Vulnerability – Page 33 – IoT OT Security News

BeyondTrust PRA／RS の RCE 脆弱性 CVE-2024-12356 (CVSS 9.8) が FIX：ただちにパッチを！

CVE-2024-12356 (CVSS 9.8): Critical Vulnerability in BeyondTrust PRA and RS Enables Remote Code Execution

2024/12/18 SecurityOnline — BeyondTrust の Privileged Remote Access (PRA) と Remote Support (RS) ソリューション存在する、深刻なコマンド・インジェクション脆弱性 CVE-2024-12356 (CVSS：9.8) が発見された。このリモート IT 管理／特権アクセス製品に依存している組織はとっては、重大なリスクをもたらす脆弱性である。

Google Chrome の複数の脆弱性が FIX：V8 JavaScript エンジンなどに深刻な問題

High-Severity Vulnerabilities Fixed in Latest Chrome Release

2024/12/18 SecurityOnline — Google が公表したのは、Chrome ブラウザに存在する５件の脆弱性に対処するための、重要なアップデートのリリースである。それらの脆弱性のうちのいくつかは、深刻度が “High” と評価されている。ユーザーに対して推奨されるのは、可能な限り早急に、最新の Stable チャネル・バージョンである、Windows／Mac 用の 131.0.6778.204/.205 および、Linux 用の 131.0.6778.204 へとアップデートすることだ。

Azure Data Factory の脆弱性：Apache Airflow 統合における問題を掘り下げる

Azure Data Factory Bugs Expose Cloud Infrastructure

2024/12/18 DarkReading — Microsoft Azure ベースのデータ統合サービスにおいて、オープンソースのワークフロー・オーケストレーション・プラットフォームを活用する際の方法に、３つの欠陥が発見された。この欠陥を悪用する攻撃者は、企業の Azure クラウド・インフラ管理権限を獲得し、データ流出／マルウェア展開／不正なデータ・アクセスなどを引き起こす可能性を手にする。

Fortinet FortiWLM の深刻な脆弱性 CVE-2023-34990 (CVSS 9.8) が FIX：ただちにアップデートを！

CVE-2023-34990 (CVSS 9.8): Critical Security Flaw Found in Fortinet FortiWLM

2024/12/18 SecurityOnline — Fortinet が発表したのは、FortiClient VPN／FortiManager／FortiWLM などに影響を及ぼす、いくつかの深刻な脆弱性に関する緊急アドバイザリである。これらの脆弱性が悪用されると、パスワード漏洩／リモート・コード実行、不正なファイル・アクセスなどの多岐にわたる問題が生じ、数百万人のユーザーが危険に直面することになる。

Apache Tomcat の脆弱性 CVE-2024-50379／54677 が FIX：RCE と DoS の可能性

RCE and DoS Vulnerabilities Addressed in Apache Tomcat: CVE-2024-50379 and CVE-2024-54677

2024/12/17 SecurityOnline — Apache Software Foundation が発表したのは、OSS として広く使用されている Web サーバ／サーブレット・コンテナ Apache Tomcat に存在する、２つの脆弱性に対処するための重要なセキュリティ・アップデートのリリースである。

CyberPanel の CVE-2024-53376 が FIX：PoC が実証する完全なサーバ侵害

CVE-2024-53376: CyberPanel Flaw Exposes Systems to Full Compromise, PoC Published

2024/12/17 SecurityOnline — 人気の Web ホスティング・コントロール・パネル CyberPanel に存在する、深刻な脆弱性 CVE-2024-53376 が、セキュリティ研究者 Thanatos により発見された。この脆弱性の悪用に成功した攻撃者は、サーバの完全な侵害を達成できる。CyberPanel バージョン 2.3.8 未満は、この脆弱性の影響を受けるため、認証済みユーザーによる OS コマンドの挿入／実行を許すことになる。

MinIO の脆弱性 CVE-2024-55949 (CVSS 9.3) が FIX：あらゆるユーザーが管理者権限を取得

CVE-2024-55949 (CVSS 9.3): Critical MinIO Flaw Allows Any User to Gain Full Admin Privileges

