepingComputer は、GitHub の欠陥 (あるいは設計上の仕様) を悪用する脅威アクターが、Microsoft のリポジトリに関連付けられた URL を介して、信頼できるファイルを装いながら、マルウェアを配布していることを報告した。この問題は、GitLab に対しても影響を及ぼすものであり、同様の方法で悪用される可能性が生じることが判明した。このマルウェアに関連する活動の大半は、Microsoft GitHub の URL に基づくものだった。しかしこの “欠陥” は、GitHub や GitLab の、あらゆる公開リポジトリで悪用が可能であり、きわめて説得力のあるルアーを、脅威アクターたちは作成できるという。

Linux を標的とする OSS Pupy RAT：充実したポスト・エクスプロイト機能でアジアを狙う

Linux Systems Targeted: Open-Source Pupy RAT Exploited in Attacks Across Asia

2024/04/21 SecurityOnline — Pupy と呼ばれるパワフルな RAT (Remote Access Trojan) が、韓国を含むアジア全域の Linux システムを標的とした攻撃で積極的に武器化されている。AhnLab Security Emergency Response Center (ASEC) のセキュリティ研究者たちが、先日に発見したのは、Pupy の巧妙なオペレーションの存在であり、そこでは Decoy Dog という新たな亜種も用いられているという。

Laravel Framework の脆弱性 CVE-2024-29291：ゼロデイ状態で PoC も提供

Laravel Framework Hit by Data Exposure Vulnerability (CVE-2024-29291) – Database Credentials at Risk

2024/04/21 SecurityOnline — 先日に発見された、人気の Web 開発フレームワーク Laravel における脆弱性により、Web サイトやアプリケーションで、深刻なデータ侵害の可能性が生じている。この脆弱性 CVE-2024-29291 は、Laravel のバージョン 8〜11 に影響を及ぼし、機密性の高いデータベースのログイン認証情報が暴露される可能性があるという。

GitHub のコメント機能を悪用：Microsoft のリポジトリ URL 経由でマルウェア配布

GitHub comments abused to push malware via Microsoft repo URLs

2024/04/20 BleepingComputer — GitHub のバグ (あるいは設計上の仕様) を悪用する脅威アクターたちが、Microsoft のリポジトリに関連する URL を使って信頼できるファイルを装い、マルウェアを配布している。先日に発見されたマルウェアの多くは、Microsoft GitHub の URL を中心に活動していた。さらに、この “欠陥” の悪用は、GitHub 上のあらゆる公開リポジトリで応用できるため、きわめて説得力のあるルアーを、脅威アクターたちが作成するという可能性が生じている。

glibc の深刻な脆弱性 CVE-2024-2961 が FIX：PHP 環境への攻撃が予測される

CVE-2024-2961 – glibc Vulnerability Opens Door to PHP Attacks: Patch Immediately

2024/04/19 SecurityOnline — GNU C Library (glibc) の iconv 関数において、先日に発見された脆弱性 CVE-2024-2961 は、PHP で構築される Web アプリケーションに深刻な影響を及ぼすものだ。この脆弱性を悪用するリモートの攻撃者により、境界を越えたメモリ書き込みが可能となり、脆弱な PHP アプリケーションのコンテキスト内で、任意のコードを実行される可能性が生じる。

Keycloak のセキュリティ・アップデート：DDoS／データ流出などの脆弱性に対処

Keycloak Patches Vulnerabilities, Mitigates DDoS and Data Theft Risks

2024/04/18 SecurityOnline — 認証／認可のための OSS ソリューションとして人気の Keycloak が、複数の脆弱性に対処するためのセキュリティ・アップデートをリリースした。これらの脆弱性が悪用されると、サービス拒否攻撃や、機密データの流出などの可能性が生じる。影響を受けるバージョンを使用している場合には、パッチが適用された Keycloak 22.0.10／24.0.3 へと、直ちにアップデートするよう推奨される。

ClamAV の脆弱性 CVE-2024-20380 が FIX：クラッシュとサービス拒否状態を回避

ClamAV Issues Urgent Patch for High-Risk DoS Vulnerability CVE-2024-20380

2024/04/18 SecurityOnline — ClamAV 開発チームがリリースしたのは、人気のオープンソース・アンチウイルス・ソフトウェアに対する、緊急のセキュリティ・パッチである。このパッチは、脆弱性 CVE-2024-20380 (CVSS：7.5) に対処するものであり、認証されていないリモートの攻撃者に悪用されると、ClamAV サービスがクラッシュし、サービス拒否 (DoS) 状態に陥る可能性が生じる。

