タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
CVSS(Common Vulnerability Scoring System)は、脆弱性管理における基本的な仕組みとして広く利用されており、業界全体のデファクトスタンダードになっています。CVSSはFIRST(Forum of Incident Respones and Security Teams)内に設置されたCVSS-SIG(Special Interest Group)1によって策定され、2023年7月現在の最新バージョンは3.1となっています。2023年6月に次バージョンである4.0のパブリックプレビュー版2が公開されており、寄せられたコメントをレビュー・反映した後、2023年10月を目途にバージョン4.0の公開が予定されています。本稿ではパブリックプレビュー版に基づいて、現行のバージョン3.1との変更点を解説します。また、SSVC(Stakeholder-Specific
「脆弱(ぜいじゃく)性管理」は企業における喫緊の課題です。しかし漢字5文字のわりには考えなければならないことが多く、どう管理するか悩まれている方やどこから手を付けるべきか分からずひとまず見て見ぬ振りをせざるを得ない方もいると思います。 脆弱性管理においては「アップデートパッチが提供されたら速やかに適用する」のがいわゆる鉄則ですが、脆弱性は日々、数え切れないほど生まれます。そしてパッチを適用するには、一通りのテストを実施しなければなりません。「セキュリティ観点からパッチを当てる必要があるとは分かってはいるもののすぐには難しい……」というのが現状なのです。まずは自分たちの組織にとって、本当に緊急の対応が必要な脆弱性と、そうでない脆弱性を区別することから始めましょう。 と言いたいのはやまやまですが、それすら非常に難しいというのが実際に手を動かすと直面する課題でしょう。緊急の脆弱性かどうかを判断す
本文の内容は、2022年4月20日にMiguel Hernándezが投稿したブログAre vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/)を元に日本語に翻訳・再構成した内容となっております。 脆弱性はどこにでもあります。セキュリティ専門家にとって、これらの脆弱性を大規模に調査し、緩和し、是正することは大変な作業です。どの組織も、すべての脆弱性を見つけて修正する能力を持っているわけではないことを心に留めておいてください。重要なのは、脆弱性とは何かを理解し、CVSSスコアの意味を解釈し、制約された時間制限や納期内でリソースの優先順位付けと有効利
長谷川陽介(はせがわようすけ) セキュリティ・キャンプ協議会代表理事 (株)セキュアスカイ・テクノロジー 取締役CTO 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメ ンバー Webブラウザー、Webアプリケーションに 関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ Vuls祭り#8 #vulsjp https://utf-8.jp/
この記事は、 NTT Communications Advent Calendar 2024 14日目の記事です。 脆弱性対応の分野で注目度が高まりつつあるSSVCの概要と、その運用方法について紹介します。 脆弱性対応の課題 公開される脆弱性の増加 実際に悪用される脆弱性は一部に過ぎない 脆弱性の悪用までが高速化 CVSSによる脆弱性のトリアージ SSVCとは SSVCを構成する要素 ステークホルダーのロールの特定 決定すべき優先度(Decision)の特定 Decisionが取りうる値(Outcome)の定義 Outcomeの算出に使う入力の決定(Decision Points) Outcomeの算出方法の決定(Policy) 要素のまとめ 既定のDecision Modelの活用 Deployer Decision Model SSVCの活用 組織に合わせたModelの選択 SSVC運
Zabbixは2024年8月9日(現地時間)、監視ソリューション「Zabbix」に深刻な脆弱(ぜいじゃく)性があると伝えた。この脆弱性が悪用された場合、リモートコード実行の攻撃を受け、システム全体が危険にさらされる可能性がある。 Zabbixはネットワークやサーバ、仮想マシン、クラウドサービスなどのITインフラ全体をリアルタイムで監視し、パフォーマンスデータを収集・分析するオープンソースの監視ソフトウェアだ。シンプルなアプリケーションから大規模なインフラまで、さまざまなITリソースを監視するために利用されている。 ZabbixにCVSS 9.9の脆弱性 急ぎアップデートを 今回報告された脆弱性は「CVE-2024-22116」として特定されている。共通脆弱性評価システム(CVSS)v3.1のスコア値は9.9で深刻度「緊急」(Critical)に分類されている。 影響を受けるバージョンでは制