2024/12/17 SecurityOnline — 人気の OSS ストレージ・プラットフォーム MinIO に発見された脆弱性により、すべてのユーザーが権限を管理者レベルに昇格できる可能性が生じ、データ・セキュリティに深刻なリスクへと至っている。この脆弱性 CVE-2024-55949 (CVSSv4：9.3：Critical) は、IAM import API に存在する。

SonicWall VPN Firewall：インターネット露出する脆弱なデバイスの数は？ – Bishop Fox

Over 25,000 SonicWall VPN Firewalls exposed to critical flaws

2024/12/17 BleepingComputer — インターネットに露出する 25,000 台以上の SonicWall SSLVPN デバイスが、深刻な脆弱性を抱えているとされ、そのうちの 20,000 台に関しては、ベンダーがサポートを終了した SonicOS/OSX ファームウェア・バージョンを使用されているという。サイバーセキュリティ企業 Bishop Fox が実施した調査／分析によると、今年なって公開された一連の重要な脆弱性が、SonicWall デバイスに影響を及ぼしているとされる。

CISA KEV 警告 24/12/16：Windows／Adobe ColdFusion の脆弱性を登録

Critical Windows and Adobe ColdFusion Vulnerabilities Actively Exploited in the Wild, PoC Exploit Published

2024/12/16 SecurityOnline — 12月16日に米国の CISA は、Windows カーネルの脆弱性 CVE-2024-35250 と、Adobe ColdFusion の脆弱性 CVE-2024-20767 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。

Windows LDAP の脆弱性 CVE-2024-49112 (CVSS 9.8) が FIX：RCE にいたる恐れ

CVE-2024-49112 (CVSS 9.8): Critical Windows LDAP Flaw Puts Networks at Risk of Remote Takeover

2024/12/16 SecurityOnline — Microsoft Windows LDAP (Lightweight Directory Access Protocol) に、深刻なリモート・コード実行の脆弱性 CVE-2024-49112 (CVSS 9.8) が発見された。この脆弱性の悪用に成功した未認証の攻撃者は、LDAP サービス内において任意のコード実行の可能性を手にし、企業ネットワークに深刻なリスクをもたらす。なお、この脆弱性は、Microsoft December Patch Tuesday の一環として、修正されている。

Apache Struts の RCE 脆弱性 CVE-2024-53677：PoC 公開後に悪用が活性化している

Hackers exploit critical Apache Struts RCE flaw (CVE-2024-53677) after PoC exploit release

2024/12/16 SecurityOnline — Apache Struts の深刻な脆弱性 CVE-2024-53677 (CVSSv4：9.5) だが、PoC エクスプロイトが公開された僅か数日後から、脅威アクターたちによる悪用が始まっている。この脆弱性の悪用に成功したリモート攻撃者は。ファイルアップロード・ロジックの欠陥を悪用して、任意のコード実行を達成できるという。

Laravel Pulse 監視ツールの脆弱性 CVE-2024-55661 が FIX：ただちにアップデートを！

CVE-2024-55661: RCE Vulnerability Discovered in Laravel Pulse Monitoring Tool

2024/12/16 SecurityOnline — Laravel アプリケーション向けの、リアルタイム・パフォーマンス監視およびダッシュボード・ツールである Laravel Pulse に、深刻な脆弱性 CVE-2024-55661 (CVSS：8.7) が発見された。この脆弱性の悪用に成功した、Pulse ダッシュボードへのアクセス権を持つ認証済みユーザーにより、サーバ上での任意のコード実行が可能となり、システム全体が侵害される恐れが生じる。Laravel Pulse は、開発者に対して、アプリケーション・パフォーマンスに関する貴重な情報を提供し、ボトルネックの特定および使用状況の監視を可能にするものだ。

http4k ツールキットの XXE 脆弱性 CVE-2024-55875 (CVSS 9.8) が FIX：PoC も提供

CVE-2024-55875 (CVSS 9.8): Critical XXE Vulnerability Found in http4k Toolkit

2024/12/16 SecurityOnline — Kotlin で開発された軽量な HTTP フレームワークである http4k に、深刻な XXE (XML External Entity) インジェクションの脆弱性 CVE-2024-55875 (CVSS 9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、機密情報の窃取／SSRF (Server-Side Request Forgery)／特定の状況下でのリモート・コード実行などを行う可能性を手にする。

