Oxeye Tool Can Counter Log4j Obfuscation Attacks
2022/01/12 SecurityBoulevard — 今日、Oxeye は、Ox4Shell と名付けられた、オープンソースの対難読化ツールを発表した。それにより、サイバーセキュリティ・チームは、脆弱性 Log4Shell を利用しようとする、隠れたペイロードをより簡単に発見できるようになる。多くの企業の IT 部門は、Java アプリケーションからログデータを収集するために広く使用されている、Log4j で発見された一連のゼロデイ脆弱性に悩まされている。Oxeye の CTO である Ron Vider は Ox4Shell について、脆弱性 Log4jShell を悪用するペイロードを隠すために、多くのサイバー犯罪者が用いる難読化戦術に対抗するために設計されていると述べている。
Continue reading “Oxeye の Ox4Shell は Log4Shell の難読化に対抗するためのツールだ”2022/01/12 DailySwig — Mozilla Firefox に存在する、セキュリティ問題にパッチが適用された。この問題は、攻撃者が密かに実行するフルスクリーン・モードを介して、正規の Web サイトに成りすますことを許すものだ。この脆弱性 CVE-2022-22746 は、Windows 版の Firefox に存在していたものであり、競合状態のバグにより、ブラウザのフルスクリーン通知の警告が回避されてしまうという。それにより、攻撃者はユーザーを騙すことが可能となり、悪意のリンクのクリックや、偽 Web サイトへの機密情報の入力といった、悪意のある行為を実行できる。
Continue reading “Firefox 96 でフィッシングを止めろ:フルスクリーン通知バイパスの脆弱性などが FIX”The Final Count: Vulnerabilities Up Almost 10% in 2021
2022/01/11 Security Boulevard — 2021年12月8日に、NIST National Vulnerability Database (NVD) に記録された脆弱性の数が、単年度の記録として5年連続で過去最高を記録したことを伝えた。 2021年が終了した今、2021年に記録された脆弱性の最終集計結果を見ることが可能となった。 この年には、前年比 9.3% 増の 20,061件の脆弱性が記録され、このデータベースが始まって以来、過去最多の記録が塗り替えられることになった。
Continue reading “脆弱性 2021 の最終結果:件数は前年比 10% のアップと5年連続の増加”Night Sky ransomware uses Log4j bug to hack VMware Horizon servers
2022/01/11 BleepingComputer — ランサムウェア Night Sky が、Log4j ロギング・ライブラリに存在する深刻な脆弱性 CVE-2021-44228 (Log4Shell) を悪用し、VMware Horizon システムへのアクセスを開始した。このランサムウェアは、正規の企業を装ったドメインから、Web 上に公開されている脆弱なマシンを標的としており、その中にはテクノロジーやサイバー・セキュリティ分野の企業も含まれている。
Continue reading “Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された”Microsoft: New critical Windows HTTP vulnerability is wormable
2022/01/11 BleepingComputer — Microsoft は、Windows 11 および Windows Server 2022 などの、最新の Windows デスクトップ/サーバーに影響を与えることが判明した、wormable と呼ばれる深刻な脆弱性にパッチを適用した。この脆弱性 CVE-2022-21907 (CVSS 値 7.8) には、今月の Patch Tuesday が適用されている。
Continue reading “Microsoft Windows の HTTP プロトコル・スタックに存在する脆弱性 wormable が FIX”CISA alerts federal agencies of ancient bugs still being exploited
2022/01/11 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、悪用が検知されている脆弱性のリストを更新し、米国企業への攻撃手段として頻繁に利用されている、15件のセキュリティ問題を新たに追加した。今回のリストに追加された脆弱性は、それぞれの深刻度と公開日を持ち、中程度のリスクと評価されているものもあれば、2013年に公開されたものもある。
Continue reading “CISA から連邦政府機関へ警告:活発に悪用されている既知の脆弱性 15件”State hackers use new PowerShell backdoor in Log4j attacks
