GitLab の深刻な脆弱性 CVE-2022-41903/CVE-2022-23521 が FIX:RCE の可能性

Git patches two critical remote code execution security flaws

2023/01/17 BleepingComputer — GitLab が、2つの深刻なセキュリティ脆弱性に対してパッチを適用した。それらは、ヒープバッファ・オーバーフローに起因するものであり、悪用に成功した攻撃者に、任意のコード実行を許すものである。3つ目の Windows 固有の脆弱性は、信頼できない検索パスに起因するものであり、Git GUI ツールに影響を及ぼす。未認証の脅威者に対して、信頼できないコードを、容易に実行させる可能を持つ。最初の2つの脆弱性である CVE-2022-41903 (commit formatting mechanism) と、CVE-2022-23521 (gitattributes parser) に関しては、v2.30.7 によりパッチが適用されている。

Continue reading “GitLab の深刻な脆弱性 CVE-2022-41903/CVE-2022-23521 が FIX:RCE の可能性”

Microsoft Azure サービスの4つの SSRF 脆弱性:不正アクセスに悪用の可能性

Microsoft Azure Services Flaws Could’ve Exposed Cloud Resources to Unauthorized Access

2023/01/17 TheHackerNews — Microsoft Azure の4種類のサービスに存在する SSRF (Server-Side Request Forgery) の脆弱性が、クラウド・リソースへの不正アクセスに悪用される可能性のあるものだ。Azure API Management/Azure Functions/Azure Machine Learning/Azure Digital Twins における一連の脆弱性は、2022年10月8日から 2022年12月2日の間に Orca により発見されたものであり、すでに Microsoft による対処が完了している。

Continue reading “Microsoft Azure サービスの4つの SSRF 脆弱性:不正アクセスに悪用の可能性”

GitHub Codespaces の悪用方法が判明:新たな侵害ベクターからマルウェアを配布

Hackers Can Abuse Legitimate GitHub Codespaces Feature to Deliver Malware

2023/01/17 TheHackerNews — 脅威アクターたちが、GitHub Codespaces の正規の機能を悪用して、被害者のシステムへマルウェアを配信することが可能であるという、新たな研究の結果が明らかになった。GitHub Codespaces とは、クラウドベースのカスタマイズ可能な開発環境のことである。それを利用するユーザーは、Web ブラウザや Visual Studio Code との統合を介して、指定したコードベースのデバッグ/メンテナンス/変更のコミットを実行できる。また、ポート・フォワーディング機能により、コードスペース内の特定のポートで動作する Web アプリケーションに、ローカルマシンのブラウザから直接にアクセスし、テスト/デバッグを行うことも可能だ。

Continue reading “GitHub Codespaces の悪用方法が判明:新たな侵害ベクターからマルウェアを配布”

Java と .NET のデベロッパー:大量の脆弱性に対峙する理由を解明

Java, .NET Developers Prone to More Frequent Vulnerabilities

2023/01/16 DarkReading — Java と .NET で書かれたアプリケーションの約 75% が、OWASP Top-10 に含まれる脆弱性を、少なくとも1つは持っていることが判明した。ソフトウェア・テスト会社である Veracode が、約76万件のアプリケーションを分析した結果として、上記の2つのプログラミング・エコシステムを使用したアプリケーションの 20% ほどは、少なくとも1つの深刻な脆弱性を抱えていることも明らかになった。

Continue reading “Java と .NET のデベロッパー:大量の脆弱性に対峙する理由を解明”

米国防総省のバグバウンティ Hack the Pentagon:4年に一度の大会が開催

US to Launch Third Iteration of ‘Hack the Pentagon’ Bug Bounty Program

2023/01/16 InfoSecurity — 米国国防総省 (DoD : Department of Defense) は、2016年に初めて行われた “Hack the Pentagon” バグバウンティ・プログラムの第3弾を、近々に開催すると発表した。Sam.Gov Web サイトの専用ページによると、この構想では、サイバー・セキュリティ研究者たちが、政府の Facility Related Controls System (FRCS) ネットワークの脆弱性を発見していくことになる。

Continue reading “米国防総省のバグバウンティ Hack the Pentagon:4年に一度の大会が開催”

Cacti の脆弱性 CVE-2022-46169:大量の未パッチ・サーバがインターネットに露出している

Most internet-exposed Cacti servers exposed to hacking

2023/01/14 SecurityAffairs — Cacti は、堅牢で拡張性の高い運用監視/障害管理フレームワークを、ユーザーに提供するオープンソースのプラットフォームである。Censys の研究者が発見したのは、インターネットに公開されている Cacti サーバの大部分に、現時点で積極的に悪用されている、深刻な脆弱性 CVE-2022-46169 が存在することだ。

Continue reading “Cacti の脆弱性 CVE-2022-46169:大量の未パッチ・サーバがインターネットに露出している”