Spring Framework のパス・トラバーサル脆弱性 CVE-2024-38819：PoC が公開

CVE-2024-38819: Spring Framework Path Traversal PoC Exploit Released

2024/12/15 SecurityOnline — Spring Framework に存在する脆弱性 CVE-2024-38819 (CVSS 7.5) に対する、PoC エクスプロイト・コードが公開された。この脆弱性の悪用に成功した攻撃者は、パス・トラバーサル攻撃の可能性を手にする。それに続いて、影響を受ける Spring アプリケーションをホスティングするサーバ上の、機密ファイルへのアクセス権限を獲得する恐れも生じる。

Golang の暗号ライブラリの脆弱性 CVE-2024-45337 が FIX：認可バイパスの可能性

CVE-2024-45337: Golang Crypto Library Flawed, Risks Authorization Bypass

2024/12/15 SecurityOnline — Golang の暗号ライブラリに、新たな脆弱性 CVE-2024-45337 (CVSS 9.1) が発見された。この脆弱性は、ServerConfig.PublicKeyCallback 関数の誤用に起因するものであり、アプリケーションやライブラリにおいて、認可バイパスを引き起こす可能性を持つ。

Mullvad VPN に CVE-2024-55884 などの複数の脆弱性：メモリ破損などの可能性

CVE-2024-55884 (CVSS 9.0): Critical Vulnerability Found in Mullvad VPN

2024/12/15 SecurityOnline — Mullvad VPN アプリケーションに存在する複数の脆弱性が、ホワイトボックス・ペネトレーション・テストにより発見された。サイバー・セキュリティ企業 X41 D-Sec GmbH によるテストでは、合計で６件の脆弱性が発見された。そのうちの３件は、シグナル・ハンドラの問題／インストールプロセス中のサイドローディングに起因するものであり、深刻度は “High” と評価されている。

GLPI の複数の脆弱性が FIX：データ漏洩／システム障害などが生じる恐れ

Multiple Critical Vulnerabilities Expose GLPI to Widespread Attacks

2024/12/15 SecurityOnline — 人気の OSS 資産／IT 管理ソフトウェア・パッケージ GLPI (Gestionnaire Libre de Parc Informatique) に、複数の重大な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、ユーザーセッションの乗っ取り／アカウントの削除／管理アカウントの完全な制御などの可能性を手にする。ユーザーに対して推奨されるのは、最新バージョンである 10.0.17 へと、可能な限り早急にアップデートすることだ。

Cleo の脆弱性 CVE-2024-50623 の悪用：Clop ランサムウェア・グループの犯行が濃厚

Clop ransomware claims responsibility for Cleo data theft attacks

2024/12/15 BleepingComputer — 最近の Cleo データ盗難攻撃において、Clop ランサムウェア・グループが、自らの犯行を認めている。このグループは、ゼロデイ・エクスプロイトにより、企業ネットワークに侵入してデータを盗んでいる。Cleo の Cleo Harmony／VLTrader／LexiComは、エンタープライズ・ユーザーが、そのビジネス・パートナーや顧客との間で、安全にファイルを交換するために使用する、マネージド・ファイル転送プラットフォームである。

curl の脆弱性 CVE-2024-11053 (CVSS 9.1) が FIX：ユーザー認証情報の漏えいの可能性

CVE-2024-11053 (CVSS 9.1): Curl Vulnerability Exposes User Credentials in Redirects

2024/12/14 SecurityOnline — 人気のコマンドライン・ツール／ライブラリである curl に、新たな脆弱性 CVE-2024-11053 (CVSS 9.1) が発見された。この脆弱性は、.netrcファイルを用いた認証情報の保存と、curl の HTTP リダイレクト処理とのインタラクションに起因する。この脆弱性が悪用されると、ユーザー認証情報の漏えいにつながる可能性がある。

