OpenSource – Page 14 – IoT OT Security News

GitLab の深刻な脆弱性 CVE-2023-7028：5,300 台のインスタンスが危険な状態

Over 5,300 GitLab servers exposed to zero-click account takeover attacks

2024/01/24 BleepingComputer — 2024年1月に発見された、GitLab のゼロクリック・アカウント乗っ取りの脆弱性 CVE-2023-7028 (CVSS：10.0) の脆弱性だが、インターネット上に公開されている 5,300 以上のインスタンスで放置されていることが判明した。この脆弱性の悪用に成功した攻撃者は、標的アカウントのパスワード再設定メールを自身が管理するメールアドレスに送信させ、パスワードを変更して対象のアカウントを乗っ取ることが可能になる。

Spring Framework の脆弱性 CVE-2024-22233 が FIX：DDoS の可能性

CVE-2024-22233: A high-severity Spring Framework Vulnerability

2024/01/22 SecurityOnline — Spring Framework はオープンソースの Java プラットフォームであり、エンタープライズ・アプリケーション開発のための、包括的なインフラ・サポートを提供している。基本的には、定型的なコードや一般的なタスクを処理することで開発プロセスを簡素化し、アプリケーションのコアとなるビジネスロジックの記述に、開発者が集中できるようにするためのツールキットである。

pyLoad の CSRF 脆弱性 CVE-2024-22416：CVSS 9.6 で PoC も公開

CVE-2024-22416: Exposing pyLoad’s High-Risk CSRF Vulnerability

2024/01/21 SecurityOnline — NAS システムから次世代ルーター、ヘッドレス・ホームサーバーに至るまで、様々なデバイスがデジタル・ライフのバックボーンとなっている現代技術の相互接続領域では、それらを動かすソフトウェアが大きな鍵となっている。 pyLoad は、多数のプラットフォーム上で Python を活用するために開発され、高い柔軟性と幅広い互換性を備えた、多用途のダウンロード・マネージャーだ。その pyLoad に、広範囲に影響を及ぼす可能性がある、深刻な脆弱性が発見された。

Pillow に深刻な脆弱性 CVE-2023-50447：CVSS 9.0 で PoC も公開された

Pillow’s Critical Flaw: CVE-2023-50447 Exposes Python Projects to Risk

2024/01/21 SecurityOnline — 賑やかな Python 開発の世界で、Pillow は Python Imaging Library (PIL) の後継として、幅広い画像処理タスクを処理する強力な機能で愛用されており、多くのプロジェクトの礎として貢献している。しかしその Pillow に、深刻な脆弱性 CVE-2023-50447 が存在し、攻撃者に任意のコード実行をゆるす可能性があることが、セキュリティ研究者 Duarte Santos の最近の研究で発見された。

Google Chrome の脆弱性 CVE-2024-0517：PoC エクスプロイトが公開

Experts Reveal Details and PoC on Chrome CVE-2024-0517 RCE Flaw

2024/01/21 SecurityOnline — 先日にパッチが適用された Google Chrome のセキュリティ脆弱性 CVE-2024-0517 に関する、技術的な詳細と PoC が公開された。この脆弱性 CVE-2024-0517 は、Chrome の JavaScript エンジンである V8 の境界外書き込みの欠陥に起因するものであり、Qrious Secure のセキュリティ研究者 Toan (suto) Pham に発見された後の 2024年1月に、Google によりパッチが適用されている。

Apache Tomcat の情報漏えいの脆弱性 CVE-2024-21733 が FIX：直ちにアップデートを！

CVE-2024-21733: Apache Tomcat Information Disclosure Vulnerability

2024/01/19 SecurityOnline — Web テクノロジーが拡大し続ける中で、その基盤として登場した Apache Tomcat は、Jakarta Servlet／Jakarta Expression Language／WebSocket 技術にとって、極めて重要なオープンソースのインプリメンテーションである。