FreeBSDプロジェクトは2024年9月4日(現地時間)、オープンソースのUNIX系OS「FreeBSD」の深刻な脆弱(ぜいじゃく)性「CVE-2024-43102」に関するセキュリティアドバイザリ「FreeBSD-SA-24:14.umtx」を公開した。これが悪用された場合、任意のコードが実行されてシステムが侵害される可能性がある。 FreeBSDはサーバやネットワーク機器、ストレージシステムなどで広く使用されている。高度なネットワーキング機能やセキュリティ、パフォーマンスに優れており、商用利用にも適した柔軟性を持つことでも知られている。 FreeBSDにCVSSスコア10.0の脆弱性 現時点で回避策はなし CVE-2024-43102はFreeBSDの「_umtx_op(2)」システムコールの処理における問題に起因している。共通脆弱性評価システム(CVSS)V3.1のスコアは10.0
■Known Exploited Vulnerabilities Catalogとは 「Known Exploited Vulnerabilities Catalog」(以下、KEVC)は、米国土安全保障省のCISA(Cybersecurity & Infrastructure Security Agency)が2021年11月3日から公開している情報で名前の通り悪用されたことが知られている脆弱性のカタログです。このカタログに掲載されている脆弱性は2022年2月4日時点で352件で、これらは既に悪用が確認されており、かつ、アメリカの連邦政府に大きな影響を及ぼすため、対応が急がれると判断できるものです。 このカタログに掲載されている項目は以下の通りです。 CVE番号 (CVE) ベンダー/プロジェクト名 (Vendor/Product) 製品脆弱性名 (Vulnerability Name)
GitLabのミュニティーエディションとエンタープライズエディションに「緊急」(Critical)の脆弱性が見つかった。CVSSv3.1のスコア値が「10.0」と最高値が付いているため迅速にアップデートを適用してほしい。
情報処理推進機構(IPA)は9月13日、トレンドマイクロ製品の一部に複数の脆弱性が存在するとして注意喚起した。すでに悪用を確認したものや、影響度を示すCVSS v3のベーススコアが10点中8.2(重要レベル)のものも含まれる。 脆弱性が見つかったのはエンドポイントセキュリティ製品「Trend Micro Apex One」「Trend Micro Apex One SaaS」。悪用されると(1)ログイン認証を回避される、(2)システムにログインできる第三者にDoS攻撃される、(3)管理者権限を盗まれる、(4)管理画面にログインできる第三者に任意のコードを実行される、(5)遠隔地から情報を盗まれる──といった恐れがある。 情報セキュリティ修正パッチは公開済み。IPAはできるだけ早急にパッチを適用するよう呼び掛けている。 関連記事 Microsoftの月例セキュリティ更新パッチ適用を ゼロデイ
コンピュータ情報サイトの「The Hacker News」は2023年1月12日(現地時間)、エンタープライズLinuxの管理ツールである「Control Web Panel」(CWP)に存在する脆弱(ぜいじゃく)性がサイバー攻撃者によって積極的に悪用されていると伝えた。 見つかった脆弱性はCVE-2022-44877として追跡されている。共通脆弱性評価システム(CVSS)のスコア値が9.8と評価されており、深刻度「緊急」(Critical)に分類されている。該当製品を使用している場合は直ちにアップデートを適用してほしい。
CVSS v4.0では、従来のバージョンよりも細かい基本メトリクスが提供されており、スコアリングの曖昧さの低減や脅威メトリクスの簡素化、環境固有のセキュリティ要件や補完的なセキュリティ要件の評価効果が向上している。 脆弱性評価を補足するため「Automatable」(ワーム化可能)「Recovery」(回復力)「Value Density」(価値密度)「Vulnerability Response Effort」(脆弱性対応努力)「Provider Urgency」(提供者の緊急度)など幾つかのメトリクスが追加されている。 また、CVSS v4.0における機能拡張の重要なポイントとしてOT/ICS、IoTへの適用性を高めたことなども注目される。昨今、OT/ICS、IoTはサイバー攻撃者にとって格好の標的となっており、その深刻度を適切に評価する指針が必要になっていた。 その他、CVSSは単な