FuzzyAI：LLM のファジングを自動化するパワフルな OSS ツール

FuzzyAI: Open-source tool for automated LLM fuzzing

2024/12/13 HelpNetSecurity — 新たに登場したオープンソース・フレームワークの FuzzyAI は、LLM のファジングを自動化する強力なツールである。ガードレール迂回や有害な出力生成などの、LLM の潜在的なセキュリティ脆弱性の特定／緩和を支援するために設計されている。FuzzyAI の主な機能は、様々な敵対的インプットに対する AI モデルのテスト／セキュリティ・システムにおける潜在的な弱点の特定／AI 開発と展開の安全性向上のための体系的なアプローチなどである。

Woffice WordPress Theme の脆弱性 CVE-2024-43153／43234 が FIX：15k のサイトが危険な状態に

Over 15,000 Sites at Risk: Woffice WordPress Theme Vulnerabilities Could Lead to Full Site Takeovers

2024/12/13 SecurityOnline — プレミアムなイントラネット／エクストラネット・ソリューションとして人気の WordPress テーマである Woffice に、２つの重大な脆弱性が存在することが、Patchstack により発見された。Xtendify が開発した Woffice テーマは、チーム／プロジェクト管理機能を提供する、高度なビジネス・ワークフローのテーマとして人気を博しており、15,000以上の販売実績を誇る。しかし、新たに発見された脆弱性により、影響を受ける Web サイトに重大なセキュリティ・リスクが生じている。

Malware から Microsoft LOLBin へ：2024年上半期の脅威データを分析 – Sophos

2024 Sees Sharp Increase in Microsoft Tool Exploits

2024/12/13 InfoSecurity — 最新の Sophos Active Adversary Report が示すのは、脅威アクターによる正規の Microsoft ツールの悪用が、2023 年と 2024 年上半期の比較において、51% も増加していることだ。2024 年上半期に分析された 190 件のサイバー・インシデントにおいて、187 件で Microsoft 製品を用いる、Living Off the Land Binaries (LOLbins) が観測された。そのうちの 64 件は、Sophos データセットに１回だけ出現していたと、研究者たちは述べている。

Dell PowerFlex／InsightIQ などの脆弱性 CVE-2024-37143／37144 が FIX：CVSS 値は 10.0

Dell Warns of Critical Flaws in Enterprise Products, Including CVE-2024-37143 (CVSS 10)

2024/12/12 SecurityOnline — Dell がリリースしたセキュリティ・アップデートは、PowerFlex／InsightIQ／Data Lakehouse などのエンタープライズ製品に影響をおよぼす、２つの脆弱性に対処するためのものだ。これらの脆弱性 CVE-2024-37143／CVE-2024-37144 の悪用に成功した攻撃者は、リモート・コード実行および情報漏洩の可能性を手にする。

PDQ Deploy の脆弱性を CERT/CC が報告：デプロイメント中に管理者情報が盗まれる

PDQ Deploy Vulnerability Exposes Admin Credentials: CERT/CC Issues Advisory

2024/12/12 SecurityOnline — システム管理者が使用するソフトウェア・デプロイメント・サービスである、PDQ Deploy に存在する深刻な脆弱性が、最近の CERT/CC アドバイザリで強調されている。この脆弱性は、デプロイメント・プロセス中に生じる、安全が確保されない管理者の資格情報の取り扱いに起因する。その結果として、潜在的なラテラル・ムーブメント攻撃や、広範なネットワーク侵害にいたる可能性があるという。

Citrix NetScaler に対するブルートフォースの急増：CVE-2024-8534／8535 に注意

Citrix NetScaler Under Siege: Significant Increase in Brute Force Attacks Observed

2024/12/12 SecurityOnline — Citrix NetScaler デバイスを狙うブルートフォース攻撃の、ドイツでの大幅な増加が確認されている。それらの NetScaler デバイスは、サポーが切れた古いものや、ミスコンフィグされているものだと、CERT Germany や BSI (German Federal Office for Information Security ) が警告している。これまでにも、Citrix NetScaler デバイスは、サイバー犯罪者が多用する標的となっている。2024年初頭に、NetScaler ADC／NetScaler Gateway において、２件のゼロデイ脆弱性が明らかになっている。最近のブルートフォース攻撃の急増は、それらの脆弱性の悪用により発生しており、このプラットフォームが攻撃を受けやすいことを示している。