Slippy-Book という Linux の脆弱性と PoC エクスプロイト：RCE の可能性

Breaking Down Slippy-Book: The New RCE Flaw in Linux Distros

2024/01/19 SecurityOnline — Slippy-Book と呼ばれる新たな脆弱性が、人気の Linux ディストリビューションの完全性に対する脅威として出現した。このリモート・コード実行 (RCE) の脆弱性は、セキュリティ研究者の Febin Mon Saji が発見したものである。Linux の主要なドキュメント・ビューアにおける、ファイル・パーシングの中核への脅威であり、Xreader では CVE-2023-44451 として、Atril では CVE-2023-52076 として採番されている。

TensorFlow CI/CD のミスコンフィグへの対応：サプライチェーン攻撃の要因になり得る

TensorFlow CI/CD Flaw Exposed Supply Chain to Poisoning Attacks

2024/01/18 TheHackerNews — オープンソースの機械学習フレームワーク TensorFlow で発見された CI/CD (integration and continuous delivery ) のミスコンフィグが、サプライチェーン攻撃の組織化のために悪用された可能性があるという。今週のレポートで Praetorian の研究者である Adnan Khan と John Stawinski は、「このミスコンフィグを悪用する攻撃者が、悪意のプルリクエストを通じて TensorFlow のビルド・エージェントを侵害し、GitHub／PyPi 上の TensorFlow リリースのサプライチェーンを侵害した可能性がある」と述べている。

Apache ActiveMQ の脆弱性 CVE-2023-46604：Godzilla Webshell による侵害を検知

A Stealthy Godzilla Webshell: A New Threat Targeting Apache ActiveMQ

2024/01/18 SecurityOnline — Apache ActiveMQ ホストの脆弱性を悪用するサイバー攻撃が、この数週間で急増していることを、Trustwave のサイバー・セキュリティ専門家たちが検知した。これらの攻撃では、Godzilla Webshell と呼ばれる、未知のバイナリ形式に隠されたステルス性の高い Web シェルが発見されている。

Shopware の深刻な脆弱性 CVE-2024-22406 が FIX：SQLi の可能性

Ecommerce Alert: Shopware Hit by Critical-Risk CVE-2024-22406 Flaw

2024/01/17 SecurityOnline — あらゆる規模の企業に対して、オンライン・ストア作成／管理の機能を提供する、オープンソースの e コマース・プラットフォーム Shopware に、深刻な脆弱性 CVE-2024-22406 (CVSS：9.3) が発見された。この人気のオープンソース・プラットフォームに依存している企業は、重大な脅威にさらされる可能性がある。

GitHub の脆弱性 CVE-2024-0200 が FIX：漏洩キーのローテーションにも対応

GitHub rotates keys to mitigate impact of credential-exposing flaw

2024/01/16 BleepingComputer — GitHub がローテーションしたキーは、2023年12月に発生した脆弱性へのパッチ適用により、公開されてしまう可能性があるものだ。この脆弱性の悪用に成功した攻撃者は、環境変数を介して運用中のコンテナ内の認証情報にアクセスできたという。この、不適切なリフレクションの脆弱性 CVE-2024-0200 が悪用されると、パッチ未適用のサーバ上で、リモート・コード実行にいたる可能性がある。

FBI 警告：AWS／ Microsoft などのクラウド・クレデンシャルを狙うAndroxgh0st ボットネット

FBI: Androxgh0st malware botnet steals AWS, Microsoft credentials

2024/01/16 BleepingComputer — Androxgh0st マルウェアを使用する脅威アクターが、クラウド・クレデンシャルの窃取に特化したボットネットを構築し、窃取した情報を介して悪意のペイロードを配信していることを、1月16日に CISA と FBI が警告した。この、2022年に Lacework Labs により発見されたボットネットは、PHPUnit ユニットテスト・フレームワーク／PHP Web フレームワーク／Apache Web サーバなどを使用する Web サイト／サーバをスキャンし、リモートコード実行 (RCE) の脆弱性を検出するものだ。

Linux Kernel の脆弱性 CVE-2024-0562／CVE-2024-0565 が FIX：直ちにアップデートを！

CVE-2024-0562 & CVE-2024-0565: The Linux Kernel Faces Two Major Vulnerabilities

2024/01/16 SecurityOnline — Linux Kernel は、世界中のシステムを網の目のように結びつける、現代のコンピューティングの基礎として機能している。しかし、その堅牢な構造にも弱点はある。先日には、Linux カーネルの深刻な脆弱性である、CVE-2024-0562 と CVE-2024-0565 が発見されている。

