Zoho ManageEngine の脆弱性 CVE-2022-47966:PoC エクスプロイトが登場

Zoho ManageEngine PoC Exploit to be Released Soon – Patch Before It’s Too Late!

2023/01/17 TheHackerNews — Zoho ManageEngine のユーザーが催促されているのは、PoC エクスプロイト・コードの公開に先立って、深刻なセキュリティ脆弱性を持つインスタンスにパッチを適用することだ。この脆弱性 CVE-2022-47966 は、旧来からのサードパーティ依存関係である Apache Santuario の使用により、未認証のリモート・コード実行が発生し、複数の製品に影響を与える可能性を生じるというものだ。

Continue reading “Zoho ManageEngine の脆弱性 CVE-2022-47966:PoC エクスプロイトが登場”

セキュリティの強制は行き詰まる:従業員を信頼する登録型アプローチが不可欠

Enforcement vs. Enrollment-based Security: How to Balance Security and Employee Trust

2023/01/03 TheHackerNews — セキュリティに対して強制を重視するアプローチは、セキュリティ・コントロールに裏打ちされたセキュリティ・ポリシーから始まる。多くのケースにおいて、危険な行動に走る従業員を引き止め、不注意による攻撃対象領域の拡大を抑制するよう、強引な設計が施されている。

Continue reading “セキュリティの強制は行き詰まる:従業員を信頼する登録型アプローチが不可欠”

GitLab に深刻なアカウント乗っ取りの脆弱性:管理者に推奨される対策とは?

Critical GitLab vulnerability lets attackers take over accounts

2022/04/01 BleepingComputer — GitLab は、ハードコードされたパスワードを使用するリモートの攻撃者に、ユーザー・アカウントの乗っ取りを許してしまう、深刻な脆弱性に対処した。この脆弱性 CVE-2022-1162 は、GitLab Community Edition (CE) と Enterprise Edition (EE) の双方に影響をおよぼす。具体的に言うと、GitLab CE/EE で OmniAuth ベースで登録を行う際の、誤って設定された静的なパスワードに起因している。

Continue reading “GitLab に深刻なアカウント乗っ取りの脆弱性:管理者に推奨される対策とは?”

CISA 警告:Zabbix サーバーの深刻な脆弱性を悪用リストに追加

CISA warns of actively exploited vulnerabilities in Zabbix servers

2022/02/25 BleepingComputer — 米国の Cybersecurity Infrastructure and Security Agency (CISA) からの通知は、ネットワーク/サーバー/仮想マシン/クラウドサービスを監視するオープンソース・ツール Zabbix の脆弱性を、脅威アクターが悪用していると警告している。CISA は、悪意の脅威アクターによる深刻なリスクを回避するために、Zabbix サーバーに存在する脆弱性 CVE-2022-23131/CVE-2022-23134 対して、パッチを当てるよう連邦機関に要請している。また、ウクライナの CERT からも同様の警告が出ており、脆弱性のうちの1つは深刻度スコアが 9.1 だと指摘されている。

Continue reading “CISA 警告:Zabbix サーバーの深刻な脆弱性を悪用リストに追加”

Black Hat 2021:Microsoft 365 への攻撃がワイルドになる可能性について

Incident Responders Explore Microsoft 365 Attacks in the Wild

2021/08/06 DarkReading — BLACK HAT 2021 – Microsoft 365 は、サイバー犯罪者にとってホットなターゲットであり、セーフガードを回避して企業データにアクセスする新たな方法が、常に模索されている。そして、防御側がゲームを強化すると、攻撃側も同じことを行う。

Continue reading “Black Hat 2021:Microsoft 365 への攻撃がワイルドになる可能性について”

AMaaS >IDaaS:クラウドとオンプレの ID を統合

Pushing the Limits of IDaaS with AMaaS

2021/07/29 SecurityBoulevard — データへの安全なアクセスは、誰にとっても大きな懸念となる。そこで、クラウド ID 管理ソリューションとして、IDaaS (identity-as-a-service) が随所で採用され、アプリケーションにアクセスするユーザーが、本人であることの確認が、つまり、ID の認証が行われている。しかし、IDaaS は、問題の半分しか解決できない。個人情報保護法では、個人を特定できる情報 (PII) などの機密データに、適切な人だけが適切なタイミングでアクセスするよう求められている。

Continue reading “AMaaS >IDaaS:クラウドとオンプレの ID を統合”

Akamai の認証プラットフォームに影響をおよぼす Lasso の脆弱性

Akamai offers post-mortem on recently resolved authentication platform vulnerability

2021/06/03 DailySwig — Akamai のアクセス・コントロールおよび認証プラットフォームである、Enterprise Application Access (EAA) の欠陥に関する分析結果と、最新のパッチを発表した。EAA とは、サードパーティの ID プロバイダーが提供する ID 情報に基づいて、エンタープライズ・ユーザーがアクセス制御や認証を決定できるようにするものだ。

Continue reading “Akamai の認証プラットフォームに影響をおよぼす Lasso の脆弱性”