WordPress プラグインの脆弱性と PoC エクスプロイト:SQLi による深刻な影響

PoC exploits released for critical bugs in popular WordPress plugins

2023/01/13 BleepingComputer — WordPress が公開したのは、数万インストールされている人気プラグイン3種類に存在する、深刻な SQL インジェクションの脆弱性と、その対策である。SQLインジェクション脆弱性とは、Web サイトのセキュリティ上の欠陥のことを指す。その悪用に成功した攻撃者は、フォームフィールドや URL 経由でデータを入力し、正規のデータベース・クエリーを変更することで、データの改ざんやなどを可能にする。SQL インジェクションの脆弱性を持つ Web サイトのコードに応じて、サイト・データの修正や削除/悪意のスクリプト注入/Web サイトへのフルアクセスなどにいたる恐れがある。

Continue reading “WordPress プラグインの脆弱性と PoC エクスプロイト:SQLi による深刻な影響”

Google Chrome の脆弱性 SymStealer は危険:Ver 107 以前の 25億人に影響の可能性

Google Chrome ‘SymStealer’ Vulnerability Could Affect 2.5 Billion Users

2023/01/12 InfoSecurity — 2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性がある。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開した。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だという。

Continue reading “Google Chrome の脆弱性 SymStealer は危険:Ver 107 以前の 25億人に影響の可能性”

CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877:RCE が容易に生じる

Hackers exploit Control Web Panel flaw to open reverse shells

2023/01/12 BleepingComputer — 以前には CentOS Web Panel として知られていた、サーバ管理用ツール Control Web Panel (CWP) で発生した深刻な脆弱性が、ハッカーたちに積極的に悪用されている。このセキュリティ脆弱性 CVE-2022-44877 は、認証されない攻撃者であってもリモートコード実行が可能であるため、CVSS 値は 9.8 と評価されている。

Continue reading “CentOS Control Web Panel の深刻な脆弱性 CVE-2022-44877:RCE が容易に生じる”

Cuba ランサムウェアも Exchange 侵害に参戦:Microsoft が警告する OWASSRF 欠陥とは?

Microsoft: Cuba ransomware hacking Exchange servers via OWASSRF flaw

2023/01/12 BleepingComputer — Microsoft によると、Cuba ランサムウェア/ギャングも、Exchange サーバに存在する深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用して、Play ランサムウェア攻撃と同様に侵害を繰り返しているようだ。 先日には、この脆弱性 CVE-2022-41080 を悪用する Play ランサムウェアが、 OWASSRF ゼロデイと呼ばれる攻撃により、ProxyNotShell URL リライト緩和策をバイパスした後に、Rackspace ネットワーク上のパッチ未適用の Microsoft Exchange サーバを侵害している。

Continue reading “Cuba ランサムウェアも Exchange 侵害に参戦:Microsoft が警告する OWASSRF 欠陥とは?”

FortiOS のゼロデイ CVE-2022-42475 が FiX:高度かつ活発な悪用を検出

Fortinet: Govt networks targeted with now-patched SSL-VPN zero-day

2023/01/12 BleepingComputer — Fortinet によると、2022年12月にパッチ適用された FortiOS SSL-VPN のゼロデイ脆弱性を悪用する脅威アクターが、政府の機関や関連組織にターゲットを狙った攻撃を行っていたことが判明した。一連のインシデントで悪用されたのは、FortiOS SSL-VPN に存在するヒープバッファ・オーバーフローの脆弱性 CVE-2022-42475 であり、認証されていないリモートの攻撃者に対して、デバイスの毀損やコード実行を許すものである。

Continue reading “FortiOS のゼロデイ CVE-2022-42475 が FiX:高度かつ活発な悪用を検出”

Siemens PLC に修正不能な脆弱性:ハードウェアを構成する CPU のアーキテクチャに問題

Unpatchable Hardware Vulnerability Allows Hacking of Siemens PLCs

2023/01/11 SecurityWeek — Siemens の Programmable Logic Controllers (PLCs) シリーズに影響を及ぼす深刻な脆弱性を、ファームウェア・セキュリティ会社である Red Balloon Security の研究者が発見した。この脆弱性を CVE-2022-38773 の悪用に成功した攻撃者は、保護されたブート機能を回避し、コントローラの動作コードとデータを、持続的に変更することが可能になる。Red Balloon Security によると、Siemens の Simatic/Siplus S7-1500 の CPU における、一連のアーキテクチャに問題があるという。

Continue reading “Siemens PLC に修正不能な脆弱性:ハードウェアを構成する CPU のアーキテクチャに問題”

Cisco Router に深刻な脆弱性:CVE-2023-20025 などが FIX

Cisco warns of auth bypass bug with public exploit in EoL routers

2023/01/11 BleepingComputer — 2023年1月11日に Cisco は、EoL VPN ルーター群に影響を及ぼし、すでにエクスプロイト・コードが公開されている、深刻な認証バイパスの脆弱性について、顧客に警告を発した。このセキュリティ上の欠陥 CVE-2023-20025 は、Cisco Small Business RV016/RV042/RV042G/RV082 ルーターの Web ベースの管理インターフェイスに存在するものであり、Qihoo 360 Netlab の Hou Liuyang により発見されている。

Continue reading “Cisco Router に深刻な脆弱性:CVE-2023-20025 などが FIX”

Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張

Twitter claims leaked data of 200M users not stolen from its systems

2023/01/11 BleepingComputer — Twitter の発表によると、数億人の Twitter ユーザーのメールアドレスが流出し、オンラインで販売されたとの報道があるが、同社システムの脆弱性を悪用してデータが取得された証拠は見つからなかったとのことだ。同社はブログで、「Twitter ユーザーのデータがオンラインで販売されているという最近の報道を受け、徹底的な調査を行ったが、最近販売されているデータが、Twitter システムの脆弱性を悪用して入手されたという証拠はない」と述べている。

Continue reading “Twitter が2億人分のユーザーデータ販売を調査:同社の脆弱性とは無関係と主張”

Google Chrome 109 がリリース:全体で 17件の脆弱性に対応

Chrome 109 Patches 17 Vulnerabilities

2023/01/11 SecurityWeek — 2023年1月10日に Google は、Chrome 109 を Stable チャネルでリリースし、外部の研究者から報告された 14件のバグを含む、全体で 17件の脆弱性にパッチを適用したと発表した。外部から報告されたセキュリティ上の欠陥の大半は、深刻度が Medium と Low 脆弱性である。また、High と評価された2件は、Overview Mode における use-after-free の脆弱性 CVE-2023-0128 と、Network Service におけるヒープバッファ・オーバーフローの脆弱性 CVE-2023-0129 である。Google は、これらの脆弱性に対して、それぞれ $4,000 と $2,000 のバグバウンティを支払ったとしている。

Continue reading “Google Chrome 109 がリリース:全体で 17件の脆弱性に対応”

CISA KEB 警告 23/01/10:Microsoft Exchange の脆弱性 CVE-2022-41080 などを追加

CISA orders agencies to patch Exchange bug abused by ransomware gang

2023/01/10 BleepingComputer — 今日に、米国の CISA (Cybersecurity and Infrastructure Security Agency)  は、Known Exploited Vulnerabilities (KEV) カタログに、2つのセキュリティ脆弱性を追加した。1つ目は、Microsoft Exchange の権限昇格の脆弱性 CVE-2022-41080 であり、別の脆弱性 ProxyNotShell CVE-2022-41082 と連鎖してリモート・コードが実行される可能性がある。先週に、テキサス州に拠点を置くクラウド・コンピューティング・プロバイダーである Rackspace は、Play ランサムウェアが CVE-2022-41082 をゼロデイとして悪用し、Microsoft の ProxyNotShell URL 書き換え緩和策をバイパスして、感染させた Exchange Server 内で権限昇格を行ったことが確認されている。

Continue reading “CISA KEB 警告 23/01/10:Microsoft Exchange の脆弱性 CVE-2022-41080 などを追加”

Microsoft 2023-1 月例アップデートは1件のゼロデイと 98件の脆弱性に対応

Microsoft January 2023 Patch Tuesday fixes 98 flaws, 1 zero-day

2023/01/10 BleepingComputer — 今日の、Microsoft January 2023 Patch Tuesday により、活発に悪用されているゼロデイ脆弱性1件を含む、合計 98件の脆弱性が修正された。2023年最初の Patch Tuesday で修正された 98件の脆弱性のうち 11件は、最も深刻なタイプの脆弱性のひとつであるリモート・コード実行/セキュリティ・バイパス/権限昇格を可能にするものであり、Critical に分類されている。

Continue reading “Microsoft 2023-1 月例アップデートは1件のゼロデイと 98件の脆弱性に対応”

GitHub に追加された脆弱性スキャン:1.2k のリポジトリで2万件の脆弱性を発見

GitHub makes it easier to scan your code for vulnerabilities

2023/01/09 BleepingComputer — GitHub が新たに導入したオプションは、”default setup” と呼ばれるリポジトリのコード・スキャンを設定するものであり、開発者が数回クリックするだけで自動的にコードがスキャンされるという。GitHub のコード・スキャンを支える CodeQL コード解析エンジンは、多くの言語とコンパイラをサポートしているが、この新しいオプションは Python/JavaScript/Rubyのリポジトリに対してのみ表示される。Product Marketing Manager である Walker Chabbott によると、GitHub は今後6ヶ月間において、より多くの言語へのサポート拡大に取り組んでいくとのことだ。

Continue reading “GitHub に追加された脆弱性スキャン:1.2k のリポジトリで2万件の脆弱性を発見”

Auth0 が JsonWebToken の脆弱性を FIX:22,000 以上プロジェクトに影響か?

Auth0 fixes RCE flaw in JsonWebToken library used by 22,000 projects

2023/01/09 BleepingComputer — Auth0 が修正したリモートコード実行の脆弱性は、22,000 以上プロジェクトで使用され、NPM からは毎月 3600 万回以上もダウンロードされている、人気のオープンソース・ライブラリ JsonWebToken に存在するものだ。このライブラリは、Microsoft/Twilio/Salesforce/Intuit/Box/IBM/Docusign/Slack/SAP などのオープンソース・プロジェクトでも使用されている。

Continue reading “Auth0 が JsonWebToken の脆弱性を FIX:22,000 以上プロジェクトに影響か?”

