XSS – IoT OT Security News

WordPress プラグイン Advanced Custom Fields：XSS 脆弱性 CVE-2023-30777 が FIX

WordPress custom field plugin bug exposes over 1M sites to XSS attacks

2023/05/05 BleepingComputer — セキュリティ研究者たちは、数百万件のレベルでインストールされている、WordPress プラグイン Advanced Custom Fields と Advanced Custom Fields Pro が、XSS (Cross-Site Scripting) 攻撃に対して脆弱であると警告している。この２つのプラグインは、WordPress で最も人気のあるカスタム・フィールド・ビルダーであり、世界中のサイトに 2,000,000 のアクティブ・インストールが存在している。2023年5月2日に、Patchstack の研究者である Rafie Muhammad は、これらのプラグインで深刻な反射型 XSS の欠陥を発見し、この脆弱性には識別子 CVE-2023-30777 が付与された。

Microsoft Azure SFX の深刻な脆弱性：Super FabriXss と命名された CVE-2023-23383

Researchers Detail Severe “Super FabriXss” Vulnerability in Microsoft Azure SFX

2023/03/30 TheHackerNews — Azure Service Fabric Explorer (SFX) に存在する、未認証のリモートコード実行につながる脆弱性の詳細が明らかになったが、すでにパッチが適用されたという。この脆弱性 CVE-2023-23383 (CVSS：8.2) は、2022年10月に Microsoft が修正した脆弱性 FabriXss (CVE-2022-35829 CVSS：6.2) にちなんで、Super FabriXss という名前が ORCA Security により付けられた。

金融サービス Web App／API への攻撃が 257% の急増：Akamai の調査レポート2022

Web App and API Attacks Surge 257% in Financial Services

2022/11/29 InfoSecurity — クラウド・セキュリティ・ベンダーの Akamai によると、過去 12ヶ月間に検出された Web アプリケーション／API への攻撃は、金融サービス分野においては前年比 3.5 倍に急増し、あらゆる業種の中で最多となっているという。同社の最新レポート Enemy at the Gates は、2021年10月1日から 2022年9月26日までの世界の顧客トラフィックの分析に基づいたものとなっている。

Cisco Identity Services Engine の２つの XSS 脆弱性：パッチ適用と PoC までの間の対策とは？

Vulnerabilities in Cisco Identity Services Engine require your attention (CVE-2022-20822, CVE-2022-20959)

2022/10/21 HelpNetSecurity — Cisco は、Cisco Identity Services Engine (ISE) の管理者に対して、同プロダクトに存在する２つの脆弱性 CVE-2022-20822／CVE-2022-20959 への注意喚起を発表した。これらの悪用に成功した驚異アクターは、影響を受けるデバイス上のファイルの読み取りや削除／任意のスクリプトの実行／機密情報へのアクセスなどが可能になる。

Canon Medical の脆弱性 CVE-2022-37461：患者情報の流出を Trustwave が警告

Canon Medical Product Vulnerabilities Expose Patient Information

2022/09/30 SecurityWeek — Trustwave は、Canon Medical の医療画像共有ツール Vitrea View に、２つのクロスサイト・スクリプティング (XSS：cross-site scripting) の脆弱性が存在すると、医療機関に警告を発している。企業向け閲覧ソリューションとして知られる Vitrea View は、医療機関／医師／放射線技師などが医療画像を安全に共有するために使用され、デスクトップ／モバイルデバイスの両方でブラウザからアクセスができる。

Brute Ratel ポスト・エクスプロイト・キットのクラック版：残念なことに蔓延の兆し

Hackers now sharing cracked Brute Ratel post-exploitation kit online

2022/09/28 BleepingComputer — Brute Ratel のポスト・エクスプロイト・ツールキットがクラックされ、ロシア語圏と英語圏のハッキング・コミュニティで無料で共有されている。Brute Ratel C4 (BRC4) を知らない人のために説明すると、これは Mandiant と CrowdStrike の元レッドチーマーである、Chetan Nayak が作成したポスト・エクスプロイト・ツールキットのことである。

Zimbra ゼロデイ脆弱性：未知の脅威アクターが電子メールを盗み出している

Zimbra zero-day vulnerability actively exploited to steal emails

2022/02/03 BleepingComputer — Zimbra におけるクロス・サイト・スクリプティング (XSS) の脆弱性が、ヨーロッパのメディアや政府機関を標的とした攻撃で積極的に悪用されている。Zimbra は、Eメール／コラボレーション・プラットフォームであり、インスタント・メッセージング／コンタクト・リスト／ビデオ会議／ファイル共有／クラウド・ストレージなどの機能も備えている。Zimbra によると、1,000以上の政府機関や金融機関を含め、140カ国以上の20万以上の企業が、同社のソフトウェアを使用しているとのことだ。

中小企業で活用される３つの OSS プロジェクトに９つの脆弱性が

Several Bugs Found in 3 Open-Source Software Used by Several Businesses

2021/07/27 TheHackerNews — この火曜日に、サイバー・セキュリティ研究者たちは、いくつかの中小企業で広く利用されている EspoCRM / Pimcore / Akaunting という、３つの OSS プロジェクトに影響を与える、９つの脆弱性を公開した。この脆弱性が悪用されると、より高度な攻撃への道が開かれてしまう可能性がある。EspoCRM v6.1.6 および、Pimcore Customer Data Framework v3.0.0、Pimcore AdminBundle v6.8.0、Akaunting v2.1.12 に影響を与えるセキュリティ上の欠陥は、公開後１日以内に修正されたと、Nokia の研究者である Wiktor Sędkowski と Rapid7の Trevor Christiansen は指摘している。

Paradise Ransomware の全ソースコードがハッキング・フォーラムで共有されている

Paradise Ransomware source code released on a hacking forum

2021/06/15 BleepingComputer — Paradise Ransomware の全ソースコードがハッキング・フォーラムで公開されたことで、サイバー犯罪者による独自のランサムウェア開発環境が整っていく。ハッキング・フォーラム XSS 上で公開されたソースコードへのリンクは、このサイトの投稿に返信または反応したことのある、アクティブ・ユーザーのみがアクセスできる。