Pumakit という Linux ルートキットを検出：高度な権限昇格とステルス性が特色

New stealthy Pumakit Linux rootkit malware spotted in the wild

2024/12/12 BleepingComputer — Pumakit と呼ばれる、新たな Linux ルートキット・マルウェアが発見された。このマルウェアは、高度な権限昇格とステルス性の技術を用いて、システム上で存在を隠し続けるという。このマルウェアは、複数のコンポーネントのセットである、その内容は、ドロッパー／メモリ常駐実行ファイル／カーネル・モジュール・ルートキット、共有オブジェクト・ユーザーランド・ルートキットなどである。

Prometheus に認証情報／API キー流出の可能性：30万以上のインスタンスが公開されている

Over 300K Prometheus Instances Exposed: Credentials and API Keys Leaking Online

2024/12/12 TheHackerNews — OSS イベント監視ソリューションである、Prometheus をホスティングしている数千のサーバが、情報漏洩／サービス拒否 (DoS) 攻撃／リモート・コード実行 (RCE) 攻撃などのリスクにさらされていると、研究者たちが警告している。Aqua Security の研究者である Yakir Kadkoda と Assaf Morag は、「Prometheus Server／Exporter では、認証の欠落が多発するため、認証情報や API キーなどの機密情報が、攻撃者により容易に収集されてしまう」と、The Hacker News に共有されたレポートで述べている。

Apache Superset の脆弱性 CVE-2024-55633 が FIX：機密情報の改ざんの可能性

CVE-2024-55633: Apache Superset Vulnerability Exposes Sensitive Data to Unauthorized Modification

2024/12/12 SecurityOnline — OSS の BI (business intelligence) ツールである Apache Superset に、脆弱性 CVE-2024-55633 (CVSS 7.1) が発見された。この脆弱性は、Superset の SQL Lab 機能における、読み取り専用クエリの不適切な検証に起因するものであり、攻撃者に対して、機密データへの不正な書き込みを許す可能性がある。

WordPress の Hunk Companion プラグインの脆弱性 CVE-2024-11972 が FIX：ただちにパッチを！

Hunk Companion WordPress plugin exploited to install vulnerable plugins

2024/12/11 BleepingComputer — WordPress – Hunk Companion プラグインの深刻な脆弱性 CVE-2024-11972 を悪用する攻撃者たちが、WordPress.org リポジトリかた他のプラグインをダイレクトにインストールし、アクティブ化している。それらのプラグインは、既知の脆弱性を持つ古いものであり、また、エクスプロイトが可能なものであるため、そこから攻撃が拡大していく。

Apache Struts の脆弱性 CVE-2024-53677 (CVSS 9.5) が FIX：RCE が生じる恐れ

CVE-2024-53677 (CVSS 9.5): Critical Vulnerability in Apache Struts Allows Remote Code Execution

2024/12/11 SecurityOnline — 人気の Apache Struts フレームワークに、重大なセキュリティ脆弱性 CVE-2024-53677 (CVSS 9.5) が発見された。この脆弱性の悪用に成功した攻撃者は、リモート・コード実行の可能性を手にする。開発者に対して推奨されるのは、システムを直ちに更新することだ。

AMD SEV の BadRAM 脆弱性 CVE-2024-21944 が FIX：メモリ領域への不正アクセスの可能性

BadRAM Vulnerability (CVE-2024-21944): Researchers Uncover Security Flaw in AMD SEV

2024/12/11 SecurityOnline — AMD の Secure Encrypted Virtualization (SEV) に存在する、脆弱性 CVE-2024-21944 (別名：BadRAM) が発見された。この脆弱性の悪用に成功した攻撃者は、SEV の保護を回避して、暗号化されたメモリ領域にアクセスする可能性を手にする。その結果として整合性が損なわれ、クラウド環境の機密データが危険にさらされるという。

GitLab CE/EE の脆弱性 CVE-2024-11274 (CVSS 8.7) などが FIX：不正アクセス／DoS の可能性

CVE-2024-11274: GitLab Vulnerability Exposes User Accounts

2024/12/11 SecurityOnline — GitLab が公表したのは、Community Edition (CE)／Enterprise Edition (EE) 17.6.2／17.5.4／17.4.6 に影響を及ぼす、複数の脆弱性に対処するセキュリティ・アップデートである。このアップデートで対処される欠陥が悪用されると、アカウント乗っ取り／サービス拒否攻撃／情報漏洩などの、深刻な結果につながる恐れがある。