2022/01/11 BleepingComputer — イランの国家支援グループ APT35 (Charming Kitten/Phosphorus) に属すると思われるハッカーが、Log4Shell 攻撃により新たな PowerShell バックドアを投下していることが確認されている。このモジュール型ペイロードは、C2 通信を処理し、システムの列挙を行い、最終的には追加モジュールの受信/復号化/ロードを行うことが可能とされる。Log4Shell は、12月に公開された Apache Log4j の深刻なリモートコード実行の脆弱性 CVE-2021-44228 を悪用するものである。
Continue reading “イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下”New KCodes NetUSB Bug Affect Millions of Routers from Different Vendors
2022/01/11 TheHackerNews — この、問題となるコンポーネントは、Netgear/TP-Link/Tenda/EDiMAX/D-Link/Western Digital などの、数百万台のエンドユーザー向けルーターに組み込まれている。KCodes NetUSB は、ローカル・ネットワーク上のデバイスが、USB ベースのサービスを IP 経由で提供できるようにするための Linux カーネル・モジュールである。
Continue reading “KCodes NetUSB に RCE 脆弱性:Netgear/TP-Link/Tenda などのルーターに影響”CISA Unaware of Any Significant Log4j Breaches in U.S.
2022/01/11 SecurityWeek — 米国の Cybersecurity and Infrastructure Security Agency (CISA) だが、先日に公開された Log4j の脆弱性に関連した深刻な侵害について、現在のところ検知していないと述べている。月曜日に行われたメディアへのブリーフィングで、CISA の Director である Jen Easterly と、Executive Assistant Director for Cybersecurity である Eric Goldstein は、深刻なインシデントは検知していないと述べている。これは、数多くの組織が迅速に対応した結果だと思われる。
Continue reading “CISA の Log4j ブリーフィング:現時点で深刻な被害を受けた連邦政府機関は無い”Microsoft January 2022 Patch Tuesday fixes 6 zero-days, 97 flaws
2022/01/11 BleepingComputer — 今日は、Microsoft の January 2022 Patch Tuesday であり、それに伴い、6つのゼロデイ脆弱性を含む、合計で97件の脆弱性が修正された。Microsoft は、今日のアップデートで、97件の脆弱性 (29件の Microsoft Edge 脆弱性を除く) を修正し、9件を Critical に、88件を Important に分類している。
Continue reading “Microsoft 2022-01 月例アップデートは6件のゼロデイと 97件の脆弱性に対応”WordPress 5.8.3 security update fixes SQL injection, XSS flaws
2022/01/10 BleepingComputer — WordPress の開発チームは、4つの脆弱性 (そのうちの3つは深刻度 High) に対応した、短期サイクルのセキュリティ・リリースである Ver 5.8.3 をリリースした。このセットには、WP_Query での SQL インジェクション/WP_Meta_Query を介したブラインド SQL インジェクション/post slugs を介した XSS 攻撃/admin object インジェクションが含まれる。
Continue reading “WordPress 5.8.3 がリリース:SQL injection/XSS などの脆弱性に対応”Extremely Critical Log4J Vulnerability Leaves Much of the Internet at Risk
2022/01/10 TheHackerNews — Apache Software Foundation は、広く利用されている Java ベース・ロギング・ライブラリ Log4j に存在する、悪意のコード実行と脆弱なシステムの乗っ取りを許す、ゼロデイ脆弱性の修正プログラムを公開した。この問題は、CVE-2021-44228 として追跡され、Log4Shell または LogJam というニックネームで呼ばれている。具体的に言うと、このオープンソース・ユーティリティを使用する全てのアプリケーションにおいて、認証を必要とせずにリモートコードが実行されるというものであり、Log4j Ver 2.0-beta9〜2.14.1 に影響する。このバグの深刻度は、CVSS 値 10.0 となっているで。