WordPress の 7,100 サイトを侵害する Balada：Popup Builder の脆弱性 CVE-2023-6000 を武器化

Balada Injector Infects Over 7,100 WordPress Sites Using Plugin Vulnerability

2024/01/15 TheHackerNews — WordPress で脆弱な Popup Builder プラグインを使用している数千のサイトが、Balada Injector と呼ばれるマルウェアに感染しているようだ。この、2023年1月に Doctor Web が報告したキャンペーンは、セキュリティ上に欠陥のある WordPress プラグインを武器にして、一連の定期的な攻撃の波を引き起こしている。それらのサイトにバックドアが注入され、偽の技術サポート／宝くじ当選／プッシュ通知などの詐欺ページへと、訪問者たちをリダイレクトしていく。

Apache Hadoop／Flink のミスコンフィグ：クリプトマイナーの配信に悪用されている

Attackers Target Apache Hadoop And Flink To Deliver Cryptominers

2024/01/15 SecurityAffairs — Apache の Hadoop と Flink を標的とする新たな攻撃が、サイバーセキュリティ企業 Aqua の研究者たちにより発見された。この攻撃は、暗号通貨マイナーの展開を目的とし、Apache の Hadoop／Flink のミスコンフィグレーションを悪用するものだ。一連の攻撃において、とりわけ興味深いのは、脅威アクターたちがマルウェアを隠すためにパッカーやルートキットを使用している点だと、研究者たちは述べている。

GitHub 2023 調査：リポジトリを悪用するサイバー攻撃の増加 – Recorded Future

Security Experts Urge IT to Lock Down GitHub Services

2024/01/15 InfoSecurity — GitHub サービスを悪用して秘密裏にサイバー攻撃を仕掛けるケースが増えていると、脅威インテリジェンス企業である Recorded Future が警告している。同社は、企業の IT チームに対して、対策を講じるよう呼びかけている。Recorded Future の最新レポート “Flying Under the Radar: Abusing GitHub for Malicious Infrastructure” では、脅威アクターに最もよく悪用される GitHub サービスが列挙されている。

PyPI に潜む Blank Grabber マルウェア：Python 開発者たちを狙い続ける

“Blank Grabber” Malware in PyPI: A Silent Threat to Python Developers

2024/01/14 SecurityOnline — Python Package Index (PyPI) は、開発者のコーディング効率を向上させるための、膨大なパッケージ・ライブラリとして認識されている。しかし、この革新的なレポジトリに潜んでいる Blank Grabber マルウェアが、新たなサイバー・セキュリティの脅威となっている。

Apache Solr の脆弱性 CVE-2023-50290 が FIX：直ちにアップデートを！

CVE-2023-50290: Apache Solr’s ‘Important’ Severity Security Flaw

2024/01/12 SecurityOnline — Apache Solr は、世界中で利用されている Java で書かれた検索プラットフォームだが、機密情報が漏えいする恐れのある、新たなセキュリティ脆弱性が発見されている。強固な全文検索／リアルタイムのインデックス作成／データベースや NoSQL システムとのシームレスな統合などで、Apache Solr は知れ渡っており、オープンソースの企業向け検索プラットフォームとして認知されている。

Apache OfBiz の深刻な脆弱性 CVE-2023-51467：PoC エクスプロイトが公開された

New PoC Exploit for Apache OfBiz Vulnerability Poses Risk to ERP Systems

2024/01/11 TheHackerNews — オープンソース ERP (Enterprise Resource Planning) システムである Apache OfBiz で、先日に公開された深刻な脆弱性を悪用することで、メモリ常駐型のペイロードを実行する PoC (Proof-of-concept) コードが、サイバー・セキュリティ研究者たちにより公表された。対象となった脆弱性 CVE-2023-51467 (CVSS：9.8) は、Apache OfBiz の別の脆弱性 CVE-2023-49070 (CVSSスコア：9.8) に対するバイパスであり、認証をバイパスして任意のリモートコード実行を行うための武器になり得るものだ。