Splunk Secure Gateway の脆弱性 CVE-2024-53247 が FIX：RCE にいたる恐れ

CVE-2024-53247: Splunk Secure Gateway App Vulnerability Allows Remote Code Execution

2024/12/11 SecurityOnline — Splunk Secure Gateway アプリに存在する、重大な脆弱性 CVE-2024-53247 (CVSS 8.8) が発見された。この脆弱性を悪用する低特権の攻撃者は、脆弱なシステム上での任意のコード実行の可能性を得る。この脆弱性の影響を受けるのは、Splunk Enterprise 9.3.2／9.2.4／9.1.7 以下および、Splunk Cloud プラットフォーム上の Splunk Secure Gateway アプリのバージョン 3.2.461／3.7.13 以下となる。

ソフトウェア・サプライチェーンが世界を飲み込む：いまなら Marc Andreessen はそう言うだろう

Lessons From the Largest Software Supply Chain Incidents

2024/12/11 DarkReading — 2011年の Marc Andreessen の言葉を覚えているだろうか。それは、「ソフトウェアが世界を飲み込んでいる」というフレーズであり、13年以上が経ったいまも、真実味を深め続けている。産業界はソフトウェアにより変革され、世界経済の活性化においてもソフトウェアは不可欠だ。つまり、世界はソフトウェアで動いている。いまの企業に求められるのは、ビジネス環境における苛烈な競争に生き残ることであり、そのために、かつてないスピードで大量のソフトウェアが生み出されている。

Microsoft – MFA の AuthQuake という欠陥：ブルートフォース攻撃を検知できない

Microsoft MFA AuthQuake Flaw Enabled Unlimited Brute-Force Attempts Without Alerts

2024/12/11 TheHackerNews — Microsoft の MFA 実装に、深刻なセキュリティ脆弱性があることが、サイバー・セキュリティ研究者たちにより報告された。この脆弱性を悪用する攻撃者は、MFA 保護を容易に回避し、被害者のアカウントへの不正アクセスを達成するという。Oasis Security の研究者である Elad Luz と Tal Hason は、「このバイパスは単純だった。実行に約１時間を要したが、ユーザーの操作は不要であり、通知は生成されなかった。したがって、アカウント所有者は、なんの兆候も検出できなかった」と、 The Hacker News に共有されたレポートで述べている。

Ivanti の Connect Secure／Policy Secure の深刻な脆弱性が FIX：ただちにアップデートを！

Ivanti Connect Secure and Policy Secure Updates Address Critical Vulnerabilities

2024/12/10 SecurityOnline — Ivanti が発行したのは、Connect Secure／Policy Secure ソリューションに影響を及ぼす、いくつかの深刻な脆弱性に対するパッチである。これらの脆弱性が悪用されると、リモート・コード実行 (RCE)／サービス拒否 (DoS)／セキュリティバイパスが引き起こされる可能性があるため、エンドポイント／エンタープライズの安全な管理のために、速やかな更新が不可欠となる。

Windows CLFS のゼロデイ脆弱性 CVE-2024-49138 が FIX：悪用も確認

Microsoft fixes exploited zero-day (CVE-2024-49138)

2024/12/10 HelpNetSecurity — Microsoft December 2024 Patch Tuesday では、同社の製品に存在する 71件の脆弱性が修正されたが、その中には、悪用が確認されているゼロデイ脆弱性 CVE-2024-49138 が含まれている。この脆弱性は、Windows CLFS (Common Log File System) ドライバのヒープバッファ・オーバーフローに起因する。Microsoft の指摘は、この脆弱性の悪用に成功した攻撃者は、ターゲット・ホストにおける権限を、SYSTEM に昇格させる可能性を手にするというものだ。

macOS／iOS TCC の脆弱性 CVE-2024-44131 が FIX：セキュリティ・バイパスの恐れ

Researcher Details CVE-2024-44131 – A Critical TCC Bypass in macOS and iOS

2024/12/10 SecurityOnline — Apple TCC (Transparency, Consent, and Control) に存在する脆弱性 CVE-2024-44131 が、Jamf Threat Labs により発見された。この脆弱性を悪用する攻撃者は、ユーザーの同意メカニズムを悪意のアプリで回避し、ユーザーに気づかれることなく機密データにアクセスしていく。この脆弱性は macOS／iOS システムに影響を及ぼすものであり、macOS 15／iOS 18 で修正されている。