CVSS v4.0が出ました。 巷ではv3.1からの変更点にフォーカスしたまとめ情報が見られますが、このブログではまっさらな目でCVSS v4.0全体を学びたいと思います。(一応、変更点にも触れます) なお、本ブログでは、実際のセキュリティ運用におけるCVSSの有用性や他の情報(KEV、SSVC、EPSSなど)との組み合わせみたいな話には踏み込みません。あくまでCVSS v4.0の理解に集中します。 今回はFIRSTのspecification documentとFAQから学びます。 CVSSとは?(割愛) CVSSの構成 v3.1から何が変わったのか? 各メトリクスの定義 基本メトリックグループ(Base Metric Group) 悪用可能性メトリクス(Exploitability Metrics) 影響メトリクス(Impact Metrics) 脅威メトリックグループ(Threat
Juniper Networksは2024年6月27日(現地時間)、同社の複数製品に存在する重大な脆弱(ぜいじゃく)性に対応した緊急アップデートを公開した。修正された脆弱性はCVE-2024-2973として特定されており、共通脆弱性評価システム(CVSS)のスコアは10.0で深刻度は「緊急」(Critical)に分類されているため注意が必要だ。 CVSSスコアは10.0 Juniperの複数製品に重大な脆弱性 脆弱性の影響を受ける製品とプラットフォームは以下の通りだ。
オランダのセキュリティ会社であるSecuraが「Zerologon」と名付けた攻撃が話題を集めている。「Zerologon」は特定のNetlogon認証パラメーターに0(ゼロ)を追加することによって攻撃が成立する。Windows ADやドメインコントローラとネットワーク接続が可能な状況であれば、比較的簡単に実行出来るリスクがあり、CVSSスコアも10となっている。 ■本脆弱性の要点 さまざまなフィールドに0が入力されたNetlogonメッセージを多数送信するだけで、攻撃者はADに格納されているドメインコントローラのコンピュータパスワードを変更可能になる。これを使用してドメイン管理者資格情報を取得し、元のDCパスワードを復元できる。 この攻撃の影響は非常に大きく、基本的にはローカルネットワーク(悪意のある内部関係者や、デバイスをオンプレミスのネットワークポートに接続しただけの人など)上のあら
Rustセキュリティレスポンスワーキンググループは2024年4月9日(現地時間)、プログラミング言語「Rust」の標準ライブラリに不適切な引数のエスケープ処理に起因する脆弱(ぜいじゃく)性が存在すると伝えた。 Rustの標準ライブラリにCVSS 10.0の脆弱性 急ぎ対処を この脆弱性は「CVE-2024-24576」として特定されており、CVSSスコアは「10.0」で深刻度「緊急」と評価されている。この脆弱性を悪用した場合、サイバー攻撃者は任意のシェルコマンドを実行できる可能性がある。 Rustセキュリティレスポンスワーキンググループによると、この問題は「Windows」においてAPIを使ってバッチファイルを起動する際に引数を適切にエスケープ処理していないことに原因がある。サイバー攻撃者はこの脆弱性を利用してプロセスに渡される引数を使って任意のシェルコマンドを実行できる。 同ワーキンググ
アンチウイルスエンジン「ClamAV」に「緊急」の脆弱性が見つかった。CVSSスコア値は9.8と発表されている。ClamAVを使用しているCisco製品にもセキュリティアップデートが必要のため、急ぎ対処が求められる。
Apache StrutsにCVSS 9.8の脆弱性 PoC公開後にサイバー攻撃への悪用が始まる:セキュリティニュースアラート
企業・団体で利用するサーバーやパソコン、ネットワーク機器などの機器やソフトウエアに見つかる脆弱性。放っておけば、攻撃者がめざとく見つけて攻撃をしかけてくる。そのスピードはここ2~3年で急速にアップした。企業は速やかな脆弱性対応が必要だ。 極端な話、自分たちが使っている全ての機器のあらゆる脆弱性に速やかに対応すれば良いことになる。だがそれは現実的に不可能な場合が多い。脆弱性の数が多いからだ。 脆弱性の件数は増加傾向にある。米国の国立標準技術研究所(NIST)が管理する脆弱性データベース NVD(National Vulnerability Database)には、日々新しい脆弱性が登録されている。2021年以降は年間2万件を超えた。2024年は5月20日時点で1万6000近く登録され、年間で初めて3万件を超える勢いで増えている。これだけ多くの脆弱性に等しく労力をかけて対応するのは非効率だ。こ