Microsoft と Rackspace:Exchange の ProxyNotShell 緩和策回避を巡って衝突?

Rackspace: Ransomware Attack Bypassed ProxyNotShell Mitigations

2023/01/05 DarkReading — マネージド・クラウド・ホスティングを提供する Rackspace Technology は、12月2日に発生した大規模なランサムウェア攻撃により、中小企業の顧客数千社のメール・サービスに障害が発生したことを発表した。その要因は、Microsoft Exchange Server におけるサーバー・サイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2022-41080 を悪用するゼロデイ攻撃にあるという。

Continue reading “Microsoft と Rackspace:Exchange の ProxyNotShell 緩和策回避を巡って衝突?”

Zoho ManageEngine の深刻な脆弱性 CVE-2022-47523 が FIX:直ちにパッチ適用を!

Zoho urges admins to patch critical ManageEngine bug immediately

2023/01/04 BleepingComputer — ビジネスソフト・プロバイダーである Zoho は、複数の ManageEngine 製品に影響を及ぼす深刻なセキュリティ脆弱性を修正するよう、顧客に促している。月曜日に Zoho は、「深刻なセキュリティ脆弱性が検出された」と記した、セキュリティ・アドバイザリを公開した。この脆弱性 CVE-2022-47523 は、SQL インジェクションの脆弱性であり、同社の Password Manager Pro secure vault/PAM360 privileged access management software/Access Manager Plus privileged session management solution などに存在する。

Continue reading “Zoho ManageEngine の深刻な脆弱性 CVE-2022-47523 が FIX:直ちにパッチ適用を!”

Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘

Toyota, Mercedes, BMW API flaws exposed owners’ personal info

2023/01/04 BleepingComputer — 約20社の自動車メーカーおよび自動車サービスに影響を及ぼす、API の脆弱性が存在する。それにより、車両のロック解除/始動/追跡から顧客の個人情報の流出にいたるまで、悪意の行為をハッカーに許す可能性があることが判明した。この脆弱性は、BMW/Roll Royce/Mercedes-Benz/Ferrari/Porsche/Jaguar/Land Rover/Ford/KIA/Honda/Infiniti/Nissan/Acura/Hyundai/Toyota/Genesis といった有名ブランドに影響を及ぼしている。また、この脆弱性は、車両技術ブランドである Spireon および Reviver と、ストリーミングサービスの SiriusXM にも影響を与える。

Continue reading “Mercedes/BMW/日本大手などに API 欠陥:Sam Curry が 20社の深刻な状況を指摘”

Fortinet FortiADC/FortiTester 深刻な脆弱性が FIX:HTTP リクエストを介した RCE

Fortinet fixed multiple command injection bugs in FortiADC and FortiTester

2023/01/04 SecurityAffairs — サイバー・セキュリティ・ベンダーである Fortinet は、同社製品に影響を及ぼす複数の脆弱性に対応した。また、Application Delivery Controller である FortiADC に影響を及ぼす、深刻な コマンド・インジェクション の脆弱性 CVE-2022-39947 (CVSS 8.6) について、顧客に警告を発している。この脆弱性 CVE-2022-39947 は、FortiADC の OS Command における特殊要素の不適切な無効化に起因し、特別に細工された HTTP リクエストを介した、任意のコード実行を許す可能性がある。

Continue reading “Fortinet FortiADC/FortiTester 深刻な脆弱性が FIX:HTTP リクエストを介した RCE”

Synology の深刻な脆弱性 CVE-2022-43931 が FIX:CVSS 10 の RCE

Synology fixes multiple critical vulnerabilities in its routers

2023/01/03 SecurityAffairs — 2022年12月に、台湾の NAS メーカーである Synology は、2つの新しい重要アドバイザリを公開した。最初のアドバイザリは、同社が対処した最も重要なものであり、脆弱性 CVE-2022-43931 (CVSS : 10) として追跡されている、境界外書き込みの深刻な問題だ。この脆弱性は、Ver 1.4.3-0534/1.4.4-0635 以前の、Synology VPN Plus Server の Remote Desktop Functionality に存在している。この脆弱性の悪用に成功したリモートの攻撃者は、不特定のベクター経由で任意のコマンドを実行できる。

Continue reading “Synology の深刻な脆弱性 CVE-2022-43931 が FIX:CVSS 10 の RCE”

Exchange Server の脆弱性 ProxyNotShell:60,000 台以上のサーバがパッチ未適用

Over 60,000 Exchange servers vulnerable to ProxyNotShell attacks

2023/01/03 BleepingComputer — オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の1つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明した。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明した。

Continue reading “Exchange Server の脆弱性 ProxyNotShell:60,000 台以上のサーバがパッチ未適用”

