メインコンテンツにスキップ
すべての製品を見る
コンピュート
ストレージ
Databases
ネットワーク
開発者ツール
デリバリー
セキュリティ
サービス
産業分野
料金
コミュニティ
当社と連絡を取る
エクスペリアブログ
カテゴリー
13
  1. クラウド関連の概要
    51
  2. コンピュート
    24
  3. コンテナ(Kubernetes、Docker)
    34
  4. Databases
    21
  5. 開発者ツール
    41
  6. Linode 
    259
  7. Linux
    69
  8. マルチクラウド
    4
  9. ネットワーク
    32
  10. オープンソース
    6
  11. パートナーネットワーク
    7
  12. セキュリティ
    60
  13. ストレージ
    23
著者 55
  1. Alex Leung 2
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Rick Myers 7
  45. Richard Tubb 1
  46. Sal Carrasco 1
  47. Salman Iqbal 1
  48. Stuart Macleod 1
  49. Shawn Michels 1
  50. Linode Support 14
  51. Tom Asaro 18
  52. Travis Baka 2
  53. Talia Nassi 12
  54. Tim Vereecke 1
  55. Yuri Goldfeld 1
ブログセキュリティLinodeセキュリティダイジェスト 2022年9月25日~10月2日号

Linode セキュリティダイジェスト 2022 年 9 月 25 日~10 月 2 日

Linode 
The Linode Security Team
2022年9月26日
Linode セキュリティダイジェスト

今週のダイジェストでは、以下をご紹介します。

  • WordPressプラグイン「WPGateway」に存在するゼロデイ脆弱性
  • Visual Studioのコードに特権昇格の脆弱性
  • Snyk社「State of Cloud Security Report 2022」からのハイライト

WPGatewayプラグインにおけるゼロデイについて

CVE-2022-3180は、WPGatewayとして知られるWordPressプレミアムプラグインの最新バージョンに存在するゼロデイ欠陥で、悪意のある行為者が影響を受けるサイトを完全に乗っ取ることができる可能性があり、野放し状態で活発に悪用されています。WordPress のセキュリティ企業である Wordfence が指摘するように、この脆弱性は CVSS スコア 9.8 であり、WPGateway プラグインを実行しているサイトに悪意のある管理ユーザーを追加するために武器として利用されています。

ウェブサイトが侵害されたかどうかを確認する方法。

  • 最も一般的な指標は、ユーザー名「rangex」の管理者が存在することです。
  • Webサイトが侵害されているかどうかを検出するもう一つの方法は、アクセスログに「//wp-content/plugins/wpgateway/wpgateway-webservice-new.php?wp_new_credentials=1」に対するリクエストが現れるかどうかを調べることですが、これは必ずしも侵害が成功したことを意味するわけではありません。

Wordfence は、この脆弱性の悪用と悪意ある行為者の利用を防止するため、脆弱性の詳細について言及を控えています。また、パッチが提供されるまで、このプラグインを WordPress から削除することを推奨しています。

Visual Studio Codeの特権の昇格

CVE-2022-38020は、VS Code v1.71.0 およびそれ以前のバージョンに存在する特権昇格の脆弱性で、共有の Windows マシンで、低権限の攻撃者は、ターミナルプロファイルが検出される場所にbash.exe 実行ファイルを作成することができるようになります。この検出されたプロファイルは、ターミナルプロファイルのリストに公開され、脆弱なユーザーによって容易に実行することができます。問題となったパスは

  • C:\Cygwin64binbash.exe
  • C:\Cygwin_Binbash.exe
  • C:\ProgramDatascoop ↵apps git-with-openssh current ↵bash.exe

この修正は、VS Code 1.71.1以降で利用可能です。この修正(0b356bf)は、これらのパスをターミナルプロファイルの検出機能から完全に削除することで、この攻撃を緩和します。また、マシンにインストールされていないターミナルプロファイルを実行しないようにするなど、他の回避策も適用可能です。管理者は、問題のフォルダをロックすることができるかもしれません。

Snyk社「State of Cloud Security Report 2022」のハイライト。

  • 80%の企業が昨年中に深刻なクラウドセキュリティインシデントを経験しています。
  • 急成長中の新興企業は、89%が影響を受け、最悪の結果となった。公共部門(政府および非営利団体)もほぼ同様の影響を受けました。
  • ユースケースに基づくインシデントでは、主にデータセンターから移行したアプリケーションをホストするプラットフォームとしてクラウドを使用している企業が、過去1年間に深刻なクラウドセキュリティインシデントを報告した(89%)のに対し、サードパーティ製アプリケーションをホストするためにクラウドを使用している企業は、78%、社内アプリケーションの実行および構築のプラットフォームとしてクラウドを使用しているチームは73%で、これは環境に対する可視性と制御性が高いためであると説明されています。 
  • インフラ as Code (IaC) セキュリティは、クラウドインフラ のセキュリティを SDLC の早い段階(デプロイ前)で検証する機会を提供し、時間の節約と実行時の誤設定問題の頻度の低減を可能にします。
  • IaCセキュリティは設定ミスを70%削減し、生産性の向上と導入スピードの向上というIaCセキュリティのROIは、どちらも中央値で70%に達しています。
  • クラウドセキュリティを向上させるための5つの提言。
  1. 環境を知る。クラウド環境で稼働しているすべてのリソース、各リソースがどのように構成されているか、そしてそれらがどのように相互に関連しているかを常に把握しておくこと。
  2. 予防と安全設計に重点を置くクラウドの侵害を回避する方法は、リソースの誤設定やアーキテクチャの設計上の欠陥など、侵害を可能にする条件を防ぐことである。
  3. クラウド開発者が安全に構築・運用できるようにする。 インフラ コード採用が主流になるにつれ、クラウドエンジニアは SDLC の設計および開発フェーズでセキュリティを適切に確保するためのツールを必要としています。
  4. Policy as Code (PAC)による整合と自動化。セキュリティポリシーが人間の言葉だけで表現され、PDF文書で存在する場合、それは全く存在しないのと同じことかもしれません。
  5. 重要なことを測定し、クラウドセキュリティを運用する。クラウドセキュリティは、運用の規律と適切なプロセスの導入が重要です。

SNYKレポートの全文はこちら。クラウドセキュリティの現状2022」はこちらでご覧いただけます。

こちらもどうぞ...

ハリーとのコンプライアンス・オートメーション

コンプライアンス自動化ツール解説|データと顧客を守る

このビデオでハリーは、コンプライアンス・オートメーションの意義を説明し、Chefのようなコンプライアンス・オートメーション・ツールの使い方を紹介する。
セキュリティ
スティーブ・ウィンターフェルドによるランサムウェア攻撃から身を守る方法。

ランサムウェア攻撃から身を守るには|アカマイ、Steve Winterfeld

このビデオでは、アカマイのアドバイザリー CISO、Steve Winterfeld が、企業がランサムウェア攻撃から身を守る方法についてアドバイスします。
セキュリティ
Wazuhは、Code with Harryを特徴とするサイバーセキュリティの強豪企業である。

Wazuhはサイバーセキュリティの強国|オープンソースセキュリティのエキスパートMonitoring & Response

CodeWithHarry(@CodeWithHarry)は、セキュリティ・データの収集と分析に使用されるオープンソースのセキュリティ・プラットフォーム「Wazuh」を取り上げている。
セキュリティ

コメント 

コメントを残す

あなたのメールアドレスは公開されません。必須項目には*印がついています。