VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示
米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA)は5月18日(現地時間)、米VMware製品に認証回避や権限昇格の脆弱(ぜいじゃく)性があるとして、政府・行政機関に対策を指示した。 脆弱性が見つかったのは「VMware Workspace ONE Access」「VMware Identity Manager」「VMware vRealize Automation」「VMware Cloud Foundation」「vRealize Suite Lifecycle Manager」といった、クラウドや情報セキュリティに関連する製品。 認証回避の脆弱性(CVE-2022-22972)は、影響度を示すCVSS v3のベーススコアが10点中9.8点で深刻度は「Critical」という。これは2021年12月に見つかっ
サーバ証明書の発行を検知、初期状態のWordPressに侵入する手口が横行 | スラド セキュリティ
サーバ証明書の発行を悪用し、WordPressで作られたサイトをターゲットにする攻撃が指摘されている(The Daily Swig、matsuu序二段さんのツイート)。 The Daily Swig の記事によれば、この攻撃はCertificate Transparency(CT)システムを悪用したもの。CTでは不正な証明書を迅速に発見するため、証明書を直ちに公開ログに記録することが義務づけられている。今回指摘されている攻撃では、悪意のあるハッカーが先の公開ログを監視し、WordPressの新規ドメインを検出すると即座にアクセス、初期インストール状態のWordPressにバックドアを仕掛けるという手法であるようだ。 この攻撃により、TLS証明書が要求されてから数秒から数分のうちにサイトがハッキングされたという証言も複数出てきているとのこと。証明書認証局のLet's EncryptのJosh
【セキュリティ ニュース】「BIND」の「DNS over HTTPS」に脆弱性 - DoS攻撃のおそれ(1ページ目 / 全1ページ):Security NEXT
「BIND 9」にリモートよりDoS攻撃を受けるおそれがある脆弱性が明らかとなった。関係機関ではアップデートを呼びかけている。 「TLSセッション」の破壊により、アサーションエラーが生じてサービス拒否に陥るおそれがある脆弱性「CVE-2022-1183」が明らかとなったもの。「同9.18」系列において「DNS over HTTPS」による接続を許可している場合にのみ影響を受ける。 アップデートをリリースした現地時間5月18日の時点で脆弱性の悪用は確認されていないが、リモートからのDoS攻撃などに悪用されるおそれがある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.0」、脆弱性の重要度は「高(High)」とレーティングされている。 Internet Systems Consortium(ISC)では、脆弱性を修正した「BIND 9.18.3」を公開。脆弱性の公表を受けて、
「不正利用を感知」「PayPayアカウントを停止する」偽SMSに注意
PayPayは5月18日、同社や携帯電話キャリアを装ったSMSを使い、SMS認証を求めるフィッシング詐欺を確認していると、ユーザーに注意を呼び掛けた。 同社や携帯キャリアをかたり、「不正利用を感知したためSMS認証してください」「PayPayアカウントを停止する」「携帯電話料金の未払いがある」などとかたって偽サイトへ誘導し、ログインさせようとする手口を確認したという。 「PayPayのSMS認証は、ユーザーの操作や依頼により行っている。当社からスマホに届くSMSやメールで、SMS認証を依頼するこはない」と説明。不審なSMSを受信した場合は、開かずに削除するよう呼び掛けている。 関連記事 コロナにかかったら、SMS通知が止まらなくなった話 新型コロナウイルス感染症にかかった。それから3週間近く。全快した後も保健所から毎日、コロナ関連のSMSがスマホに届き続けた……。 NHKをかたるフィッシン
WordPressに迫るセキュリティリスク?被害事例から考える代替策とは? | サイバーセキュリティ情報局
WordPressは世界シェア1位のCMSである一方、サイバー攻撃のターゲットにされやすいことで知られる。実際、過去にさまざまな脆弱性を狙った攻撃が発生している。この記事では、WordPressが抱えるセキュリティリスク、実際の被害事例を踏まえ、安全な運用に必要な対策にあわせてWordPressを代替する選択肢についても解説する。 WordPressが抱えるセキュリティリスクとは WordPressは世界で最も多く利用されているCMSであり、そのシェアは6割を超えることが知られている。その圧倒的とも言える利用率の高さが、一方でサイバー犯罪者に狙われやすい理由ともなっている。実際、WordPressを導入したWebサイトを狙う攻撃は後を絶たない。一般的に知られる、WordPressのリスクは以下のとおりだ。 1)不正アクセス 何かしらの脆弱性を突き、攻撃者はWordPressの管理画面やデー