Ivanti CSA の認証バイパス脆弱性 CVE-2024-11639 (CVSS 10.0) などが FIX：直ちにアップデートを！

Ivanti warns of maximum severity CSA auth bypass vulnerability

2024/12/10 BleepingComputer — 12月10日に Ivanti が公開したのは、同社の Cloud Services Appliance (CSA) に存在する、複数の脆弱性 CVE-2024-11639／CVE-2024-11772／CVE-2024-11773 に対処するセキュリティ・アドバイザリである。修正された脆弱性のうち、最も深刻度が高い CVE-2024-11639 は、CVSS スコア最大値の 10.0 と評価されている。

Apache Superset の脆弱性 CVE-2024-53947／53948／53949 が FIX：直ちにアップデートを！

Apache Superset Patches Multi Security Flaws in Latest Release

2024/12/10 SecurityOnline — Apache Superset バージョン 4.1.0 のリリースにより、脆弱性 CVE-2024-53947／CVE-2024-53948／CVE-2024-53949 が修正された。この BI プラットフォームに存在する、脆弱性の悪用に成功した攻撃者は、セキュリティ制御の回避／機密データへのアクセス／不正な特権の入手などの可能性を得る。

Google Chrome の脆弱性 CVE-2024-12381／12382 が FIX：ただちにパッチを！

Google Chrome Patches High-Severity Vulnerabilities – CVE-2024-12381 & CVE-2024-12382

2024/12/10 SecurityOnline — Google が発表したのは、Chrome ブラウザの最新 Stable チャンネルにおけるアップデートである。今回のアップデートでは、複数のセキュリティ欠陥が修正されているが、その中には、深刻度 “High” に分類される２件の脆弱性も含まれる。このアップデートは、今後の数日から数週間をかけて、Windows／Mac／Linux ユーザーに展開されるという。それぞれの Chrome のバージョンだが、Windows／Mac 版は 131.0.6778.139/.140 であり、Linux 版は 131.0.6778.139 である。

AWS のミスコンフィグを狙うハッカーたち：分業化された犯罪シンジケートの存在

Hackers Exploit AWS Misconfigurations in Massive Data Breach

2024/12/10 InfoSecurity — ハッキング・グループ Nemesis／ShinyHunters と関連付けられる大規模なサイバー攻撃は、不適切にコンフィグレーションされた公開 Web サイトの脆弱性を悪用するものであり、顧客情報／インフラの認証情報／独自のソースコードといった、機密データの漏洩につながっている。独立系サイバー・セキュリティ研究者である Noam Rotem と Ran Locar によると、Amazon Web Services (AWS) の IP レンジ内で攻撃者たちは、脆弱なエンドポイントを標的とする大規模なインターネット・スキャンを組織化していたという。

Adobe 製品群における 160 件の脆弱性が FIX：悪用の可能性は低いと予想される

Adobe Patches Over 160 Vulnerabilities Across 16 Products

2024/12/10 SecurityWeek — 2024年12月の、Adobe Patch Tuesday がリリースされた。そこでは、Experience Manager に存在する、の約 90 件の脆弱性が修正されている。その大部分の重要度は Important (CVSS ベースでは Medium) であり、任意のコード実行を許すものである。また、一部の脆弱性は、セキュリティ機能のバイパスに悪用される可能性がある。その中の CVE-2024-43711 (CVSS：7.1) は、深刻度が Critical とされる唯一の脆弱性である。

