インフォセック簡易まとめ 研究者たちは、globファイルパターンマッチングライブラリのCLIに数年前から存在するリモートコード実行の脆弱性が発見されたことを受け、ユーザーにインストール済みのglobを更新するよう呼びかけています。
Globはワイルドカードを使ってファイルを検索するために利用され、通常はライブラリAPIとして実行され、JavaScriptスタックのほぼすべてで使われています。この脆弱性はglobのCLIツール、特に一致するファイルにコマンドを実行するための–cフラグに存在します。
自動化インフォセック企業AISLEのセキュリティ研究者によって発見されたこの7.5点の脆弱性(CVE-2025-64756)は、すべてのglobユーザーに影響するわけではありません。
問題はここから始まります。Globはデフォルトでshell: trueが有効になっており、globのCLIツールで–cフラグを使用してファイルが見つかった場合、そのファイルがシェルに渡されて実行されます。特にPOSIXシステム(例:Linux、macOS、BSDなど)では、ファイル名に含まれるシェルのメタ文字がコードとして実行されるため、悪意のあるコードが仕込まれたファイル名をglob –cで処理すると、攻撃者の意図通りの動作をしてしまいます。
「実装ではファイル名が信頼できるデータであると仮定していましたが、この仮定は間違っていました」とAISLEの研究者は指摘しています。研究者たちは、この脆弱性が長期間見過ごされてきた理由として、globが週平均1,000万回以上ダウンロードされているにもかかわらず、CLIツールはほとんど使われておらず、「さらに–cがシェル経由で実行されることを知っている人はごくわずか」だからだと推測しています。
Globのバージョンv10.2.0からv11.0.3が脆弱であり、それもPOSIXシステム上でCI/CDパイプやビルドスクリプトがglob –cやglob –cmdを呼び出し、信頼できないソースからのファイルを処理する特定の環境でのみ影響を受けます。
Glob v10.5.0、v11.1.0、v12.0.0でこの問題は修正されています。すべての脆弱性条件に該当するglobユーザーは、できるだけ早くアップデートすることが推奨されます。
CISA、ドローン脅威に警鐘
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は先週、無人航空機システム(UAS、いわゆるドローン)による脅威が増大し続けていることから、重要インフラ管理者に「空の警戒」を呼びかけました。
CISAによれば、ドローンはインフラを損傷させたり人々に危害を加える危険な物質を運搬したり、監視活動を行ったり、さらにはサイバー攻撃を支援する可能性さえあります。
「我々は依然として、重要インフラの敏感な場所上空で懸念されるUAS活動を観測しており、これが通常の施設運用や緊急対応、認可された飛行活動を妨害したり、悪意ある行為者に情報を提供する可能性があります」とCISAは述べています。
同庁は、現在国内外の過激派がドローンを使って攻撃を計画しているという情報は持っていませんが、そうした可能性を検討していることを示す情報はあるとしています。
あなたのDNSはどこを指していますか?
ESETの研究者は、中国系の脅威アクターが使用する「攻撃者中間キット」を発見しました。これはネットワーク上で悪意あるアップデートを配信しつつ、その活動の証拠をほとんど残さない可能性があります。
ESETは、PlushDaemon APTグループが「EdgeStepper」ネットワークインプラントの背後にいると述べています。このインプラントはDNSトラフィックを乗っ取り、脅威アクターが管理する悪意あるノードに送信します。
ベンダーによれば、攻撃者はネットワーク機器上で稼働するソフトウェアの既存の脆弱性を悪用するか、デフォルトまたは弱いパスワードを使ってこれらの機器にアクセスし、EdgeStepperをインストールしていると考えられます。一度インストールされると、EdgeStepperはトラフィックを監視し、ソフトウェアアップデートに関連するドメインへの接続を試みるデバイスを検出すると、そのトラフィックを奪い、悪意あるアップデートパッケージを送り込んで、侵害されたネットワーク上のマシンをさらに感染させます。
Samourai共同創業者が収監へ
暗号通貨洗浄サービスSamourai Walletの共同創業者が収監されることになったと、司法省が先週発表しました。
SamouraiのCEOであるKeonne Rodriguezは最長5年、共同創業者でCTOのWilliam Lonergan Hillは4年の収監となります。司法省によれば、彼らは犯罪者に不正資金の送金先としてサービスを積極的に宣伝していたとされています。
このサービスは8万BTC以上、当時のレートで約20億ドルの資金洗浄に使われていました。
Cox、OracleのE-Business Clop問題に巻き込まれる
メディア大手Cox Enterprisesは、ランサムウェア集団ClopによるBig Redのソフトウェアへの攻撃の結果、Oracle E-Businessインスタンスに保存されていた9,479人分のデータが盗まれたことを認めました。
Coxは先週から漏洩通知の送付を開始しました。The Registerは一部の通知メールを確認しており、顧客名の流出や、他の盗まれた情報を報告するための空欄が含まれていることが記載されています。メイン州の漏洩通知ページにも、何が流出したかの具体的な記載はありません。
Coxは、Cox Communicationsのブロードバンドサービスを含む複数の子会社を持ち、過去にも多くのセキュリティインシデントに巻き込まれています。たとえば、かなり恥ずかしい事件として、従業員がIT部門の一員を装ったハッカーに数十万件の顧客データベースを渡してしまったこともありました。今回は少なくとも第三者の責任にできそうです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/23/infosec_news_in_brief/