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 住信SBIネット銀行をかたるフィッシング (2022/05/19)
住信SBIネット銀行をかたるフィッシングの報告を受けています。 2022/05/19 11:00 時点では、フィッシングサイトは稼働中であり、 JPCERT/CC にサイト閉鎖のための調査を依頼中です。類似のフィッシングサイトが公開される可能性がありますので、 引き続きご注意ください。 このようなフィッシングサイトにて、認証情報 (ユーザーネーム、WEBログインパスワード)、 WEB取引パスワード、キャッシュカード暗証番号、認証番号表等を、絶対に入力しないよう、ご注意ください。 フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難です。 日頃からサービスへログインする際は、メールや SMS 内のリンクではなく、いつも利用しているスマートフォンの公式アプリや ブラウザーのブックマークなどからアクセスするよう、心がけてください。 フィッシングメール対
JVN#46892984: Rakuten Casa における複数の脆弱性
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品筐体に関する情報を取得可能な第三者によって、root 権限でログインされ任意の操作を実行される - CVE-2022-29525 初期設定で WAN 側からの SSH 接続を受け付ける状態になっており、認証情報を初期設定のまま変更せずにインターネット接続している場合、第三者によって root 権限でログインされ任意の操作を実行される - CVE-2022-28704 初期設定で WAN 側からの HTTP 接続を受け付ける状態になっており、当該製品内部の情報を取得される - CVE-2022-26834
JVNVU#94035450: ISC BINDにおけるサービス運用妨害 (DoS) の脆弱性
ISC(Internet Systems Consortium)が提供するISC BINDには、TLSセッションが早期に切断された場合にアサーションエラーが発生する、サービス運用妨害(DoS)の脆弱性が存在します。 BIND 9.18.0から9.18.2 BIND 9.19.0(BIND 9.19開発用ブランチ) 開発者によると、TLSはDNS over TLS(DoT)およびDNS over HTTPS(DoH)の両方の構成で使用されますが、DoTのみを使用する構成では本脆弱性の影響は受けないとのことです。 named.conf内のlisten-onの記述にhttpへの参照が含まれる場合、TLSセッションが早期に切断されるとアサーションエラーが発生し、namedデーモンが異常終了するサービス運用妨害(DoS)の脆弱性が存在します。
OpenSSF、悪意あるOSSパッケージを検出する「Package Analysis」プロジェクトを発表
OpenSSF、悪意あるOSSパッケージを検出する「Package Analysis」プロジェクトを発表:1カ月の分析で200以上の悪意あるパッケージを特定 OpenSSFは、OSSリポジトリに含まれる悪意あるパッケージを特定するという課題に取り組む「Package Analysis」プロジェクトの最初のプロトタイプ版を発表した。 Open Source Security Foundation(OpenSSF)は2022年4月28日(米国時間)、人気のあるオープンソースソフトウェア(OSS)リポジトリに含まれる悪意あるパッケージを特定するという課題に取り組む、「Package Analysis」プロジェクトの最初のプロトタイプ版を発表した。このプロジェクトでの1カ月の分析によって、「PyPI」「npm」にアップロードされた200以上の悪意あるパッケージを特定したとしている。 OpenSSF
クラウド管理の採用活動に関わる個人情報、公開設定を誤り最長6年間 外部から閲覧可能に | ScanNetSecurity
比較情報サイト運営等を行う東証プライム上場企業の株式会社エイチームは5月16日、採用活動における個人情報漏えいの可能性について発表した。 同社では、クラウドサービス上のファイルで同社グループの採用に関わる個人情報を管理していたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定していたため、リンクを知っていれば誰でも閲覧できる状態であったという。4月7日午前10時頃に、同社監査役から社長室長、管理部長、ITシステム部門マネージャーに報告があり発覚した。