Microsoft 2024-12 月例アップデート：１件のゼロデイを含む 71件の脆弱性に対応

Microsoft December 2024 Patch Tuesday fixes 1 exploited zero-day, 71 flaws

2024/12/10 BleepingComputer — 今日は、Microsoft の December 2024 Patch Tuesday の日である。今月の Patch Tuesday では、71件の脆弱性に対するセキュリティ更新が提供されたが、その中には、公開された１件のゼロデイ脆弱性が含まれている。なお、今回の Patch Tuesday では、16件のリモート・コード実行の脆弱性が修正されている。

Black Basta の戦術：MS Teams の悪用とメール爆撃でマルウェアを拡散

Black Basta Ransomware Uses MS Teams, Email Bombing to Spread Malware

2024/12/10 HackRead — ランサムウェア・グループ Black Basta (別名 UNC4393) が仕掛ける、ソーシャル・エンジニアリング・キャンペーンに関する詳細レポートが、Rapid7 から公開された。このレポートが焦点を合わせるキャンペーンは、2024年5月に初めて報告され、2024年8月にペイロードが更新されたものであり、現在も進行中だという。

米上院における法案：FCC が通信会社に義務付けるサイバー規則を推測する

Senate bill would require FCC to issue binding cyber rules for telecom firms

2024/12/10 NextGov — 12月10日 (火) に提出された法案が Federal Communications Commission (FCC) に対して指示するのは、最低限のサイバー要件や年次システム・テストを取り込んだ、必須のサイバー・セキュリティ・コンプライアンス・ルールのリストに従うよう、通信事業者に義務付けよというものだ。この法案は、Salt Typhoon と呼ばれる中国のサイバー・スパイ集団による、広範かつ多数の通信事業者と盗聴システムへのハッキングに対応するものである。この問題に関しては、いまもフォレンジック分析が続いているが、依然としてハッカーたちは、一部のネットワークに潜んでいると思われる。

Cleo 製品群の脆弱性 CVE-2024-50623 の積極的な悪用：Huntress が PoC を公開

CVE-2024-50623: Critical Vulnerability in Cleo Software Actively Exploited in the Wild

2024/12/10 SecurityOnline — ファイル転送の管理ツール Cleo Harmony／VLTrader／LexiCom に存在する、脆弱性 CVE-2024-50623 が積極的に悪用されていると、Huntress Labs が警告している。脅威アクターたちは、数多くの組織を一斉に標的にしており、物流／配送／消費者製品などの業界で深刻な影響が生じている。

Microsoft NTLM の新たな脆弱性：CVE-N/A だが 0patch がパッチを提供

Microsoft NTLM Zero-Day to Remain Unpatched Until April

2024/12/10 DarkReading — Windows Workstation／Server に存在する、NTLM ハッシュのゼロデイ脆弱性が、ACROS Security の研究者たちにより発見された。Windows バージョン 7〜11 に影響を及ぼす、この問題が公開された数日後に、Microsoft はガイダンスを公開し、NTLM リレー攻撃をデフォルトで緩和する方法を共有している。

WPForms プラグインの脆弱性 CVE-2024-11205 (CVSS：8.5) が FIX：600万以上のサイトに影響

CVE-2024-11205: WPForms Plugin Vulnerability Impacts 6 Million WordPress Sites

2024/12/09 SecurityOnline — WordPress のフォーム・ビルダー・プラグイン WPForms に存在する、脆弱性 CVE-2024-11205 ( CVSS v3.1：8.5) により、各種の Web サイトが深刻な財務リスクにさらされている。600 万以上のインストール数を誇る人気の WPForms だが、この脆弱性の悪用に成功した、サブスクライバー以上の権限を持つ認証済みの攻撃者により、Stripe 決済の不正な払い戻しや、Stripe サブスクリプションのキャンセルが、実行される可能性が生じるという。

CPython の脆弱性 CVE-2024-12254 が FIX：asyncio アプリにメモリ枯渇の可能性

CVE-2024-12254: CPython Flaw Could Lead to Memory Exhaustion in asyncio Applications

2024/12/09 SecurityOnline — Python プログラミング言語のリファレンス実装である CPython に、深刻度の高い脆弱性 CVE-2024-12254 (CVSSv4：8.7) が発見された。この脆弱性は、バージョン 3.12.0 以降に影響を及ぼすものであり、asyncio モジュールを用いるアプリケーションにおいてメモリ不足を引き起こす可能性がある。