Flatpak の深刻な脆弱性 CVE-2024-32462 が FIX：サンドボックス・エスケープが発生

Flatpak Users Beware: CVE-2024-32462 Vulnerability Allows Apps to Escape Sandbox

2024/04/18 SecurityOnline — Linux アプリケーションのパッケージ化とディストリビューションのための、一般的なフレームワークである Flatpak に脆弱性 CVE-2024-32462 が存在することが、最近のセキュリティ・アドバイザリにより明らかになった。この脆弱性により侵害された Flatpak アプリがサンドボックス・デザインの欠陥を悪用し、意図した環境外で有害なコードを実行する可能性があるという。

OpenMetadata の脆弱性：Kubernetes 上で暗号通貨のマイニングに悪用されている

Hackers Exploit OpenMetadata Flaws to Mine Crypto on Kubernetes

2024/04/18 TheHackerNews — OpenMetadata の深刻な脆弱性を悪用する脅威アクターたちが、Kubernetes のワークロードに不正アクセスし、暗号通貨マイニングに悪用していることが判明した。Microsoft Threat Intelligence チームによると、この脆弱性は、2024年4月の始めから武器化されているという。

米政府と OpenSSF がパートナーシップ：SBOM 管理のためのツール Protobom とは？

US Government and OpenSSF Partner on New SBOM Management Tool

2024/04/17 InfoSecurity — Open Source Security Foundation (OpenSSF) は米国政府と共同して、ユーザー組織における Software Bill of Materials (SBOMs) 管理を簡素化する、新しいツールを発表した。新しい OSS ツールである Protobom は、すべての組織における SBOM とファイル・データの読取／生成をサポートし、また、業界標準の SBOM フォーマット間で、それらのデータを変換するためのものだ。

OpenJS Foundation／OpenSSF の共同アラート：OpenJS が乗っ取りの標的にされた

OpenJS Foundation Targeted in Potential JavaScript Project Takeover Attempt

2024/04/16 TheHackerNews — 先日に発覚したオープンソースの XZ Utils バックドア騒動と似た手口で、信頼を悪用して OpenJS Foundation を標的とし、乗っ取ろうとする試みが、セキュリティ研究者たちにより発見された。OpenJS Foundation と Open Source Security Foundation (OpenSSF) は共同アラートの中で、「OpenJS Foundation Cross Project Council は、GitHub 関連のメールと重複するが、名前が異なる一連の不審なメールを受け取った」と述べている。

Netdata の脆弱性 CVE-2024-32019 が FIX：ただちにアップデートを！

CVE-2024-32019 in Popular Monitoring Tool Netdata Could Allow Hackers Root Access

2024/04/15 SecurityOnline — OSS のモニタリング／トラブルシューティング・ツールとして広く利用されている Netdata に、深刻なセキュリティ脆弱性 CVE-2024-32019 (CVSS：8.8) が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けたシステム上で root レベルの特権を得て、完全な制御を奪っていく可能性がある。Github で 68k 以上のスターを獲得している Netdata の人気は高く、数多くのシステムが危険にさらされることが懸念される。

Libreswan の脆弱性 CVE-2024-3652 が FIX：システム・クラッシュや DoS 攻撃が生じる恐れ

Vulnerability in Popular VPN Software Could Lead to Crashes and Service Disruptions

2024/04/15 SecurityOnline — 広く利用されているオープンソースの VPN (Virtual Private Network) ソフトウェアである Libreswan で、新たに発見された脆弱性 CVE-2024-3652 により、システム・クラッシュやサービス拒否攻撃の可能性が生じていると、研究者たちが指摘している。この脆弱性は、接続の安全性を確保するために、Libreswan に依存している組織にとってリスクとなる。

WordPress Email Subscribers の脆弱性 CVE-2024-2876 が FIX：ただちにアップデートを！

CVE-2024-2876: Critical Security Flaw Impacts Popular WordPress Email Marketing Plugin

2024/04/15 SecurityOnline — 人気の WordPress プラグインである Email Subscribers by Icegram Express に、深刻なセキュリティ脆弱性 CVE-2024-2876 (CVSS：9.8) が発見された。このプラグインの脆弱性の悪用に成功した、認証されていない攻撃者は、WordPress サイトに悪意のコードを注入する可能性を持つ。