Fortinetは2022年10月10日(現地時間)、PSIRT(Product Security Incident Response Team)アドバイザリで同社の複数製品に深刻度「緊急」(Critical)に分類される脆弱(ぜいじゃく)性(CVE-2022-40684)が存在すると発表した。 Fortinetは既に同脆弱性の悪用が確認されているとし、該当製品を使用している場合は直ちにパッチを適用することを推奨している。
OutlookにCVSS 9.8、「緊急」の脆弱性 急ぎアップデートの適用を:セキュリティニュースアラート MicrosoftはOutlookにCVSSスコア9.8の脆弱性が存在すると伝えた。この脆弱性を悪用する動きが確認されたため、早急なアップデートの適用が望まれる。
「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性 初期パッチで修正漏れ ただちに確認を:セキュリティニュースアラート 「Fortinet FortiSIEM」にCVSS v3.1のスコア10.0脆弱性が見つかった。初期の修正パッチは不十分で類似のセキュリティ脆弱性に対して対応できていなかったと指摘した。簡単に脆弱性を悪用できるため注意が必要だ。該当する製品を使用している場合には確認を行うことが望まれる。
セキュリティ企業Mend.ioは2023年6月22日、同社のブログで、共通脆弱(ぜいじゃく)性評価システム「CVSS」の最新バージョン(CVSS 4.0)が公開プレビューのフェーズに入ったことを紹介した。これは、2023年6月4~9日(カナダ時間)に開催されたFIRST(Forum of Incident Response and Security Teams)の年次カンファレンスで発表された同内容の解説となる。 CVSS 4.0の主な変更点は以下の通り。 基本メトリクスの細分化 新たな測定基準が追加され、より詳細な情報を参照できる。例えば、「攻撃複雑度」(Attack Complexity)は、エクスプロイト工学の複雑さを反映している。「攻撃要件」は攻撃を可能にする脆弱なコンポーネントの前提条件を示している。 スコープ(Scope)指標の廃止 FIRSTによると、これまで使われていたスコ
Cisco Systemsは小規模ビジネス向けのルーターに複数の脆弱性が存在することを伝えた。本稿公開時点では、修正用のアップデートの提供は予定されていない。該当製品を使用している場合は、推奨される緩和策を適用してほしい。
Trend Micro傘下の脆弱(ぜいじゃく)性発見コミュニティーZero Day Initiative(以下、ZDI)は2022年12月22日(現地時間)、Linuxカーネルでファイル共有関連の機能を提供する「ksmbd」にリモートコード実行の脆弱性が存在すると伝えた。 同脆弱性は共通脆弱性評価システム(CVSS)のスコア値が10.0と評価されており、深刻度「緊急」(Critical)に分類されている。該当機能を使用している場合、直ちに情報を確認するとともに、迅速に対処してほしい。
Red Hatは2024年3月29日(現地時間、以下同)、最新バージョンの「XZ Utils」に不正アクセスを意図した悪意あるコードが含まれていたと伝えた。 CVSS v3スコア「10.0」 複数のLinuxディストリビューションに深刻な影響 悪意あるコードはXZ Utilsのバージョン5.6.0および5.6.1に含まれているとされており、「CVE-2024-3094」として特定されている。共通脆弱性評価システム(CVSS) v3のスコア値は「10.0」で深刻度「緊急」(Critical)に分類されている。 XZ Utilsはファイルの圧縮や解凍を実行するツールだ。効率的な圧縮アルゴリズムを提供しており、複数のLinuxディストリビューションなどで採用されている。 Red Hatによると、XZ Utilsのバージョン5.6.0および5.6.1には悪意あるコードが難読化された状態で仕込まれて
