タグ: CVE脆弱性

infosecurity-magazine.com

FortinетおよびIvantiの脆弱性悪用でラテンアメリカのインフラが標的に

ラテンアメリカ各国の政府機関・金融機関を狙った組織的なサイバー攻撃キャンペーンが、攻撃者自身のミスによって全貌を明らかにされました。ステージングサーバーがインターネット上に誤って公開されたことが、その発端です。 CloudSEKが公開した新たな分析レポートによると、同社の研究者が2026年初頭に攻撃グループのサーバー上

meterpreter.org

カスケード型侵害:ゼロクリックでUniFi OSサーバーにrootアクセスをもたらすエクスプロイトチェーン

単一のネットワーク管理サーバーが、壊滅的な侵入口へと変貌する可能性があります。重要なソフトウェアのアップデートを先送りにすることは、企業のセキュリティリスクを指数関数的に高めます。Bishop Foxのセキュリティ研究者たちが、深刻なアーキテクチャ上の脅威を明らかにしました。具体的には、Ubiquiti UniFi

gbhackers.com

ハッカーがFreePBXシステムで6層の永続化を使用

ハッカーは高い回復力を持つ6層の永続化メカニズムを使用してFreePBXシステムを積極的に悪用しています。このキャンペーンは、2019年以来VoIPインフラを金銭目的で標的にしていることで知られる脅威アクター「INJ3CTOR3」に高い信頼度で帰属しています。 この作戦は、既知のZenharRウェブシェルとともに、J

infosecurity-magazine.com

新しいLinuxカーネル脆弱性の禁止期間破れに続く急いでのパッチ提供

主要なLinuxディストリビューションが、開示禁止期間が破られた後、2つの新しい脆弱性を修正するために急いでいます。 Linuxカーネルのサブシステムにおける2つの連鎖した問題で構成される脆弱性であり、「Dirty Frag」として知られるこの脆弱性は、2026年4月末に独立したセキュリティ研究者Hyunwoo Kim

malwarebytes.com

2026年5月のパッチチューズデー:ゼロデイはなし、でも修正すべき脆弱性は多数

今月のパッチチューズデーは137個のセキュリティ脆弱性を修正し、そのうち31個はMicrosoftによって重大と判定されています。野生で悪用されているゼロデイはありません。 Microsoftはゼロデイを「公式なパッチやセキュリティアップデートがまだ利用可能でないソフトウェアの欠陥」と定義しています。今月、Mic

cyberpress.org

CVE提出が2020年以降263%急増。NISTがリスクベースのNVDモデルへシフト

NISTは、脆弱性提出の急増を受け、国立脆弱性データベース(NVD)の管理方法を大幅に改善し、リスクベースのモデルへシフトすると発表しました。 この変更は、2020年から2025年の間に共通脆弱性識別子(CVE)の提出が263%増加したことに伴うもので、報告されたすべての欠陥を分析する同機関の能力に大きな圧力をかけて

therecord.media

NIST、提出量増加に伴いCVEエントリへの作業を制限へ

米国国立標準技術研究所(NIST)は、サイバーセキュリティ脆弱性を追跡するシステムに重大な変更を加えることを発表し、バグ提出が毎年指数関数的に増加していることを認めました。 NISTは、特定の基準を満たす脆弱性の記録にのみ詳細情報を追加すると述べ、サイバーセキュリティ脆弱性と露出(CVE)のすべてを分類する長年の使

cyberpress.org

中東の重要インフラ攻撃に先立つ12,000以上のシステムがスキャン

Oasis Security研究者は、中東の重要インフラに対する標的型攻撃に先立ち、インターネットに露出した12,000以上のシステムをスキャンした、高度に調整されたサイバーキャンペーンを発見しました。 2月初旬から活動しているこの作戦は、MuddyWater脅威グループに以前に関連付けられた戦術に類似した、構造化さ

malwarebytes.com

4月のパッチチューズデーが2つのゼロデイを修正、その1つは既に攻撃が行われている

今月のパッチチューズデーでは、2つのゼロデイ脆弱性を含む167のセキュリティ脆弱性を修正する予定です。そのうち1つは既に野生下で積極的に悪用されています。 4月はサーバーとエンドポイントからネットワークギア、ブラウザ、モバイルデバイスに至るまで、「スタック全体にパッチを当てる」月になります。しかし、その代わりにド