GitLab の深刻な脆弱性 CVE-2023-7028／CVE-2023-5356 などが FIX：直ちにアップデートを！

CVE-2023-7028 & 5356: GitLab Addresses Account Takeover & Command Flaws

2024/01/11 SecurityOnline — 進化し続けるサイバー脅威の状況に対応するために、DevOps 分野で有名な GitLab が、先日に一連の重大な脆弱性を修正した。今回のアップデートで修正された脆弱性には、Critical なものとして CVE-2023-7028／CVE-2023-5356 があるが、その他にも３件の脆弱性が修正されている。

Redis の RCE 脆弱性 CVE-2023-41056：直ちにパッチ適用を！

CVE-2023-41056: Redis Remote Code Execution Vulnerability

2023/01/09 SecurityOnline — 汎用 NO SQL サーバとして広く利用されている Redis に、深刻度の高い脆弱性 CVE-2023-41056 が発見された。Redis は、サーバ・クライアント・モデルを通じて、変更可能なデータ構造を効率的に提供することで知られており、様々なプロセスにおける共有データ構造の照会／変更を容易にする。

WordPress AI Engine プラグインの脆弱性 CVE-2023-51409 が FIX：RCE にいたる恐れ

CVE-2023-51409: The Severe Vulnerability Threatening 50,000 WordPress Sites

2024/01/09 SecurityOnline — AI Engine プラグインは、50,000 以上のアクティブなインストールを持つ人気の WordPress プラグインだが、先日に深刻なセキュリティ脆弱性が発見された。この、認証を必要としない任意のファイル・アップロードを許してしまう、脆弱性 CVE-2023-51409 により、このプラグインを使用している Web サイトに深刻なリスクが生じている。

Cacti の脆弱性 CVE-2023-51448／CVE-2023-49084：連鎖により RCE 攻撃が可能

Cacti Monitoring Tool Spiked by Critical SQL Injection Vulnerability

2024/01/09 DarkReading — ネットワーク・パフォーマンス監視のための Web ベースのオープンソース・フレームワークである Cacti に、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、Cacti のデータベース・コンテンツ全体の公開が可能になる。何千もの Web サイトが、Cacti を使用して、ルーター／スイッチ／サーバーなどのデバイスから、帯域幅の使用率／CPU とメモリーの使用量／ディスク I/O などに関連するネットワーク・パフォーマンス情報を収集している。それにより運用組織は、収集したデータを Round Robin Database utility (RRDTool) に入力し、グラフィックや視覚的なメトリクスを生成できる。

Harmony ライブラリを使用した .NET マルウェア対抗策が公開 – Check Point 調査

New Research: Tackling .NET Malware With Harmony Library

2024/01/08 InfoSecurity — 2024年1月8日に、セキュリティ研究者たちが発表したのは、Harmony ライブラリを使用して .NET マルウェアに対抗するための、戦略的洞察に関するレポートだ。マルウェア研究者／アナリスト／リバース・エンジニアたちにとって、コードの特定の部分の機能を操作する能力は、分析プロセスで有意義な結果を得るために不可欠なものだ。

Linux Kernel の RCE 脆弱性 CVE-2024-0193：権限昇格攻撃の危険性

Linux Kernel Flaw CVE-2024-0193 Opens Root Access

2024/01/08 SecurityOnline — Linux カーネルの信頼性に影を落とす、新たな脅威が出現した。最近に公開された、この脆弱性 CVE-2024-0193 (CVSS：7.8) は、広く使用されている Linux OS に深刻なリスクをもたらす可能性がある。この解放済みメモリの使用の脆弱性は、Netfilter サブシステムに存在する。その悪用に成功したローカルの攻撃者は、権限を昇格し、任意のコード実行を行う可能性を持つ。そのため、壊滅的なカーネル・パニックを引き起こす可能性のある、深刻度の高い欠陥であると言える。