Continue reading “Log4j の脆弱性は極めて深刻:多くの問題をインターネット上に残した”NHS Warns of Hackers Targeting Log4j Flaws in VMware Horizon
2022/01/07 TheHackerNews — 英国の国民保健サービス (National Health Service:NHS) のデジタル・セキュリティ・チームは、パッチが適用されていない VMware Horizon サーバーに存在するLog4j の脆弱性 (Log4Shell) を利用して、悪意の Web シェルを投下し、侵害したネットワーク上に持続的に存続して、次の攻撃をねらうという未知の脅威行為に対して警鐘を鳴らした。
Continue reading “英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている”QNAP warns of ransomware targeting Internet-exposed NAS devices
2022/01/07 BleepingComputer — 今日、QNAP は、ランサムウェアやブルートフォースなどの進行中の攻撃から、インターネットに露出した NAS デバイスを直ちに保護するよう、顧客に警告した。QNAP は、今日のプレスリリースの中で、「すべての QNAP NAS ユーザーに対して、QNAP ネットワーク・デバイスのセキュリティを確保するために、指示に従うことを強く求める」と述べている。
Continue reading “QNAP 警告:インターネットに露出する NAS がランサムウェアに狙われている”Log4Shell-like Critical RCE Flaw Discovered in H2 Database Console
2022/01/07 TheHackerNews — H2 データベース・コンソールで発見されたリモートコード実行の脆弱性だが、先月に明らかになった Log4Shell と同じ構造を持つ欠陥であることが、研究者たちにより公表された。JFrog の研究者である Andrey Polkovenko と Shachar Menashe は、「Log4j 以外のコンポーネントで発表された、Log4Shell に似た初めての深刻な問題であり、Log4Shell と同じ根本的な原因であう、JNDI リモートクラス・ローディングを悪用するものだ」と述べている。
Continue reading “H2 Database Console に Log4Shell と同じ構造の脆弱性:約 6,800 件のアーティファクトに影響”5 Things New with Bug Bounty Programs
2022/01/07 SecurityIntelligence — 2021年9月29日に HackerOne は、Internet Bug Bounty (IBB) プログラムの最新版を発表した。この取り組みにより、2013年から2021年の間に生じている、オープンソース・ソフトウェアに存在する、1,000件以上の脆弱性を発見するよう調整がなされた。HackerOne の最新バージョンは、既存のバグバウンティから得られる防御力を蓄積し、脆弱性管理ライフサイクルに貢献する利害関係者を表彰する方法で報奨金を分割していく。さらに、脆弱性提出フローの統合により、参加する研究者のエクスペリエンスを向上させ、プログラムの範囲をさらに拡大することを目的としている。
Continue reading “HackerOne のバグバウンティ・プログラム:そこから見えてくる5つの論点”New Mac Malware Samples Underscore Growing Threat
2022/01/07 DarkReading — 2021年に出現した一握りのマルウェア・サンプルは、Windows システムに比べて Apple のテクノロジーが、攻撃や侵害を受けにくいとはいえ、決して無敵ではないことを改めて示した。セキュリティ研究者である Patrick Wardle は、その年に出現した全ての新しい Mac マルウェアの脅威リスト The Mac Malware of 2021 [pdf] を、6年連続で発表している。彼は、それぞれのマルウェアのサンプルについて、感染経路/インストールと持続のメカニズム/マルウェアの目的などの特徴を特定している。2021年に出現した新しい Mac マルウェアの各サンプルは、彼の Web サイトで公開されている。
Continue reading “Mac マルウェア調査:Windows に比べて安全という考え方は過去のものに”VMware fixed CVE-2021-22045 heap-overflow in Workstation, Fusion and ESXi
2022/01/06 SecurityAffairs — VMware は、Workstation/Fusion/ESXi 製品群に存在するヒープバッファ・オーバーフローの脆弱性 CVE-2021-22045 に対処する、セキュリティ・アップデートをリリースした。具体的には、Workstation 16.2.0/Fusion 12.2.0/ESXi670-20211101-SG/ESXi650-20211101-SG をリリースしている。