PuTTY の深刻な脆弱性 CVE-2024-31497 が FIX：秘密鍵の大幅に弱体化

CVE-2024-31497: Critical PuTTY Vulnerability Exposes Private Keys – Immediate Action Required

2024/04/15 SecurityOnline — 一般的な SSH クライアントである、PuTTY バージョン 0.68〜0.80 に存在する、深刻な脆弱性 CVE-2024-31497 が発見された。この脆弱性は、FileZilla／WinSCP／TortoiseGit／TortoiseSVN などの、広範なソフトウェアに影響を及ぼす。この脆弱性の悪用に成功した攻撃者は、NIST P-521 曲線を用いた ECDSA アルゴリズムで使用される秘密鍵を大幅に弱体化させ、容易に復元できる状態にするという。この欠陥は、Ruhr 大学 Bochum.の、セキュリティ研究者である Fabian Bäumer と Marcus Brinkmann により発見された。

PHP の深刻な脆弱性 CVE-2024-1874／2757 などが FIX：ただちにパッチを！

Critical PHP Vulnerabilities Patched: Update Immediately to Mitigate Attacks

2024/04/14 SecurityOnline — PHP のバージョン 8.1.28／8.2.18／8.3.6 に影響を及ぼす複数の脆弱性に対して、緊急のセキュリティ・パッチがリリースされた。これらの脆弱性は、クリティカルなコマンド・インジェクションの不具合から、アカウント漏洩にいたるまでの多岐にわたり、 Web サイトやアプリケーションで PHP を利用している、ユーザーと開発者の双方にとって、早急な対応が必要なものである。

BatBadBut コマンド・インジェクション：Windows 上の Rust／Node.js／PHP などに影響

‘BatBadBut’ Command Injection Vulnerability Affects Multiple Programming Languages

2024/04/12 SecurityWeek — 複数のプログラミング言語から、Windows アプリケーションのコマンド・インジェクションにつながるという深刻な脆弱性について、Flatt Security のバグハンターたちが警告している。この BatBadBut と名付けられた問題は、Windows オペレーティング・システムにおいて、”CreateProcess” 関数でバッチ (bat) ファイルが実行され、”cmd exe” プロセスが生成される際に、プログラミング言語がコマンド引数を適切に回避しないことに起因する。

Spring Framework の深刻な脆弱性 CVE-2024-22262 が FIX：SSRF 攻撃などが発生する可能性

CVE-2024-22262: Spring Framework Hit by New Vulnerability, Urgent Update Needed

2024/04/12 SecurityOnline — 広範に利用されている Spring Framework ソフトウェアに存在する、深刻度の高いセキュリティ上の欠陥 CVE-2024-22262 が、新たに発見された。この脆弱性により、無数のアプリケーションに対して、リダイレクト攻撃やサーバ・サイド・リクエスト・フォージェリ (SSRF) 攻撃が発生する可能性があると、研究者たちが警告している。

XZ Utils バックドア汚染：Rust Crate liblzma-sys 侵害から手口を辿ってみる

2024/04/12 TheHackerNews —XZ Utilsのバックドアに関連する “テストファイル” が、liblzma-sys という名の Rust crate に紛れ込んでいることが、Phylum の新たな調査で明らかになった。この liblzma-sys は、現時点において 21,000回以上もダウンロードされており、XZ Utils データ圧縮ソフトウェアの一部である、基礎ライブラリ liblzma 実装へのバインディングを、Rust 開発者に提供している。問題のバージョンは、0.3.2 である。

Apache Kafka の脆弱性 CVE-2024-27309 が FIX：ただちにアップデートを！

CVE-2024-27309: Major Apache Kafka Flaw Could Expose Sensitive Data in Popular Enterprises

2024/04/11 SecurityOnline — 人気の OSS イベント・ストリーミング・プラットフォームである Apache Kafka の、一般的なバージョンにおいて深刻な脆弱性 CVE-2024-27309 が発見された。この脆弱性は、Kafka クラスタを ZooKeeper モードから KRaft モードに移行する過程において、機密データへの不正アクセスを許す可能性があり、多数の大規模企業に影響を与えると推測されている。