Apache RocketMQ の脆弱性 CVE-2023-33246／CVE-2023-37582：攻撃の試みを観測

Hackers target Apache RocketMQ servers vulnerable to RCE attacks

2024/01/05 BleepingComputer — Apache RocketMQ サービスに存在するリモート・コマンド実行の脆弱性 CVE-2023-33246／CVE-2023-37582 を悪用するために、スキャンを試行する数百の IP アドレスが連日のように検出されている。どちらの脆弱性も、重大度スコアは critical と評価されており、ベンダーが 2023年5月に初期パッチを適用した後も、積極的に悪用されている。当初、このセキュリティ問題は CVE-2023-33246 として追跡され、NameServer／Broker／Controller を含む、複数のコンポーネントに影響を及ぼしていた。

ソフトウェア・サプライ・チェーンの安全性：三本柱の実践で改善できるはず

Three Ways To Supercharge Your Software Supply Chain Security

2024/01/04 TheHackerNews — “Executive Order on Improving the Nation’s Cybersecurity” の第４節で紹介されているのは、技術業界の人々のための、ソフトウェア・サプライ・チェーンと安全性確保の概念である。もし、あなたがソフトウェアを作り、それを連邦政府機関に売りたいと考えているのであれば、ソフトウェア・サプライ・チェーンについて注意を払う必要がある。もし、政府機関に販売する計画がないとしても、ソフトウェア・サプライ・チェーンを理解し、その安全性を確保する方法を学ぶことで、より強固なセキュリティの足場とメリットという配当が得られる。この記事では、ソフトウェア・サプライチェーンのセキュリティを強化するための、３つの方法について説明していく。

npm で発生した “依存性地獄”：パッケージ削除を禁止する最悪の連鎖が発生

‘everything’ blocks devs from removing their own npm packages

2024/01/04 BleepingComputer — 年末年始の連休中に、npm パッケージのレジストリは 3,000以上のパッケージで溢れかえった。この、”everything” をダウンロードするように命名されたパッケージは、すべての npm パッケージを徐々に取り込む。それらは、コンピュータ上の npmjs.com レジストリに公開されものであり、ストレージが不足する可能性がある。しかし、このような問題は、氷山の一角にすぎない。つまり、誰が “everything をインストールするのかという疑問は、このパッケージが持っている、もっと大きな副作用を無視している。

Apache InLong Manager の脆弱性 CVE-2023-51784／51785 が FIX：ただちにアップデートを！

CVE-2023-51784 & 51785: Two Critical Security Flaws in Apache InLong

2024/01/03 SecurityOnline — Apache InLong は、現代企業の血管を流れる情報の奔流を利用することに長けた、先駆的なフレームワークとして登場した。ワンストップ・ソリューションとして設計された Apache InLong は、大規模なデータ統合を効率的に管理し、データの取り込みや同期からサブスクリプションにいたるまでの、幅広い機能を提供するものだ。同フレームワークは、高度なデータ分析やリアルタイム・アプリケーションの構築に不可欠な機能である、バッチとストリームの両方のデータ処理をサポートする点で際立っている。最近、その Apache InLong に、新たな複数の脆弱性が見つかった。

PyPI に新たな悪意のパッケージ： Linux デバイス上で CoinMinerを展開

Python’s New Threat: Malicious PyPI Packages Targeting Linux Devices

2024/01/03 SecurityOnline — 先日に Python コミュニティで、Linux デバイス上に CoinMinerを展開する、３つの悪意の PyPI (Python Package Index) パッケージが発見された。これらのパッケージ modularseven-1.0／driftme-1.0／catme-1.0 は、FortiGuard の AI 駆動型 OSS マルウェア検出システムにより発見されたものであり、オープンソースのエコシステムを標的とする、攻撃の洗練度の大幅なエスカレーションを示唆している。

Terrapin 攻撃に対して脆弱な SSH サーバ：オープンなインターネット上に 1100万台

Nearly 11 million SSH servers vulnerable to new Terrapin attacks

2024/01/03 BleepingComputer — インターネットに公開されている約 1100万台の SSH サーバが、SSH 接続の完全性を部分的に脅かす、Terrapin 攻撃に対して脆弱であるという。Terrapin 攻撃とは、SSH プロトコルを標的とし、クライアントとサーバの双方に影響を与えるものであり、ドイツの Ruhr University Bochum の学術研究者たちにより考案されたものだ。