Continue reading “VMware が Workstation/Fusion/ESXi の脆弱性 CVE-2021-22045 を FIX”Chrome 97 Patches 37 Vulnerabilities
2022/01/05 Security Week — 今週に Google は、外部の研究者から報告された 24件の脆弱性を含む、合計で 37件のセキュリティ修正を施した Chrome 97 を、Stable Channel でリリースした。外部から報告された 24件のセキュリティ上の欠陥のうち、深刻度 Critical は 1件、High は 10件、Medium は 10件、Low は 3件となっている。脆弱性の種類としては、use-after-free が 7件で、不適切な実装が 8件 などになっている。
Continue reading “Google Chrome 97:1件の Critical と 10件 の High などの脆弱性を修正”Honda, Acura cars hit by Y2K22 bug that rolls back clocks to 2002
2022/01/05 BleepingComputer — Honda Acura の車両だが、ナビゲーション・システムの時計が 2002年1月1日にリセットされ、変更する方法がないという、2022年問題のバグである、通称 Y2K22 に見舞われている。2022年1月1日以降、Honda と Acura の車両に搭載されたナビゲーション・システムの日付が、自動的に2002年1月1日に変更され、おそらく車が位置する地域に応じてだと思われるが、時刻は 12時/2時/4時などにリセットされた。
Continue reading “Honda と Acura の車両に Y2K22 バグが発生:ナビが 2002 年にリセットされた”Microsoft Warns of Continued Attacks Exploiting Apache Log4j Vulnerabilities
2022/01/04 TheHackerNews — Microsoft は、オープンソースのロギング・フレームワーク Log4j に存在する脆弱性の悪用により、システムにマルウェアを展開しようとする試みが、国家支援ハッカーやコモディティ攻撃者により継続されていると警告している。Microsoft Threat Intelligence Center (MSTIC) は、今週の初めに発表したガイダンスの改訂版で、「12月の最後の数週間、攻撃の試みとテストが高水準で推移している。既存の攻撃者の多くが、コインマイナーからハンズオン・キーボード攻撃にいたるまで、一連の Log4j 脆弱性の悪用を、既存のマルウェア・キットや戦術に追加していることが確認されている」と述べている。
Continue reading “Microsoft 警告:Log4j 脆弱性を悪用する攻撃ベクターは広がっていく”FTC warns companies to secure consumer data from Log4J attacks
2022/01/04 BleepingComputer — 今日、米国連邦取引委員会 (FTC : Federal Trade Commission) は、継続して止まない Log4J 攻撃から、顧客データの保護を怠る米国企業を追及すると警告した。FTC は、「Log4j および、今後の類似する脆弱性の結果として生じる、消費者データの流出を止めるための合理的な措置を講じない企業を、法的権限をフルに活用して追及する意向だ」と述べている。
Continue reading “FTC 警告:Log4J 攻撃から顧客データを保護しない企業に法的措置?”Log4j Highlights Need for Better Handle on Software Dependencies
2022/01/04 DarkReading — 新しい年を迎えたが、サイバー・セキュリティ業界は、またしてもソフトウェア・サプライチェーン・セキュリティの悪夢がもたらす、長期化が予測される問題に直面している。アプリケーション・セキュリティのゼロデイ問題が多発した1年の最後に生じた、Log4j の脆弱性 (Log4Shell) の問題は、2021年のテーマに沿ったブックエンドのようなもので、SolaWinds がスタートさせた年を、同じようなかたちで締め括る。
Continue reading “Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ”Emergency Windows Server update fixes Remote Desktop issues
2022/01/04 BleepingComputer — Microsoft は、Remote Desktop の接続およびパフォーマンスの問題につながる Windows Server のバグに対処するため、緊急の更新プログラムをリリースした。同社は、「Microsoft は 2022年1月4日に緊急更新プログラムをリリースし、Windows Server における黒画面表示や、サインインでの遅延、全体的な速度低下の問題を解決した」と説明している。
Continue reading “Windows Server の Remote Desktop のバグ対応:KB5010196 更新パッケージがリリース”Security Pro Burnout Signals IT Security Shift