WordPress サイトを標的とする Linux マルウェア:20種類以上のテーマ/プラグインを悪用

WordPress Security Alert: New Linux Malware Exploiting Over Two Dozen CMS Flaws

2022/01/02 TheHackerNews — WordPressサイトを標的とする未知の Linuxマルウェアが、20数種類のプラグイン/テーマの欠陥を悪用して、脆弱なシステムを侵害していることが判明した。ロシアのセキュリティ・ベンダーである Doctor Web は、「もし、対象となる WordPress サイトが、重要な修正を行っていない場合や、古いバージョンのアドオンを使用している場合には、標的となる Web ページに悪意の JavaScript が注入される恐れがある。その結果として、攻撃されたページの任意の領域をユーザーがクリックすると、他のサイトにリダイレクトされる」と、先週のレポートで説明している。

Continue reading “WordPress サイトを標的とする Linux マルウェア:20種類以上のテーマ/プラグインを悪用”

CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft

Adobe, Apple, Cisco, Microsoft Flaws Make Up Half of KEV Catalog

2022/12/30 DarkReading — 2021年11月に、米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのが、活発に悪用されている脆弱性を、連邦政府機関や重要インフラ組織が特定/是正するための Known Exploited Vulnerabilities (KEV) カタログである。Grey Noise が発表した GreyNoise Mass Exploits Report によると、CISA は 2022年1月〜11月末に 58回の更新を行い、548件の新たな脆弱性をカタログに追加している。2021年11月/12月に追加された約300件の脆弱性を含めると、このカタログが始まってからの1年間で、CISA は約850件の脆弱性をリストアップしたことになる。

Continue reading “CISA KEV カタログの1年:悪用された脆弱性の半分は Adobe/Apple/Cisco/Microsoft”

CISA KEV 警告 22/12/29:JasperReports の古い脆弱性2件を追加

CISA Warns of Active exploitation of JasperReports Vulnerabilities

2022/12/30 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発な悪用の証拠があるとして、TIBCO Software の JasperReports 製品に影響を及ぼす、2つのセキュリティ欠陥を Known Exploited Vulnerabilities (KEV) カタログに追加した。それらの脆弱性 CVE-2018-5430 (CVSS:7.7) および CVE-2018-18809 (CVSS:9.9) は、TIBCOにより 2018年4月と 2019年3月に対処されている。

Continue reading “CISA KEV 警告 22/12/29:JasperReports の古い脆弱性2件を追加”

Google Home Speaker の欠陥が FIX:リモートから会話が盗聴される可能性

Google Home speakers allowed hackers to snoop on conversations

2022/12/29 BleepingComputer — Google Home Smart Speaker のバグにより、リモートからの操作が可能なバックドア・アカウントのインストールや、マイクフィードへのアクセスする盗聴が可能であることが判明した。2021年に、この問題を発見した研究者は Google に報告し、$107,500 の報奨金を受け取っている。今週の初めに、この研究者が公開したのは、発見された技術的な詳細と、悪用の方法を示す攻撃シナリオである。

Continue reading “Google Home Speaker の欠陥が FIX:リモートから会話が盗聴される可能性”

Citrix ADC/Gateway のパッチ未適用:深刻な脆弱性を引きずる数千台のサーバ

Thousands of Citrix servers vulnerable to patched critical flaws

2022/12/28 BleepingComputer — Citrix ADC/Gateway だが、この数ヶ月の間に修正された2つの脆弱性が、そのまま放置されているサーバが数千台はあるという。1つ目の欠陥は、11月8日に修正された CVE-2022-27510 であり、Citrix の両製品に影響を与える認証バイパスの脆弱性である。その悪用に成功した攻撃者は、デバイスへの不正アクセス/リモートデスクトップの乗っ取り/ログインブルート・フォースなどの攻撃を行えるようになる。2つ目の欠陥は、12月13日に修正された CVE-2022-27518 であり、認証されていない攻撃者による、脆弱なデバイス上でのリモートコマンド実行と乗っ取りを許すものだ。

Continue reading “Citrix ADC/Gateway のパッチ未適用:深刻な脆弱性を引きずる数千台のサーバ”

Linux Kernel の致命的な欠陥:ksmbd を有効にした SMB サーバに影響

Critical Linux Kernel flaw affects SMB servers with ksmbd enabled

2022/12/25 SecurityAffairs — Linux Kernel に存在する致命的な脆弱性 (CVSS:10) により、ksmbd を有効にしている SMB サーバに、ハッキングされる可能性が生じていることが判明した。ksmbd は、ネットワーク上でファイルを共有するための SMB3 プロトコルを、カーネル空間に実装した Linux Kernel サーバのことである。この脆弱性の悪用に成功した未認証のリモートの攻撃者は、脆弱な Linux Kernel 上で任意のコード実行が可能になる。

Continue reading “Linux Kernel の致命的な欠陥:ksmbd を有効にした SMB サーバに影響”

Kubernetes と Kyverno:コンテナ・イメージ検証/署名における深刻な脆弱性が FIX

Container Verification Bug Allows Malicious Images to Cloud Up Kubernetes

2022/12/24 DarkReading — Kyverno の Admission Controller for Container Images に存在する深刻なセキュリティ脆弱性により、クラウド・プロダクション環境へ向けて、悪意の行為者がに多数の不正コードを流し込める可能性があることが判明した。Kyverno Admission Controller は、署名/検証されたコンテナ・イメージのみが、所定の Kubernetes クラスタに取り込まれることを保証するために設計された、署名検証機構を提供している。つまり、暗号化されたコンテナ・イメージには、クリプトマイナ/ルートキット/コンテナ・エスケープ/横移動エクスプロイト・キット/クレデンシャル・スティーラーなどの、さまざまなペイロードが含まる可能性があるため、それらの悪意の行為を回避するための機能として利用されている。

