Spotify Backstage における深刻な脆弱性:インターネット上に 500以上のインスタンスが公開

Remote Code Execution Discovered in Spotify’s Backstage

2022/11/15 InfoSecurity — Spotify のオープンソース・プロジェクトである、Cloud Native Computing Foundation (CNCF) インキュベーション Backstage で、リモートコード実行 (RCE) にいたる可能性のある脆弱性が発見された。この発見は、Oxeye リサーチ・によるものであり、vm2 というサードパーティ・ライブラリを介して、仮想マシン (VM) のサンドボックス・エスケープを悪用するものである。

Continue reading “Spotify Backstage における深刻な脆弱性:インターネット上に 500以上のインスタンスが公開”

Golang-based アプリに不適切な URL 解析の脆弱性:ParseThru スマグリングとは?

New ‘ParseThru’ Parameter Smuggling Vulnerability Affects Golang-based Applications

2022/08/02 TheHackerNews — セキュリティ研究者たちは、Golang ベースのアプリケーションに影響を与える、ParseThru と呼ばれる新しい脆弱性を発見し、その悪用により、クラウドベースのアプリケーションへの不正アクセスが可能性になることを明らかにした。イスラエルのサイバーセキュリティ企業である Oxeye は、The Hacker News と共有したレポートの中で、「新たに発見された脆弱性は、言語に組み込まれた安全ではない URL 解析方法に起因するものであり、特定の条件下では、脅威アクターによる検証の回避を許してしまう」と述べている。

Continue reading “Golang-based アプリに不適切な URL 解析の脆弱性:ParseThru スマグリングとは?”

Oxeye の Ox4Shell は Log4Shell の難読化に対抗するためのツールだ

Oxeye Tool Can Counter Log4j Obfuscation Attacks

2022/01/12 SecurityBoulevard — 今日、Oxeye は、Ox4Shell と名付けられた、オープンソースの対難読化ツールを発表した。それにより、サイバーセキュリティ・チームは、脆弱性 Log4Shell を利用しようとする、隠れたペイロードをより簡単に発見できるようになる。多くの企業の IT 部門は、Java アプリケーションからログデータを収集するために広く使用されている、Log4j で発見された一連のゼロデイ脆弱性に悩まされている。Oxeye の CTO である Ron Vider は Ox4Shell について、脆弱性 Log4jShell を悪用するペイロードを隠すために、多くのサイバー犯罪者が用いる難読化戦術に対抗するために設計されていると述べている。

Continue reading “Oxeye の Ox4Shell は Log4Shell の難読化に対抗するためのツールだ”