2022/01/03 SecurityBoulevard — 世界的なパンデミックに端を発した、この世界の大きな変化は、IT セキュリティ専門家たちのメンタルヘルスに大きな負担をかけている。あらゆる組織において、リモートファーストの働き方への適応を求める動きが強まったことで、IT セキュリティの専門家たちは、迅速なデジタル・トランスフォーメーションだけでなく、安全なデジタル・トランスフォーメーションを実現するために、時間外労働を強いられている。
Continue reading “セキュリティ専門家たちの燃え尽き症候群:褒めずに責任を押し付けるのは間違いだ”SEGA Europe left AWS S3 bucket unsecured exposing data and infrastructure to attack
2022/01/03 SecurityAffairs — サイバー・セキュリティ企業の VPN Overview の報告によると、年末にゲーム大手の SEGA Europe が、Amazon Web Services (AWS) の S3 バケットにユーザーの個人情報を誤って公開し、放置していたことが分かった。この S3 バケットには、複数の AWS キーが含まれており、これらのキーを使用することで、SEGA Europe の複数のクラウド・サービスにアクセスすることが可能だった。また、MailChimp や Steam のキーも含まれており、これらのサービスに SEGA の名前でアクセスすることもできた。
Continue reading “SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に”Uber ignores vulnerability that lets you send any email from Uber.com
2022/01/02 BleepingComputer — Uber の電子メール・システムの脆弱性により、誰もが Uber に代わって電子メールを送信できることが判明した。この欠陥を発見した研究者は、脅威アクターによる脆弱性の悪用で、2016年のデータ流出で情報が流出した、5700万人の Uber ユーザー/ドライバーに偽メールを送ることができると警告している。Uber は、この欠陥を認識しているようだが、今のところ修正していない。
Continue reading “Uber が無視する脆弱性:Uber.com からの偽メールに警戒が必要”AppSec and Software Community Respond to Log4j
2021/12/30 SecurityBoulevard — アプリケーション・セキュリティとオープンソース・ソフトウェアのコミュニティは、Java Log4j の脆弱性の問題に立ち向かい、ソフトウェアへのパッチ適用/情報の共有/緩和策やツールの提供などを行っている。まだ危機を脱したわけではないが、彼らのこれまでの行動には感銘を受けた。
Continue reading “Log4j 問題の 5W1H:現状の正確な認識と将来へ向けたステップ”Chinese APT Hackers Used Log4Shell Exploit to Target Academic Institution
2021/12/30 The Hacker News — 中国を拠点とする新たな標的型侵入攻撃者である Aquatic Panda は、Apache Log4j ロギング・ライブラリの深刻な欠陥をアクセス・ベクターとして利用し、ターゲット・システム内での偵察や資格情報の収集などの、持続性のある攻撃のための準備を行っていることが観察されている。
Continue reading “中国の APT ハッカーたちが Log4Shell を使って大規模な学術機関を攻撃”Log4j 2.17.1 out now, fixes new remote code execution bug
2021/12/28 BleepingComputer — Apache は、Log4j 2.17.0 における、新たなリモートコード実行 (RCE) 脆弱性 CVE-2021-44832 をに対して、新バージョン 2.17.1 をリリースし、この問題を修正した。今日までは、2.17.0 が Log4j の最新バージョンであり、アップグレードする対象として、最も安全であると考えられていたが、アドバイザリは進化している。
Continue reading “Apache から Log4j 2.17.1 がリリース:新たなリモートコード実行 CVE-2021-44832 に対応”LastPass users warned their master passwords are compromised
2021/12/28 BleepingComputer — 数多くの LastPass ユーザーが、誰かが不明な場所から自身のアカウントにログインしようと試みたと、警告するメールを受け取った後に、マスター・パスワードが侵害されたという報告を受けている。この電子メール通知には、見知らぬ場所からのログイン試行が、ブロックされたと記載されている。
