Tag: RBAC

Microsoft Power Pages のミスコンフィグ:深刻なデータ漏洩が発生している

Microsoft Power Pages Misconfiguration Leads to Data Exposure

2024/11/14 InfoSecurity — ローコード SaaS Web プラットフォーム Microsoft Power Pages 内のミスコンフィグにより、深刻なデータ漏洩が発生している。AppOmni の新しいブログ投稿によると、過剰なアクセス権限を付与するユーザー組織では、PII (personally identifiable information) を取り込んだ機密データが、適切な権限を持たないユーザーに公開されるリスクが生じている。

Continue reading “Microsoft Power Pages のミスコンフィグ:深刻なデータ漏洩が発生している”

Apache Pinot の脆弱性 CVE-2024-39676 が FIX:情報漏えいとセキュリティ侵害の恐れ

CVE-2024-39676: Apache Pinot Flaw Exposes Sensitive Data, Urgent Upgrade Needed

2024/07/26 SecurityOnline — リアルタイム分析プラットフォーム Apache Pinot に、深刻なセキュリティ脆弱性 CVE-2024-39676 (深刻度:important) が発見された。この脆弱性の悪用に成功した攻撃者は、権限を必要とせずに機密性の高いシステム情報へのアクセスが可能になり、データ漏洩やセキュリティ侵害につながる恐れが生じる。

Continue reading “Apache Pinot の脆弱性 CVE-2024-39676 が FIX:情報漏えいとセキュリティ侵害の恐れ”

GKE ミスコンフィグと脆弱性: 250,000 もの Kubernetes クラスタに影響

Google Kubernetes Misconfig Lets Any Gmail Account Control Your Clusters

2024/01/24 TheHackerNews — Google Kubernetes Engine (GKE) に影響を与える脆弱性が、ybersecurity の研究者たちにより発見された。この脆弱性は、クラウド・セキュリティ企業 Orca によりコードネーム Sys:All と命名されており、現存する 250,000 ものアクティブな GKE クラスタに影響を与える可能性があると推定される。

Continue reading “GKE ミスコンフィグと脆弱性: 250,000 もの Kubernetes クラスタに影響”

API セキュリティの強化:そのための管理体制とベストプラクティスとは?

How to Improve Your API Security Posture

2023/06/08 TheHackerNews — API (Application Programming Interfaces) は、アプリやマイクロサービスに対して、データを通信/共有する権限を与えるものだ。しかし、このような接続性には大きなリスクがつきものとなる。API の脆弱性を悪用するハッカーたちは、機密データへの不正アクセスや、システム全体の制御を奪うことも可能になる。したがって、潜在的な脅威から組織を保護するために、堅牢な AP Iセキュリティ体制を構築することが必要不可欠となる。

Continue reading “API セキュリティの強化:そのための管理体制とベストプラクティスとは?”

Kubernetes の RBAC を悪用:暗号マイニングの大規模キャンペーンが始まっている – Aqua

Kubernetes RBAC Exploited in Large-Scale Campaign for Cryptocurrency Mining

2023/04/21 TheHackerNews — この、野放し状態の大規模な攻撃キャンペーンは、Kubernetes (K8s) の Role-Based Access Control (RBAC) を悪用してバックドアを作成し、暗号通貨マイナーを走らせていた。クラウド・セキュリティ会社の Aqua は、「攻撃者は、標的である K8s クラスターのリソースを乗っ取り、ハイジャックするために DaemonSets を展開した。この攻撃を RBAC Buster と名付けた同社は、このキャンペーンの背後にいる脅威アクターにより悪用された、60 件の露出した K8s クラスターを発見した」と、The Hacker News と共有したレポートの中で述べている。

Continue reading “Kubernetes の RBAC を悪用:暗号マイニングの大規模キャンペーンが始まっている – Aqua”

API セキュリティのためのベスト・プラクティスを策定する

Developing Best Practices for API Security

2021/08/03 SecurityBoulevard — デジタル・トランスフォーメーションの全体的な成功において、API は欠かせないものだ。API を利用することで、デジタル資産や複数のシステムの開発が容易になる。Google のレポートによると、より多くの組織が API イニシアチブを採用し、API ファーストの姿勢でデジタル・トランスフォーメーションに取り組んでいる。このレポートによると、「58%は、上位の API イニシアチブにより、新規のアプリケーション開発のスピードを向上させる。

Continue reading “API セキュリティのためのベスト・プラクティスを策定する”