Deepin Linux の脆弱性 CVE-2023-50255：Archive Manager に潜む脅威と PoC

CVE-2023-50255: The Threat Inside Deepin Linux’s Archive Manager

2024/01/01 SecurityOnline — Deepin とは、Debian の “stable” ブランチをベースにした、人気の Linux ディストリビューションのことである。Deepin は、Qt をベースに構築されており、様々なディストリビューションと互換性のある、美しいデスクトップ環境が高く評価されている。Deepin Linux は、ユーザー・フレンドリーなインターフェイスで知られており、新規ユーザーにも経験豊富なユーザーにも好まれている。

OpenOffice／LibreOffice の４つの脆弱性が FIX：PoC エクスプロイトも提供

Patch Up Your OpenOffice: Four Vulnerabilities You Don’t Want to Ignore

2023/12/31 SecurityOnline — オープンソースの Office Suite の領域において、Apache OpenOffice は、ワードプロセッシングからデータベース管理にいたるまで、その包括的な機能が高く評価され、不動の地位を築いている。数多くの言語による利用が可能であり、さまざまなコンピューター・システムとの互換性を持つ万能スイートは、長い間において、信頼性と効率性で信頼を得てきた。しかし、脆弱性と言うものは、最強のソフトウェアにも脆弱性は存在するもの、Apache OpenOffice も例外ではない。

Apache DolphinScheduler の脆弱性 CVE-2023-49299 が FIX：ただちにパッチを！

Apache DolphinScheduler Hit by Severe CVE-2023-49299 Flaw

2023/12/31 SecurityOnline — 急速に進化するデータ・オーケストレーションの世界において、Apache DolphinScheduler は、複雑なデータ・ワークフローの処理方法に革命を起こす先駆者として登場した。DolphinScheduler のアジャイルでローコードな高性能ワークフロー機能と、堅牢なユーザー・インターフェイスで有名であり、データ・パイプラインの複雑なタスクの依存関係を巧みに管理し、数多くのジョブタイプを速やかに提供してきた。しかし、先日に発見された脆弱性により、セキュリティの堅牢性が試されている。

Apache OFBiz の新たな脆弱性：懸念される Atlassian Confluence への攻撃

Apache OFBiz RCE flaw exploited to find vulnerable Confluence servers

2023/12/28 BleepingComputer — Apache OFBiz に存在する、深刻な認証前リモート・コード実行の脆弱性だが、すでに公開されている PoC エクスプロイトを用いる活発な悪用が観測されている。Apache OFBiz (Open For Business) はオープンソースの企業資源計画システムであり、電子商取引の在庫／注文の管理／人事業務／会計業務などで、数多くの企業に利用されている。

Linux SSH サーバに対する攻撃の調査：脆弱なパスワードがブルートフォースの標的に！

Experts Analyzed Attacks Against Poorly Managed Linux SSH Servers

2023/12/27 SecurityAffairs — AhnLab セキュリティ緊急対応センター (ASEC：AhnLab Security Emergency Response Center) の研究者たちが警告しているのは、管理の不十分な Linux SSH サーバが、DDoS ボットや CoinMiners のインストールを目的とした、攻撃の標的になっていることだ。

GitHub の2FA 義務化：2024年1月19日から正式スタート

GitHub warns users to enable 2FA before upcoming deadline

2023/12/26 BleepingComputer — GitHub アカウントにおいて、２要素認証 (2FA) が有効化されていない場合には、同サイトでの機能が制限されると警告されている。クリスマス・イブに GitHub ユーザーに送られたメールには、 GitHub.com でコードをコントリビュートしている全ユーザーは、2024年1月19日までに 2FA を有効化する必要があると記されている。