Continue reading “LastPass ユーザーのマスター・パスワードが侵害された?”Apache addressed a couple of severe vulnerabilities in Apache HTTP Server
2021/12/27 SecurityAffairs — Apache Software Foundation (ASF) は、Apache HTTP Server 2.4.52 をリリースし、リモートコード実行攻撃につながる脆弱性 CVE-2021-44790/CVE-2021-44224 に対処した。CVE-2021-44790 は、Apache HTTP Server 2.4.51 以前の mod_lua でマルチパート・コンテンツを解析する際に生じる、バッファ・オーバーフローの脆弱性である。Apache HTTPD チームは、この脆弱性を悪用した攻撃が、ワイルドに発生しているとは認識していない。
Continue reading “Apache HTTP Server の脆弱性 CVE-2021-44790/CVE-2021-44224 が FIX”Experts monitor ongoing attacks using exploits for Log4j library flaws
2021/12/27 SecurityAffairs — DrWeb の研究者たちは、Apache Log4j ライブラリの脆弱性 (CVE-2021-44228/CVE-2021-45046/CVE-2021-4104/CVE-2021-42550) を悪用した攻撃を監視し、また、防御策を講じる必要性を警告している。これらの脆弱性を悪用することで、脅威アクターによるターゲット・システム上での、任意のコード実行/サービス妨害 (Denial of Service)/機密情報の開示などを許してしまう。
Continue reading “Log4j ライブラリの脆弱性悪用:専門家たちが仕掛けたハニーポットからの情報”Critical flaws in myPRO HMI/SCADA product could allow takeover vulnerable systems
2021/12/27 SecurityAffairs — mySCADA myPRO HMI/SCADA は、マルチプラットフォーム対応の Human-Machine Interface (HMI)/Supervisory Control and Data Acquisition (SCADA) システムであり、産業プロセスの視覚化および制御に用いられている。セキュリティ研究者の Michael Heinzl は、mySCADA myPRO 製品群に複数の脆弱性を発見し、その中には 深刻度 Critical と評価されるものもある。これらの脆弱性は、myPRO の Version 8.20.0 以前に影響する。
Continue reading “mySCADA myPRO HMI/SCADA の深刻な脆弱性 CVE-2021-44462:リモートからの乗っ取りも?”New Flaws Expose EVlink Electric Vehicle Charging Stations to Remote Hacking
2021/12/27 SecurityWeek — Schneider Electric は、同社の電気自動車用充電ステーション EVlink が、リモート攻撃を受ける可能性があるし、複数の新しい脆弱性にパッチを適用した。Schneider は 12月14日にパッチの提供を発表し、顧客に対してパッチ/緩和策を適用 を直ちに行うよう促した。
Continue reading “Schneider EVlink の脆弱性:リモートから電気自動車用充電ステーションが狙われる”Log4j: A CISO’s Practical Advice
2021/12/24 DarkReading — あなたは、おそらく、Log4j の脆弱性について、信頼できる技術的分析をたくさん読んでいることだろう。しかし、そのような分析は、この記事にはない。その代わりに、CISO の役割に費やしてきた私の数十年からの視点と、CISO/CIO 仲間との会話から得られた視点を提供したい。
Continue reading “Log4j 問題に関する CISO の実践的なアドバイス:対処法の繰り返しで良いのか?”Log4j Reveals Cybersecurity’s Dirty Little Secret
2021/12/23 DarkReading — 技術系メディアが、インターネットが炎上していると報じ始めたら、重大な事態に陥っていることを意味する。Log4Shell と呼ばれる Log4j の脆弱性は、時間の経過と伴に、その深刻さが判明し、範囲と影響が拡大する一方である。米国の Cybersecurity and Infrastructure Security Agency (CISA) や英国の機関などが、直ちに対策を講じることを推奨しており、また、現代のハイテク業界の有名企業たちは、この数年で最も深刻なゼロデイ脅威に対して、深刻な脆弱性を抱えていることが判明している。
Continue reading “Log4j インシデントに暴露されたサイバー・セキュリティの駄目なところ”Arctic Wolf Script Can Discover Log4Shell Vulnerabilities