Microsoftは2024年8月13日(現地時間)、複数の「Windows」製品に影響を及ぼす深刻な脆弱(ぜいじゃく)性があることを発表した。Windows TCP/IPスタックに存在する欠陥とされ、これを悪用された場合、攻撃者によるリモートコード実行が可能になる恐れがある。 Windows製品にCVSS 9.8の脆弱性 広範囲に影響を及ぼすため要注意 この脆弱性は「CVE-2024-38063」として追跡されており、共通脆弱性評価システム(CVSS) v3.1のスコア値は9.8、深刻度「緊急」(Critical)に分類されている。MicrosoftはCVE-2024-38063について悪用される可能性が高いとしており、ユーザーに注意喚起している。 この脆弱性の影響を受けるWindows製品は多岐にわたる。対象となるWindows製品は以下の通りだ。 Windows 11 Version
E.V.A Information Securityは2024年7月1日(現地時間)、「iOS」向けのライブラリ管理ツール「CocoaPods」に複数の重大な脆弱(ぜいじゃく)性が存在すると伝えた。 これらの脆弱性は「CVE-2024-38368」「CVE-2024-38366」「CVE-2024-38367」として特定されており、これらを悪用されるとGoogleやGitHub、Amazonなどが管理するプロジェクトの依存関係に影響を及ぼす可能性がある。特にCVE-2024-38366のCVSSスコアは10.0と評価されているため注意が必要だ。 CVSSスコアは10.0 重大なソフトウェアサプライチェーンのリスク 発見された脆弱性は以下の通りだ。 CVE-2024-38368(CVSSスコア:9.3、深刻度:Critical): 2014年にtrunkサーバに移行したことによる影響とされて
EPSSは共通脆弱性評価システム(CVSS)やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。 業界では脆弱性のスコア値としてCVSSがデファクトスタンダードのポジションにある。このスコアは十分に機能しているが危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。 Mend.ioはCVSSとEPSSの使い分けとして以下のアドバイスを送った。
Cisco ExpresswayにCVSS9.6の脆弱性 回避策はないため急ぎアップデートを:セキュリティニュースアラート CiscoはCisco Expresswayにクロスサイトリクエストフォージェリーの脆弱性が存在すると発表した。この脆弱性はCVSSスコアで9.6、深刻度「緊急」(Critital)と評価されている。
CVSS(共通脆弱性評価システム)3.0から3.1への変更点:OpenSCAPで脆弱性対策はどう変わる?(7) 本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CVSS 3.0から3.1への変更点について。 OSSセキュリティ技術の会の面和毅です。本連載「OpenSCAPで脆弱性対策はどう変わる?」では、実質的にグローバルスタンダードの「SCAP(Security Content Automation Protocol:セキュリティ設定共通化手順)」、およびそれを基にシステム構成や脆弱(ぜいじゃく)性の検査を行うためのOSS(オープンソースソフトウェア)ツール「OpenSCAP」や、その周辺の技術、用語などを紹介してい
Apache Software Foundationは2024年11月26日(現地時間)、オープンソースソフトウェア(OSS)のWebアプリケーションフレームワーク「Apache Struts」に深刻な脆弱(ぜいじゃく)性が存在することを伝えた。 この脆弱性が悪用された場合、リモートから任意のコードが実行され、システムが侵害される可能性がある。 Apache StrutsにCVSS 9.5の致命的な脆弱性、アップデート必須 指摘されている脆弱性は以下の通りだ。 CVE-2024-53677: Apache Strutsのファイルアップロードロジックにある脆弱性。攻撃者はファイルアップロードパラメーターを操作することでパストラバーサルが可能となる。状況によっては悪意のあるファイルをアップロードしてリモートコードが実行される可能性がある。深刻度は共通脆弱性評価システム(CVSS)v4.0のスコ
「VISS」はCVSSとどう違う? ZVCが新たな脆弱性評価フレームワークを公開:セキュリティニュースアラート ZVCは脆弱性を評価するスコアリングシステム「Vulnerability Impact Scoring System(VISS) version 1.0.0」を公開した。こうした評価制度のデファクトスタンダードであるCVSSとは何が異なるのか。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