Apache OFBiz の脆弱性 CVE-2023-50968／CVE-2023-51467 が FIX：直ちにパッチを！

CVE-2023-51467: Apache OFBiz Pre-Authentication RCE Vulnerability

2023/12/26 SecurityOnline — Apache OFBiz は、企業プロセスの自動化のためのオープンソース製品である。この OFBiz に含まれるのは、ERP／CRM／Eビジネス／Eコマース／サプライチェーン管理／製造資源計画のための、フレームワーク・コンポーネントとビジネス・アプリケーションである。OFBiz は、信頼性が高く、安全であり、スケーラブルなエンタープライズ・ソリューションの基盤と出発点を提供する。しかし、前日に Apache OFBiz に２件の脆弱性が見つかったことで、厳重な警戒がユーザーに強いられている。

ProFTPD の脆弱性 CVE-2023-51713／CVE-2023-48795 が FIX

CVE-2023-51713: A DoS Flaw Affects ProFTPD

2023/12/24 SecurityOnline — 最も人気のある FTP サーバ・アプリともされる ProFTPD に、脆弱性 CVE-2023-51713 が存在していることが判明した。ProFTPD は、世界中の 100万台以上のサーバから信頼されている FTP サーバ・アプリでもある。このオープンソース・ソフトウェアは、多くの Linux や Unix ディストリビューションの基礎となり、また、SourceForge／Samba／Slackware などの著名なプラットフォームでも広く使われている。

OpenSSH の脆弱性 CVE-2023-51385／CVE-2023-6004 が FIX：直ちにアップデートを！

CVE-2023-51385 and CVE-2023-6004 – A Dual OpenSSH Threat

2023/12/23 SecurityOnline — 最近のことだが、セキュアなネットワーキングにおける重要コンポーネントである OpenSSH が、手ごわい難題に直面している。現在はパッチが適用されているセキュリティ脆弱性 CVE-2023-51385 (CVSS：9.8) が、セキュアチャネル・オペレーションの根幹を脅かしていたのだ。この脆弱性は、9.6p1 未満の全バージョンの OpenSSH に影響を及ぼす。

Magecart キャンペーンの現状：不正な WordPress プラグインでカード情報を窃取

Rogue WordPress Plugin Exposes E-Commerce Sites to Credit Card Theft

2023/12/22 TheHackerNews — 不正な WordPress プラグインを使用して偽の管理者アカウントを作成し、悪意の JavaScript コードを注入して、クレジットカード情報を窃取するキャンペーンが発見された。このスキミング行為は、ｅコマース・サイトを標的とした Magecart キャンペーンの一環である。Sucuri のセキュリティ研究者である Ben Martin は、「このプラグインには、他の多くの悪意の WordPress プラグインと同様に、ファイルの先頭に正規のものを装うための、いくつかの偽情報が含まれている。今回の場合は、このプラグインが “WordPress Cache Addons” であると主張するコメントが含まれていた」と述べている。

X.Org Server の脆弱性 CVE-2023-6377／CVE-2023-6478 が FIX：直ちにアップデートを！

X.Org Server’s Latest Security Update: A Closer Look at CVE-2023-6377 and CVE-2023-6478

2023/12/20 SecurityOnline — 先日に X.Org は、X.Org Server と XWayland に存在する、２つの深刻な脆弱性 CVE-2023-6377／CVE-2023-6478 に対処するアップデートをリリースした。これらの脆弱性は、現代のソフトウェア環境の複雑さと、入り組んだ状況、そして、強固なセキュリティ対策の継続的な必要性を浮き彫りにしている。

Firefox 121 のリリースで 13件の脆弱性を FIX：リモートコード実行にいたる可能性

Mozilla Patches Firefox Vulnerability Allowing Remote Code Execution, Sandbox Escape

2023/12/20 SecurityWeek — 12月19日 (火) に Mozilla は、Firefox と Thunderbirdのセキュリティアップデートを発表した。Firefox 121 では、18件の脆弱性に対するパッチがリリースされている。その脆弱性リストのトップは CVE-2023-6856 であり、ブラウザ内でインタラクティブなグラフィックスをレンダリングするための、JavaScript API である WebGL におけるヒープバッファ・オーバーフローのバグだとされている。