2021/12/23 SecurityBoulevard — 今週のこと、マネージド・セキュリティ・サービスを提供している Arctic Wolf は、スキャン・ツールによる Log4Shell 脆弱性の発見を支援するスクリプトを公開した。Arctic Wolf の Field CTO である Ian McShane によると、同社は Log4Shell Deep Scan スクリプトを使用して、ネストされた JAR/WAR/EAR ファイル内の CVE-2021-45046/CVE-2021-44228 の脆弱性を検出している。
Continue reading “Arctic Wolf の Log4Shell Deep Scan スクリプト:入れ子になっている Log4j を探査”Crooks bypass a Microsoft Office patch for CVE-2021-40444 to spread Formbook malware
2021/12/23 SecurityAffairs — Microsoft Office に存在する脆弱性 CVE-2021-40444 (CVSS 8.8) に関して、サイバー犯罪者たちはパッチを回避する方法を見つけ出した。そして、この脆弱性を悪用し、マルウェア Formbook を配布している。CVE-2021-40444 は、MSHTML ファイル・フォーマットに影響を与える、リモートコード実行の脆弱性である。
Continue reading “Microsoft Office の脆弱性 CVE-2021-40444:パッチ回避とマルウェア投下”Bug bounty platforms handling thousands of Log4j vulnerability reports
2021/12/22 DailySwig — 世界のソフトウェア・エコシステムに衝撃を与え続けている、Apache Log4j のバグに関連する脆弱性報告が、バグバウンティ・ハンターにより何千件も提出されている。このバグは、オープンソースの Java ロギング・ライブラリ Log4j に存在する、CVSS 値 10 という深刻な欠陥であり、これまでにない数の潜在的な標的に対して、サイバー犯罪者によるリモートコード実行 (RCE) 攻撃を許してしまうものとなる。
Continue reading “Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた”China disciplines Alibaba Cloud for handling of Log4j bug
2021/12/22 SCMP — 中国のインターネット・セキュリティ当局が、Alibaba Group Holding のクラウド・コンピューティング・サービス部門を懲戒処分にした。水曜日に中国メディアが報じたところによると、サイバー・セキュリティ業界を震撼させた Apache Log4j ソフトウェアの深刻な脆弱性を、最初に政府に報告しなかったことが原因のようだ。
Continue reading “Log4Shell を最初に中国政府に報告しなかった Alibaba:これでペナルティは可哀想”4-Year-Old Bug in Azure App Service Exposed Hundreds of Source Code Repositories
202/12/22 TheHackerNews — Microsoft の Azure App Service におけるセキュリティ上の欠陥により、2017年9月から少なくとも4年間に渡り、Java/Node/PHP/Python/Ruby で書かれた、顧客アプリケーションのソースコードが公開されていたことが明らかになった。
Continue reading “Azure App Service の深刻な問題:4年間にわたり PHP/Ruby/Python/Node のソースが漏洩”CISA releases Apache Log4j scanner to find vulnerable apps
2021/12/22 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、Apache Log4j のリモートコード実行に関する2つの脆弱性 (CVE-2021-44228/CVE-2021-45046) の影響を受ける、Web サービスを特定するためのスキャナのリリースを発表した。
Continue reading “CISA の Apache Log4j スキャナー:CVE-2021-44228 と CVE-2021-45046 に対応”CISA, Five Eyes issue guidance meant to slow Log4Shell attacks
2021/12/22 CyberScoop — 米国の国土安全保障省 (Department of Homeland Security) 傘下の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache の Log4j ソフトウェア・ライブラリに存在する脆弱性により引き起こされる、IT およびクラウド・サービスでの潜在的なリスクに対処する方法について、ベンダーやユーザー組織に対して詳細なガイドを提供するという勧告を発表した。