システムに侵入したあと、ペンテスターは何を調査・探索しているのか? | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
〜イエラエセキュリティ 驚異動向レポート 第3回 ペネトレーションテストの実際〜 セキュリティの専門家が攻撃者と同じ視点でシステムに侵入し、機密情報、個人情報などの情報資産の奪取を試みる「ペネトレーションテスト」。脆弱性診断が網羅的にシステムの脆弱性を評価するのに対し、ペネトレーションテストは機密情報、個人情報などの情報資産に対する脅威への対策状況を評価します。 ホワイトハッカーで構成されたセキュリティ脆弱性診断企業、株式会社イエラエセキュリティによる「イエラエセキュリティ 脅威動向レポート」の第3回目は第2回めに続き、イエラエセキュリティ 高度解析課 三村聡志氏と、イエラエセキュリティ ペネトレーションテスト課でさまざまなペネトレーションテストを担当しつつ、「ハッカーの学校 ハッキング実験室」「ハッカーの学校 IoTハッキングの教科書」「ハッカーの技術書」の著書を持つ村島正浩が、システム
2022/05/14 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラ
ハニーポット(仮) 観測記録 2022/05/14分です。 特徴 共通 PHPUnitの脆弱性(CVE-2017-9841)を狙うアクセス zgrabによるスキャン行為 /.envへのスキャン行為 Location:JP Drupalの脆弱性(CVE-2018-7600)を狙うアクセス Dynamicwebの脆弱性(CVE-2022-25369)を狙うアクセス Oracle WebLogicの脆弱性(CVE-2020-14882,CVE-2020-14883,CVE-2020-14750)を狙うアクセス TerraMaster TOSの脆弱性(CVE-2020-15568)を狙うアクセス WordPress Pluginの脆弱性を狙うアクセス クラウド環境のメタデータ情報を狙うアクセス UserAgentがHello, worldであるアクセス を確認しました。 /shellに対する以下の
【セキュリティ ニュース】サービス終えた「ログ解析サービス」のドメインを第三者が取得 - タグの除去徹底を(1ページ目 / 全1ページ):Security NEXT
NTTコムオンライン・マーケティング・ソリューション(NTT COMS)が、以前提供していたアクセスログ解析サービスの関連ドメインを、無関係の第三者が取得したことがわかった。タグが残存すると意図しないコードの実行につながるおそれがあり、同社はタグの除去を呼びかけている。 同社によると、以前提供していたアクセスログ解析サービス「Visionalist」において、サイトのアクセスログ収集に用いていたドメイン「tracer.jp」が第三者によって取得されたもの。 「Visionalist」は、サイトにJavaScriptのタグを埋め込むことでアクセスログを収集、解析できるサービス。2003年から2012年にかけてデジタルフォレストが提供し、その後買収などを経て同社が引き続き運営してきたが2020年7月にサービスを終了している。 あらたな所有者は、5月5日に米国のレジストラを通じて同ドメインを取得
提供終了したアクセス解析ツールのドメインが他者の手に 不審なスクリプトが設置されている可能性も
NTTグループのNTTコム オンライン・マーケティング・ソリューションは5月18日、2020年7月に提供終了した同社のアクセス解析ツール「Visionalist」で使っていたドメインが何者かに取得されたと発表した。情報セキュリティ上問題のあるスクリプトが設置されている可能性があるとしている。 問題のドメインは「tracer.jp」。以前はVisionalistのログ収集システムを置いていたが20年のサービス終了に伴いドメインを廃止していた。ユーザーがWebサイトに設置したアクセス解析用のスクリプトを放置していると、意図せず悪意のある処理が実行される恐れがある。 同社はサービス終了時、ユーザー向けにアクセス解析用スクリプトを削除するよう呼び掛けていたが、今回の件を受けリスク回避のため改めて注意喚起した。 関連記事 ドメイン名の乗っ取りを防ぐサービス ムームードメインで提供開始 GMOペパボは
BIND 9の脆弱性情報(High: CVE-2022-1183)と新バージョン(9.16.28, 9.18.3, 9.19.1 ) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 OSS脆弱性ブログ05/19/2022(JST)に、予告通りBIND 9の脆弱性情報(High: CVE-2022-1183)と新バージョン(9.16.28, 9.18.3, 9.19.1 )が公開されています。脆弱性に関しては9.18.x / 9.19.0が対象で、DNS Over HTTPS (DoH)を使用している場合が対象となります(他のバージョンはメンテナンスリースとなります)。今回は、こちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