GitHub リポジトリ検索の悪用：マルウェア拡散の温床になっている

Threat Actors Game GitHub Search to Spread Malware

2024/04/11 InfoSecurity — 脅威アクターたちは、悪意のコードが隠された GitHub リポジトリを、多大な労力を費やして拡散していると、Checkmarx が警告している。最近に発見されたキャンペーンでは、これらのリポジトリが GitHub の検索結果の上位に表示されるよう設計された、テクニックが展開されていたという。

XZ Utils バックドア騒動：ソフトウェア・セキュリティの問題点が浮き彫りに

XZ Utils Scare Exposes Hard Truths About Software Security

2024/04/11 DarkReading ‐‐‐ ほぼ全ての主要 Linux ディストリビューションに搭載されている、データ圧縮ユーティリティである XZ Utils に、バックドアが注入されていたことが、最近になって判明した。このインシデントから痛感させられるのは、OSS コンポーネントを利用する組織は、ソフトウェアの安全性を確保する責任を、最終的に負う必要があるということだ。

Apache Zeppelin の脆弱性 CVE-2024-31861：コード・インジェクション攻撃が生じる恐れ

CVE-2024-31861: Apache Zeppelin Vulnerability Opens Door to Code Injection Attacks

2024/04/10 SecurityOnline — 人気のデータ分析ノートブック・ツールである Apache Zeppelin に、新たなセキュリティ脆弱性 CVE-2024-31861 (重要度：Important) が発見された。この脆弱性の悪用に成功した攻撃者は、Zeppelin のシェル・インタプリタを通じて悪意のコードを注入し、機密システムの完全性とセキュリティに影響を与える可能性がある。

Node.js の脆弱性 CVE-2024-27980 が FIX：ただちにアップデートを！

CVE-2024-27980: Critical Node.js Update Patches Windows Command Injection Flaw

2024/04/10 SecurityOnline — Node.js プロジェクトがリリースしたのは、Windows システムにおける深刻なコマンド・インジェクションの脆弱性 CVE-2024-27980 に対処する、緊急のセキュリティ・アップデートである。この脆弱性の悪用に成功した攻撃者は、シェル・オプションが無効化されている場合においても、影響を受けるマシン上での悪意のコード実行が可能になる。

GitLab の４件の脆弱性が FIX：XSS および Dos が発生する可能性

GitLab Races to Fix Critical XSS Flaws – Don’t Delay Your Upgrade

2024/04/10 SecurityOnline — コードコラボレーションとプロジェクト管理のための DevOps プラットフォームとして広く利用されている GitLab が、重要なセキュリティ・アップデートとして 16.10.2／16.9.4／16.8.6 をリリースした。このリリースで対処された複数の欠陥のうち、最も深刻なものは、蓄積型クロスサイトスクリプティング (XSS) の脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、ユーザー・セッションの乗っ取りや、機密データの窃取を可能にし、さらには、標的システム内での攻撃のための足場を構築する可能性もあるという。

WordPress Core に脆弱性：バージョン 6.5.2 への移行を急いでほしい

WordPress Releases Urgent Security Patch – Update Immediately!

2024/04/10 SecurityOnline — 人気の CMS (Content Management System) である WordPress がリリースしたのは、クロス・サイト・スクリプティング (XSS) などの脆弱性に対処する、重要なセキュリティ・アップデートである。あらたにリリースされた WordPress 6.5.2 は、このソフトウェアを利用している、すべてのウェブサイト所有者にとって不可欠なものだ。

Rust の脆弱性 CVE-2024-24576 (CVSS 10) に注意：Windows 限定のコマンド・インジェクション

CVE-2024-24576 (CVSS 10): Rust Flaw Exposes Windows Systems to Command Injection Attacks

2024/04/09 SecurityOnline — Rust Standard Library で発見された致命的な脆弱性により、Windows ベースのシステムにおいて、任意のコード実行の可能性が生じている。この脆弱性 CVE-2024-24576 が攻撃者に悪用されると、システムを不正に制御される可能性があるという。

PostgreSQL pgAdmin の脆弱性 CVE-2024-3116 が FIX：RCE 攻撃の恐れ

CVE-2024-3116: Critical pgAdmin Vulnerability Exposes Databases to Remote Attacks

2024/04/05 SecurityOnline — PostgreSQL データベースの管理のために、世界中で使用されているオープンソース・ツールの pgAdmin に、深刻な脆弱性 CVE-2024-3116 が発見された。この脆弱性の悪用に成功した攻撃者は、pgAdmin を実行しているサーバー上で悪意のコードを実行し、データベース・システム全体を危険にさらす可能性がある。