Continue reading “CISA/FBI/NSA と Five Eyes の共同勧告:Log4Shell 攻撃を遅らせるためのガイダンス”Microsoft Teams bug allowing phishing unpatched since March
2021/12/22 BleepingComputer — Microsoft の発表は、2021年3月以降に報告された Microsoft Teams のリンクプレビュー機能に影響をおよぼす、複数のセキュリティ欠陥について、修正しないか、パッチを延期するというものだった。ドイツの IT セキュリティ・コンサルタント会社 Positive Security の Fabian Bräunlein が発見した4つの脆弱性は、Server-Side Request Forgery (SSRF)、URLプレビューの偽装、IP アドレスの漏洩 (Android) と、Message of Death (Android)と名付けられたサービス拒否 (DoS) につながるものだった。
Continue reading “Microsoft Teams のバグ:3月からフィッシングの脅威にさらされている?”‘Hack DHS’ bug bounty program expands to Log4j security flaws
2021/12/22 BleepingComputer — 米国の国土安全保障省 (Department of Homeland Security : DHS) は、Log4j の脆弱性の影響を受けた DHSシステムを追跡してくれるバグバウンティ・ハンターにも、Hack DHS プログラムを開放することを発表した。
Continue reading “米国の国土安全保障省:Hack DHS バグバウンティ・プログラムを Log4j に拡大”Active Directory Bugs Could Let hackers Take Over Windows Domain Controllers
2021/12/21 TheHackerNews — Microsoft は、11月に対処した Active Directory ドメイン・コントローラの2つのセキュリティ脆弱性に関して、12月12日に PoC ツールを公開し、パッチを適用するよう顧客に呼びかけている。この2つの脆弱性は、CVE-2021-42278 および CVE-2021-42287 として追跡されており、深刻度を示す CVSS 値は 7.5 であり、Active Directory Domain Services (AD DS) コンポーネントに影響を与える特権昇格の欠陥を示す。この2つのバグを発見/報告したのは、Catalyst IT の Andrew Bartlett である。
Continue reading “Active Directory の脆弱性:Windows ドメイン・コントローラ乗っ取りの PoC が公開”Facebook Patches Vulnerability Exposing Page Admin Identity
2021/12/21 SecurityWeek — Facebook は、ページの管理者の身元を明らかにするために、悪用される可能性のある脆弱性について、ネパールの 10代の研究者に $4,750 のバグバウンティ報酬を支払った。このソーシャル・メディア上で、自社ブランドの認知度を高めようとする企業は、この Facebook ページを利用きまるが、ページの管理権限を持つ Facebook の個人アカウントは非公開となっている。
Continue reading “Facebook ページの管理者情報が漏れる脆弱性:ネパールの 19歳が発見して報奨金をゲット”New Log4j Attack Vector Discovered
2021/12/21 DarkReading — 12月9日に公開された Log4j のリモートコード実行 (RCE) の脆弱性だが、それを狙う攻撃への対応を進めている企業は、いくつかの新たな検討事項を念頭に置いている。Blumira のセキュリティ研究者たちは、内部およびローカルに公開された Log4j アプリケーションに対して、JavaScript による WebSocket 接続を介した、RCE の脆弱性がトリガーされる可能性があることを発見した。
Continue reading “Log4j の新たな攻撃ベクター WebSocket と3つの脆弱性に関する整理”WhiteSource Open Source Tool Can Discover Log4j Vulnerabilities
2021/12/20 SecurityBoulevard — WhiteSource は、Log4j ロギング・ソフトウェアの脆弱なインスタンスを検出するための、オープンソース・ツールを公開した。最近になって公開された Log4j の欠陥は、サイバー犯罪者が Java アプリケーションを介して、リモートコード実行 (RCE) 攻撃を仕掛けることを許してしまう。
Continue reading “WhiteSource の OSS Tool:Log4j 脆弱性の発見を容易にする”
IoT OT Security News 
You must be logged in to post a comment.