Continue reading “Kubernetes と Kyverno:コンテナ・イメージ検証/署名における深刻な脆弱性が FIX”

Microsoft Azure のクロステナント・アクセスの脆弱性:サイレント・パッチで対応

Microsoft Patches Azure Cross-Tenant Data Access Flaw

2022/12/23 SecurityWeek — Azure Cognitive Search (ACS) のバグによる、クロステナントのネットワーク・バイパス攻撃の可能性について、外部研究者の警告を受けた Microsoft は、重要かつ深刻なセキュリティ欠陥をサイレント修正した。Mnemonic の研究者が報告した脆弱性とは、インターネットから隔離された Azure Cognitive Search インスタンスの、ネットワークと ID の境界全体を効果的に取り除いてしまうものである。その結果として、ネットワーク露出が明示されていないインスタンスを含む、あらゆる場所から ACS インスタンスのデータプレーンに対して、クロステナントでのアクセスが可能になるものだ。

Continue reading “Microsoft Azure のクロステナント・アクセスの脆弱性:サイレント・パッチで対応”

Ghost CMS の深刻な脆弱性 CVE-2022-41654 が FIX:認証バイパスの問題に対応

Ghost CMS vulnerable to critical authentication bypass flaw

2022/12/23 BleepingComputer — Ghost CMS のニュースレター・サブスクリプション・システムに存在する致命的な脆弱性により、外部ユーザーによるニュースレターの作成や、既存のニュースレターへの悪意の JavaScript の注入などが可能になる。このような行為により、通常は無害なサイトから、大規模なフィッシング攻撃が行われる可能性が生じる。さらに、JavaScript を注入することで、XSS 脆弱性を発生させ、標的サイトへの脅威アクターによるフルアクセスを引き起こす可能性がある。

Continue reading “Ghost CMS の深刻な脆弱性 CVE-2022-41654 が FIX:認証バイパスの問題に対応”

CVE ナンバリング機関が拡大:2022年に追加された 50 の組織とは?

Over 50 New CVE Numbering Authorities Announced in 2022

2022/12/22 SecurityWeek — 2022年には 50以上の組織が、CVE Numbering Authority (CNA) として追加され、35カ国で合計 260 の CNA が存在することになった。大半の CNA は、自社製品で見つかった脆弱性に対して、CVE 識別子を付与するものだが、一部の CNA はサードパーティ製ソフトウェアに関して、自社の研究者が見つけた不具合に対しても CVE を付与することが可能となる。

Continue reading “CVE ナンバリング機関が拡大:2022年に追加された 50 の組織とは?”

Exchange Server を攻撃する Play ランサムウェア:ProxyNotShell の緩和策をバイパス

Play ransomware attacks use a new exploit to bypass ProxyNotShell mitigations on Exchange servers

2022/12/21 SecurityAffairs — Crowdstrike によると、Play ランサムウェアの運営者は OWASSRF と呼ばれる新しいエクスプロイト・チェーンを用いて、ProxyNotShell 脆弱性に対する緩和策をバイパスすることで、Microsoft Exchange サーバをターゲットにしているようだ。この脆弱性の悪用に成功した認証済の攻撃者は、Exchange Server 2013/2016/2019 で権限を昇格を行い、そのシステムのコンテキストで PowerShell を実行し、脆弱なサーバ上で任意コード実行またはリモートコード実行の可能性を生じるという。

Continue reading “Exchange Server を攻撃する Play ランサムウェア:ProxyNotShell の緩和策をバイパス”

AWS Elastic IP transfer を悪用する新たな攻撃ベクター:Mitiga が警告

Organizations Warned of New Attack Vector in Amazon Web Services

2022/12/20 InfoSecurity — Amazon Web Services (AWS) に新たに導入された機能を悪用するセキュリティ脅威が、Mitiga の研究者たちにより発見された。この攻撃は、2022年10月に発表された AWS の Amazon Virtual Private Cloud 機能である、Elastic IP transfer を悪用するものだ。この機能は、ある AWS アカウントから別のアカウントへの、Elastic IP アドレスの移行を容易にするものである。したがって、IP の乗っ取りに成功した脅威アクターは、他者における信頼と信用の持ち方に応じて、幅広い攻撃を仕掛けることが可能になる。

Continue reading “AWS Elastic IP transfer を悪用する新たな攻撃ベクター:Mitiga が警告”

Cisco 警告:IOS/NX-OS/HyperFlex の脆弱性が活発に悪用されている

Old vulnerabilities in Cisco products actively exploited in the wild

2022/12/19 SecurityAffairs — Cisco は、複数のセキュリティ・アドバイザリを更新し、同社製品に影響を与える複数の古い脆弱性の活発な悪用について警告している。Cisco IOS/NX-OS/HyperFlex などに影響をおよぼす一連の脆弱性には、深刻度が Critical と評価されるものも含まれる。