Apache CloudStack の脆弱性 CVE-2024-29008 などが FIX：ただちにパッチを！

Apache CloudStack Releases Critical Security Patches – Update Immediately

2024/04/04 SecurityOnline — Apache Software Foundation が発表したのは、人気のクラウド管理プラットフォーム CloudStack 4.18.1.1／4.19.0.1 によりセキュリティ・リリースである。これらのリリースで対処される、３件の脆弱性を悪用する攻撃者は認証を回避し、トラフィックをリダイレクトし、基盤となるインフラの制御を奪う可能性があるという。

HTTP/2 で発見された新たな脆弱性：CONTINUATION Flood の仕組みについて解説する

New HTTP/2 Vulnerability Exposes Web Servers to DoS Attacks

2024/04/04 TheHackerNews — HTTP/2 プロトコルの CONTINUATION フレームを悪用することで、サービス拒否 (DoS) 攻撃が可能なことが、新たな研究で判明した。セキュリティ研究者の Bartek Nowotarski により、このテクニックは “HTTP/2 CONTINUATION Flood” というコードネームで呼ばれている。2024年1月25日に彼は、この問題を CERT Coordination Center (CERT/CC) に報告している。

Apache HTTP サーバの３つの脆弱性が FIX：ただちにパッチを！

Apache HTTP Server Hit by Triple Vulnerabilities – Users Urged to Update

2024/04/04 SecurityOnline — 広く使用されている Apache HTTP Server に、３つの脆弱性が存在することを、セキュリティ研究者たちが発見した。それらの脆弱性 CVE-2023-38709／CVE-2024-27316／CVE-2024-24795 が開く攻撃のドアから、脅威アクターたちが入り込み、Web サイトのコンテンツ改ざんから、サービス拒否 (DoS) シナリオにいたるまでの、攻撃が仕掛けられる恐れがある。

Node.js の脆弱性 CVE-2024-27983／27982 が FIX：クラッシュと HTTP スマグリングの可能性

Node.js Security Update Addresses Server Crash, Request Smuggling Vulnerabilities

2024/04/03 SecurityOnline — Node.js プロジェクトがリリースしたのは、人気の JavaScript 実行環境における、アクティブなリリースライン v18.x／v20.x／v21.x に存在する、２つの脆弱性に対処するための重要なセキュリティ更新プログラムである。１つ目の脆弱性には、Node.js HTTP/2 サーバのクラッシュにいたる可能性があり、２つ目の脆弱性には、HTTPリクエスト・スマグリング攻撃を容易にする可能性がある。

WordPress LayerSlider Plugin の脆弱性 CVE-2024-2879 が FIX：CVSS 値は 9.8

Critical Security Flaw Found in Popular LayerSlider WordPress Plugin

2024/04/03 TheHackerNews — WordPress の LayerSlider plugin に、致命的なセキュリティ脆弱性 CVE-2024-2879 (CVSS：9.8) が発見された。この脆弱性は SQL インジェクションと分類されており、7.9.11〜7.10.0 までのバージョンに影響を与える。この脆弱性の悪用に成功した攻撃者は、データベースからパスワード・ハッシュなどの機密情報を抜き取る可能性がある。

XZ Utils の脆弱性 CVE-2024-3094：バックドア検出の無料スキャナーを Binarly が開発／提供

Binarly Released The Free Online Scanner To Detect The Cve-2024-3094 Backdoor

2024/04/02 SecurityAffairs — 3月29日に Microsoft のエンジニアである Andres Freund が明らかにしたのは、xz ツールとライブラリの最新バージョンにバックドアが存在するという現実である。この脆弱性は、CVE-2024-3094 (CVSS：10.0) として追跡されている。Red Hat は、Fedora の開発版／実験版が稼働しているシステムを直ちに使用中止するよう、ユーザーに呼びかけている。XZ は、一般的なデータ圧縮フォーマットであり、Linux ディストリビューションにおける、コミュニティ主導型と商用型の大半に実装されている。

Apache Pulsar の脆弱性 CVE-2024-29834 が FIX：直ちにアップデートを！

Apache Pulsar Patches Authorization Flaw (CVE-2024-29834) – Update Now to Protect Sensitive Data