AGEST、工場のサイバーセキュリティソリューションを4社と共同で日本市場へ提供開始
株式会社デジタルハーツホールディングス(本社所在地:東京都新宿区、代表取締役社長 CEO:二宮 康真、東証プライム:証券コード3676)の子会社で、先端品質テクノロジーを活用してソフトウエアの品質・安全性向上を支援する株式会社AGEST(本社:東京都新宿区、代表取締役社長: 二宮 康真、以下「AGEST」)は、日本の製造業の工場(Operational Technology、以下OT)セキュリティに関する課題に対応するために、シーメンス株式会社(以下、「シーメンス」)、株式会社アイデン(以下、「アイデン」)、株式会社ネットワークバリューコンポネンツ(以下、「NVC」)、Nozomi Networks, Inc.(以下、「Nozomi」)の4社と協業し、日本国内にDX工場ネットワークというサイバーセキュリティのモデルラインを構築、実証ラインにおける提供を開始しました。 MoU(MEMORAN
新しいSysrv-K - テリロジーワークス
Sysrvはボットネットです。 Sysrvは2020年の年末ごろから動作が観測されているものです。 機能が追加された新しいSysrvの活動が確認されています。 現在のSysrvはこういう感じです。 Spring Cloud Gatewayライブラリの脆弱性を悪用 CVE-2022-22947の悪用です。 これはコードインジェクションが成り立ってしまう脆弱性ですので、パッチが適用されていないホストでのリモートコード実行が可能となるものです。 WordPressの脆弱性の悪用 WordPress構成ファイルからデータベースの資格情報を盗みます。 多くのウェブサーバはそこで動作するアプリケーションで使うデータを連携利用するデータベースサーバに保持し動作するデザインになっています。 その連係動作するデータベースの資格情報を盗みます。 資格情報が入手できた場合、データベースサーバが追加侵害の対象とな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】実証事業でメール送信ミス、参加会員のメアド流出 - 野村不動産(1ページ目 / 全1ページ):Security NEXT
LINE、データクリーンルームソリューションの共同開発とLINEの活用促進に向けトレジャーデータと業務提携
ユミルリンク、SMS・IVRを活用した認証機能を提供する「Cuenote Auth」
Twilio Japanがソフトバンクと協業、固定電話番号で利用できるクラウド音声通話サービスを提供開始
テリロジー、OT/ICS分野にフォーカスしたアセスメントSaaSプラットフォームを提供
「ATOM Cam 2」でクラウド録画が月990円から、ソラコム「ソラカメ」がビジネス向けに提供開始 アトムテックと提携し、初期費用は2980円
思わぬところに抜け道? MSアカウントなしでWindows 11をセットアップする裏技が報告される【やじうまWatch】
「Python 3.9.13」が公開、シリーズ最後のバグフィックスリリース/次期バージョン「Python 3.11」の開発は順調
【セキュリティ ニュース】米政府、VMwareのID管理製品脆弱性で緊急指令 - 侵害確認とパッチ適用求める(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】住信SBIネット銀行の利用者狙うフィッシングに注意(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】楽天モバイルのフェムトセルに複数の脆弱性(1ページ目 / 全2ページ):Security NEXT
産業化するランサムウェア ~ 被害インパクトは攻撃者のスキル高低と関係がない | ScanNetSecurity
順天堂医院の医師が電車内にパソコンを置き忘れ紛失、所属長から厳重注意 | ScanNetSecurity
【セキュリティ ニュース】事務局務める連絡会でメールを誤送信 - 消費者庁(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】採用関連情報がネットより閲覧可能、権限設定ミスで - エイチーム(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】「サイボウズGaroon」に複数の脆弱性 - アップデートで修正(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】VMware製IDアクセス管理製品に重要度「クリティカル」の脆弱性 - 認証回避のおそれ(1ページ目 / 全2ページ):Security NEXT
ソラコム、監視カメラを容易に導入できるクラウドカメラサービス「ソラカメ」を提供