Continue reading “Cisco 警告:IOS/NX-OS/HyperFlex の脆弱性が活発に悪用されている”

macOS の脆弱性 Achilles CVE-2022-42821 が FIX:深刻な Gatekeeper バイパスに対応

Microsoft: Achilles macOS bug lets hackers bypass Gatekeeper

2022/12/19 BleepingComputer — Apple は、信頼されていないアプリケーションを悪用する攻撃者に対して、 Gatekeeper による実行制限をバイパスを許すことで、脆弱な macOS デバイス上にマルウェアの展開される可能性に対処した。 この、Achilles と名付けられたセキュリティ脆弱性 CVE-2022-42821 は、Microsoft の Principal Security Researcher である Jonathan Bar Or が発見/報告したものである。1週間前の 12月13日に Apple は、macOS 13 (Ventura)/macOS 12.6.2 (Monterey)/ macOS 1.7.2 (Big Sur) で、この脆弱性に対応している。

Continue reading “macOS の脆弱性 Achilles CVE-2022-42821 が FIX:深刻な Gatekeeper バイパスに対応”

Samba の深刻な脆弱性 CVE-2022-45141 などが FIX:複数の欠陥に対応

Samba Issues Security Updates to Patch Multiple High-Severity Vulnerabilities

2022/12/17 TheHackerNews — 12月15日に Samba は、複数の脆弱性を修正するためのソフトウェア・アップデートをリリースした。今回のアップデートでリリースされたバージョン 4.17.4/4.16.8/4.15.13 では、深刻度の高い脆弱性 CVE-2022-38023/CVE-2022-37966/CVE-2022-37967/CVE-2022-45141 に対するパッチが適用されている。Sambaは、Linux/Unix/macOS などの OS 用のオープンソースの Windows 相互運用性スイートであり、ファイルサーバ/プリンタ/Active Directory サービスを提供している。

Continue reading “Samba の深刻な脆弱性 CVE-2022-45141 などが FIX:複数の欠陥に対応”

CISA KEV 警告 22/12/14:Veeam Backup and Replication などの脆弱性を追加

CISA adds Veeam Backup and Replication bugs to Known Exploited Vulnerabilities Catalog

2022/12/16 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Veeam Backup & Replication に影響をおよぼす2つの脆弱性 CVE-2022-26500/CVE-2022-26501 (CVSS : 9.8) を、Known Exploited Vulnerabilities Catalog に追加した。BOD (Binding Operational Directive) 22-01 に従い、この脆弱性を悪用する攻撃からネットワークを守るために、各 FCEB 機関は指定された期限までに対処する必要がある。民間組織においても、このカタログを確認してインフラの脆弱性に対処することを、専門家たちは推奨している。

Continue reading “CISA KEV 警告 22/12/14:Veeam Backup and Replication などの脆弱性を追加”

Microsoft Windows SPNEGO の脆弱性 CVE-2022-37958:IBM が唱える異論とは?

Microsoft Reclassifies SPNEGO Extended Negotiation Security Vulnerability as ‘Critical’

2022/12/15 TheHackerNews — Microsoft は、2022年9月にパッチ適用したセキュリティ脆弱性について、リモートコード実行に悪用される可能性があると判明したことで、深刻度を Critical に修正した。この脆弱性 CVE-2022-37958 (CVSS : 8.1) は、SPNEGO Extended Negotiation (NEGOEX) Security Mechanism における情報漏洩の脆弱性であると、これまでは説明されてきた。

Continue reading “Microsoft Windows SPNEGO の脆弱性 CVE-2022-37958:IBM が唱える異論とは?”

Microsoft の深刻な2つのゼロデイ脆弱性:2022-12 月例アップデートで FIX

Two Zero-Days Fixed in December Patch Tuesday

2022/12/14 InfoSecurity — 2022年12月の Microsoft Patch Tuesday は、2つのゼロデイを含む 50件ほどの脆弱性に対処したが、そのうちの1つは野放し状態で悪用されているものだ。このうちの一握りの脆弱性は Critical と評価され、また 13件については悪用される可能性が高いと、Microsoft は説明している。したがって、年末にシステム管理者が行うべき作業が、たくさん残っていることになる。

Continue reading “Microsoft の深刻な2つのゼロデイ脆弱性:2022-12 月例アップデートで FIX”

QBot の新しい戦略:SVG ベクター画像ファイル内にマルウエアを隠し持つ

Attackers use SVG files to smuggle QBot malware onto Windows systems

2022/12/14 BleepingComputer — QBot マルウェアのフィッシング・キャンペーンは、SVG (Scalable Vector Graphics) ファイルを悪用して Windows 用の不正なインストーラーをローカルに作成する、HTML スマグリングの新たな配布方法を採用している。この攻撃は、JavaScript を含むエンベッド SVG ファイルにより行われ、Base64 エンコードされた QBot マルウェアのインストーラーを再構築し、ターゲットのブラウザを通じて自動的にダウンロードさせるものだ。