2024/04/02 SecurityOnline — OSS メッセージング／ストリーミング・プラットフォームとして人気の Apache Pulsar に存在する、深刻なセキュリティ脆弱性 CVE-2024-29834 にパッチが適用された。この脆弱性の悪用に成功した、権限のない攻撃者は、機密データ・ストリームやシステム・アクセス・ルールなどの変更が可能になるため、組織のデータが危険にさらされる可能性が生じる。

XZ Utils for Linux に仕込まれた悪意のコード：RCE を引き起こすという調査結果

Malicious Code in XZ Utils for Linux Systems Enables Remote Code Execution

2024/04/02 TheHackerNews — 主要 Linux ディストリビューションで広範に使用されている、OSS ライブラリ XZ Utils に挿入された悪意のコードは、リモートからのコード実行も可能であることが、新たな分析により明らかになった。脆弱性 CVE-2024-3094 (CVSS：10.0) を悪用する大胆なサプライチェーン侵害は、Microsoft のエンジニアであり、PostgreSQL の開発者でもある Andres Freund が、先週に警告したものである。このデータ圧縮ユーティリティにバックドアが存在するため、リモートの攻撃者がセキュア・シェル認証を回避し、影響を受けたシステムへの完全なアクセスを提供することが明らかになっている。

WallEscape 脆弱性 CVE-2024-28085：Linux のパスワードが漏えいする可能性とは？

‘WallEscape’ Linux Vulnerability Leaks User Passwords

2024/04/01 SecurityWeek — Linux システムの util-linux コア・ユーティリティ・パッケージで発見された新たな脆弱性について、セキュリティ研究者たちが文書化を進めている。それによると、悪用に成功した攻撃者は、ユーザー・パスワードの漏えいや、クリップボード内容の改ざんなどを引き起こす可能性があるという。”WallEscape” と名付けられた脆弱性 CVE-2024-28085 は、コマンドライン引数におけるエスケープシーケンスをフィルタリングしない、util-linux の “wall” コマンドに影響を及ぼすものである。

JumpServer の深刻な脆弱性 CVE-2024-29201／29202 が FIX：ただちにパッチを！

CVE-2024-29201 & CVE-2024-29202 Flaws Expose JumpServer Users to RCE Attacks

2024/04/01 SecurityOnline —人気の OSS 要塞ホスト・システムである JumpServer に、２件のリモート・コード実行の脆弱性 CVE-2024-29201／CVE-2024-29202 が発見された。この脆弱性は、セキュリティ・インフラストラクチャを JumpServer に依存している、各種の組織に深刻なリスクをもたらす。

XZ Utils に注入されたバックドア：主要の Linux ディストリビューションに影響

Supply Chain Attack: Major Linux Distributions Impacted by XZ Utils Backdoor

2024/04/01 SecurityWeek — データ圧縮ライブラリである XZ Utils のバックドア付きバージョンにより、主要な Linux ディストリビューションがサプライチェーン攻撃の影響を受けている。このバックドアは、Microsoft の Software Engineer である Andres Freund により発見されたものである。彼によると、2024年2月にリリースされた XZ Utils 5.6.0 の tarball ダウンロード・パッケージに、悪意のコードが混入していたという。その直後にリリースされたバージョン 5.6.1 では、難読化の追加や一部の設定で発生するエラーの修正など、悪意のコードが更新されていた。

Apache Fineract の脆弱性 CVE-2024-23537 などが FIX：直ちにアップデートを！

Apache Fineract Patches Multiple Flaws, Including Critical Privilege Escalation (CVE-2024-23539)

2024/03/31 SecurityOnline — 金融機関で広く使用されている OSS コア・バンキング・ソリューション Apache Fineract に存在する、３つの脆弱性に対応するセキュリティ・パッチがリリースされた。これらの脆弱性の悪用に成功した攻撃者は、権限の昇格や、悪意のデータベース・クエリ実行を引き起こす可能性がある。

Linux Kernel の脆弱性 CVE-2024-0582：PoC と技術的詳細が公開

CVE-2024-0582: Serious Linux Kernel Bug Opens Door to System Takeovers, PoC Published

2024/03/31 SecurityOnline — Linux カーネルの脆弱性 CVE-2024-0582 (CVSS 7.8) の、PoC エクスプロイト・コードと技術的詳細が公開された。この脆弱性は、バージョン 6.4〜6.6 に影響するものであり、悪用に成功したローカル・ユーザー・アクセス権を持つ攻撃者は、システムを侵害して完全な管理者権限を獲得する可能性を得るという。