Google Chrome ゼロデイ脆弱性 CVE-2023-7024 が FIX：WebRTC フレームワークの欠陥

Google fixes 8th Chrome zero-day exploited in attacks this year

2023/12/20 BleepingComputer — Google Chrome のゼロデイ脆弱性を修正するための、緊急アップデートが公開された。Google は、「脆弱性 CVE-2023-7024 が、野放し状態で悪用されていることを認識している」と述べている。このゼロデイバグが Google に報告された翌日に、世界中の Stable Desktop チャンネル・ユーザー向けに修正版が提供された。Windows 版の 120.0.6099.129/130 と、Mac／Linux 版の120.0.6099.129 が、パッチ適用済のバージョンである。

Apache Struts の脆弱性 CVE-2023-50164：Cisco ISE 3.0 以下では緊急対応が必須

Apache Struts (CVE-2023-50164) RCE Vulnerability Affects some Cisco Products

2023/12/19 SecurityOnline — Apache Struts で発見された深刻な脆弱性が、Cisco Systems の製品にも影響を及ぼしていることが明らかになった。この問題は、パス・トラバーサルの脆弱性 CVE-2023-50164 であり、サイバー界に波紋を広げ、各界に警鐘を鳴らしている。

Linux Kernel NetFilter の脆弱性 CVE-2023-6817：権限昇格攻撃の危険性

CVE-2023-6817: Linux Kernel NetFilter Flaw Opens Root Access

2023/12/19 SecurityOnline — Linux NetFilter カーネルに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2023-6817 (CVSS スコア：7.8) の悪用に成功した、権限のないローカルの攻撃者は、権限を昇格させてシステムの完全な制御を可能にする。

Apache Superset の脆弱性が FIX：特権昇格／SQLi／リソース消費などに対応

The Triple Threat Found in Apache Superset

2023/12/19 SecurityOnline — 最先端の BI Web アプリ Apache Superset で発生した、３件の深刻な脆弱性が注目を浴びている。それらの欠陥は、特権の昇格から SQL インジェクションやリソース消費にいたるまでの、様々なリスクをもたらすものである。そこで浮き彫りとなるのは、タイムリーな更新と用心深いセキュリティ対策の重要性である。

GitHub の gists／commits 機能：マルウェアのホストに悪用されている

Unsung GitHub Features Anchor Novel Hacker C2 Infrastructure

2023/12/19 DarkReading — ある GitHub アカウントが、このサイトの２つのユニークな機能を悪用して、ステージ２のマルウェアをホストしていることを、研究者たちが発見した。この、パブリックなサービスが、不正行為の拠点としてハッカーに再利用されることが、最近になって増えてきている。ハッカーたちは、コード・リポジトリやファイル共有サービスにマルウェアを格納し、メッセージング・アプリから Command and Control (C2) を実行することに加えて、SaaS (Software-as-a-Service) プラットフォームを悪用することで、想像もつかないような手口で悪事を働くことがある。

Perl の脆弱性 CVE-2023-47100 が FIX：NVD の CVSS 値は 9.8

CVE-2023-47100: A Critical Security Vulnerability Patched Perl Programming Language

2023/12/15 SecurityOnline — プログラミング界の雄である Perl は、その堅牢性と柔軟性で常に称賛されてきた。しかし、Perl 5.30.0 以降のバージョンで新たに発見された、この脆弱性 CVE-2023-47100 は鎧の隙間を露呈するものだ。この脆弱性は、プロパティ名の処理に起因するものであり、未割り当てのメモリ空間への書き込み起こり得るという。その結果として、データの破損が生じる可能性が生じるだけではなく、セキュリティ侵害へといたる恐れのある深刻な懸念事項だ。

Apache Struts 脆弱性 CVE-2023-50164：PoC エクスプロイトがリリース

Hackers are exploiting critical Apache Struts flaw using public PoC

2023/12/13 BleepingComputer — Apache Struts の深刻なリモートコード実行の脆弱性 CVE-2023-50164 が FIX されたが、公開されている PoC エクスプロイト・コードに依存する攻撃を、ハッカーたちが仕掛けようとしている。ShadowServer スキャン・プラットフォームによると、脅威アクターたちの動きは始まったばかりだが、その悪用の試みに用いられている少数の IP アドレスを、研究者たちは観測しているという。