Continue reading “QBot の新しい戦略:SVG ベクター画像ファイル内にマルウエアを隠し持つ”

Citrix ADC/Gateway のゼロデイ CVE-2022-27518:中国の APT5 による攻撃を NSA が指摘

Citrix and NSA urge admins to fix actively exploited zero-day in Citrix ADC and Gateway

2022/12/13 SecurityAffairs — Citrix ADC/Gateway のゼロデイ脆弱性 CVE-2022-27518 に対する、セキュリティ・アップデートの適用が管理者たちに推奨されている。この脆弱性は、中国に関連する脅威アクターたちが標的とする、ネットワークへのアクセスのために積極的に悪用されているという。Citrix のブログポストには、「この脆弱性を悪用する、少数の標的型攻撃を認識している」と記されている。この脆弱性の悪用に成功した、認証されていないリモートの攻撃者は、対象となるアプライアンス上で任意のコード実行を可能にするという。 

Continue reading “Citrix ADC/Gateway のゼロデイ CVE-2022-27518:中国の APT5 による攻撃を NSA が指摘”

VMware ESXi に新たな Python バックドア:OpenSLP の既知の脆弱性を悪用か?

Experts detailed a previously undetected VMware ESXi backdoor

2022/12/13 SecurityAffairs — Juniper Networks の研究者たちが、VMware ESXi サーバを標的とする Python バックドアを発見した。この、2022年10月に発見されたバックドアに対する研究者たちの指摘は、インプラントの簡潔性/持続性/能力において注目に値するというものだ。侵害されたサーバのログ保持が限られていたことで、専門家たちは最初の侵害を特定できなかったが、ESXi の OpenSLP サービスにおける既知の脆弱性 (CVE-2019-5544/CVE-2020-3992) が悪用された可能性があると推測している。

Continue reading “VMware ESXi に新たな Python バックドア:OpenSLP の既知の脆弱性を悪用か?”

Google が OSV-Scanner を公開:OSS の脆弱性を網羅する分散型データベース

Google Launches Largest Distributed Database of Open Source Vulnerabilities

2022/12/13 TheHackerNews — 12月13日に Google は、さまざまなプロジェクトの脆弱性情報に簡単にアクセスするためのスキャナ OSV-Scanner の、オープンソース提供を発表した。Google のソフトウェア・エンジニアである Rex Pan は、「この Go ベースのツールは、Open Source Vulnerabilities (OSV) データベースを利用しており、プロジェクトの依存関係リストと、それに影響を与える脆弱性を結びつけるよう設計されている」と、The Hacker News に共有した投稿で述べている。

Continue reading “Google が OSV-Scanner を公開:OSS の脆弱性を網羅する分散型データベース”

Fortinet FortiOS に緊急パッチ:認証バイパスの脆弱性 CVE-2022-42475 の悪用に対応

Fortinet Warns of Active Exploitation of New SSL-VPN Pre-auth RCE Vulnerability

2022/12/13 TheHackerNews — 月曜日に Fortinet は、同社の SSL-VPN 製品 FortiOS に影響を及ぼす深刻なセキュリティ脆弱性に対して緊急パッチをリリースし、この脆弱性が実際に悪用されていることを明らかにした。この深刻な脆弱性 CVE-2022-42475 (CVSS:9.3) は、ヒープベース・バッファ・オーバーフローの脆弱性であり、認証されていない攻撃者による、特別に細工したリクエストを介した任意のコード実行を引き起こす可能性がある。

Continue reading “Fortinet FortiOS に緊急パッチ:認証バイパスの脆弱性 CVE-2022-42475 の悪用に対応”

Microsoft 2022-12 月例アップデートは2件のゼロデイと 49件の脆弱性に対応

Microsoft December 2022 Patch Tuesday fixes 2 zero-days, 49 flaws

2022/12/13 BleepingComputer — 今日の Microsoft December 2022 Patch Tuesday により、活発に悪用されている2件の脆弱性を含む、合計 49件の脆弱性が修正された。49件の脆弱性のうち6件は、リモート・コード実行を可能にするもので、Critical に分類されている。

Continue reading “Microsoft 2022-12 月例アップデートは2件のゼロデイと 49件の脆弱性に対応”

Amazon ECR リポジトリの欠陥を修正:非文書化 API を介した侵害を研究者が証明

Amazon ECR Public Gallery flaw could have wiped or poisoned any image

2022/12/13 BleepingComputer — Amazon ECR (Elastic Container Registry) Public Gallery の深刻なセキュリティ欠陥が生じている。その損害に成功した攻撃者により、任意のコンテナ・イメージの削除や、他の AWS アカウントのイメージへの悪意のコード・インジェクションなどが可能だった。Amazon ECR Public Gallery とは、Nginx/EKS Distro/Amazon Linux/CloudWatch Agent/Datadog Agent などの、各種のアプリケーションや Linux ディストリビューションを、直ちに共有/使用するためのコンテナ・イメージのパブリック・リポジトリである。

Continue reading “Amazon ECR リポジトリの欠陥を修正:非文書化 API を介した侵害を研究者が証明”