QNAP fixes NAS backup software zero-day exploited at Pwn2Own
2024/10/29 BleepingComputer — 10月24日 (木) に QNAP が修正した、TS-464 NAS デバイスに存在する深刻なゼロデイ脆弱性は、Pwn2Own Ireland 2024 コンテストおいて、セキュリティ研究者たちにより悪用が証明されたものだ。脆弱性 CVE-2024-50388 は、同社のディザスタ・リカバリと災害データ・バックアップのソリューションである、HBS 3 Hybrid Backup Sync のバージョン 25.1.x に存在し、OS コマンド・インジェクションを引き起こす可能性を持つ。
2024/10/14 SecurityOnline —
Moxa が 10月14日に公開したセキュリティ勧告は、セルラー・ルーター/セキュア・ルーター/ネットワーク・セキュリティ・アプライアンスに影響を与える、2つの重大な脆弱性に関するものだ。これらの脆弱性 CVE-2024-9137/CVE-2024-9139 の悪用に成功した攻撃者は、標的システムへの不正アクセスを達成し、任意のコマンド実行の可能性を得る。
Continue reading “Moxa ネットワーク/セキュリティ製品の脆弱性 CVE-2024-9137/9139 が FIX:直ちにアップデートを!”PoC Exploit Releases for Exploited Vulnerability CVE-2024-8190 in Ivanti Cloud Services Appliance
2024/09/19 SecurityOnline — Ivanti Cloud Services Appliance に存在する、OS コマンド・インジェクションの脆弱性 CVE-2024-8190 に対する PoC エクスプロイト・コードが公開され、デバイスのアップデートが急務となっている。 PoC エクスプロイトを公開した Horizon3.ai のセキュリティ研究者である Zach Hanley は、この脆弱性を詳細に調査し、ミスコンフィグされたネットワークが、組織に重大なリスクをもたらす可能性があることを明らかにした。
Continue reading “Ivanti CSA の脆弱性 CVE-2024-8190 と PoC の提供:CISA KEV にも登録”CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities
2024/07/11 InfoSecurity — 米国政府からソフトウェア・メーカーへの要請は、OS コマンド・インジェクションの脆弱性の解消に取り組むべきというものだ。この、Cybersecurity and Infrastructure Security Agency (CISA) とFBI の警告は、ネットワーク・エッジ・デバイスの OS コマンド・インジェクションの欠陥を悪用してユーザーを危険にさらすという、2024年に注目された複数の脅威アクターたちのキャンペーンを受けたものである。
Continue reading “CISA が要請する OS コマンド・インジェクション脆弱性の排除とは? – Security by Design”Several Bugs Found in 3 Open-Source Software Used by Several Businesses
2021/07/27 TheHackerNews — この火曜日に、サイバー・セキュリティ研究者たちは、いくつかの中小企業で広く利用されている EspoCRM / Pimcore / Akaunting という、3つの OSS プロジェクトに影響を与える、9つの脆弱性を公開した。この脆弱性が悪用されると、より高度な攻撃への道が開かれてしまう可能性がある。EspoCRM v6.1.6 および、Pimcore Customer Data Framework v3.0.0、Pimcore AdminBundle v6.8.0、Akaunting v2.1.12 に影響を与えるセキュリティ上の欠陥は、公開後1日以内に修正されたと、Nokia の研究者である Wiktor Sędkowski と Rapid7の Trevor Christiansen は指摘している。
Continue reading “中小企業で活用される3つの OSS プロジェクトに9つの脆弱性が”
IoT OT Security News 