NGINXとMicrosoft Windows SMB Remote Procedure Callサービスにおけるソフトウェアの脆弱性に先手を打つ。
セキュリティとデータ保護に関しては、最新の開発状況への迅速な対応が重要です。ハッキングや脅威はいつでもやってくるので、常に警戒することが重要です。私たちは Secure Code Warrior私たちは、最新の脆弱性、リスク軽減のための措置、ユーザーの保護方法など、最新の情報を提供するよう努めています。先日、Springライブラリの脆弱性についてお知らせしたように、今回も新たに発見された2つの脆弱性についてご紹介します。
本日は、2つの新しい脆弱性(1つ目はMicrosoftのServer Message Block、通称「Windows RPC RCE」、2つ目はNGINXの「LDAP Reference Implementation」)に焦点を当てます。
これらの脆弱性に関して、これまでに判明していることと、リスクを軽減するためにできることをご紹介します。
Microsoft Windows RPC RCE - CVE-2022-26809
4月のパッチチューズデーで、マイクロソフトはServer Message Block (SMB) 機能、特にRPCを扱う部分に脆弱性があることを公表しました。この脆弱性は、2003年にワームブラスターによって利用されたCVE-2003-0352と類似しているため、聞き覚えがあるかもしれません!
悪用されるリスクと可能性はどの程度か?
マイクロソフトのアドバイザリーでは、「攻撃の複雑さ」は「低」、悪用リスクは「悪用の可能性が高い」と評価されており、実際に悪用が証明されていない場合の最高レベルとなっています。
現在のところ、既知の悪用はありませんが、攻撃の複雑性が低く、「より可能性の高い」悪用であるため、assessment 、悪意のある行為者がBlaster攻撃を通じて迅速かつ容易に利用することが懸念されています。
研究者は、公衆インターネット上で139/445番ポートにアクセス可能なホストを多数確認しており、大規模な探査が行われた場合、かなり心配な状況であると言えます。
リスクを軽減するために、ユーザーはどのような手段を取るべきでしょうか?
幸いなことに、この脆弱性を悪用されるリスクを軽減することは比較的容易です。
- インターネットからの139番と445番ポートへのアクセスを確実に遮断し、アクセスが必要な場合は内部からのアクセスのみに制限します。詳しくは、マイクロソフトのドキュメントを参照してください。
- 2022年4月12日にマイクロソフトが公開したパッチを適用してください。
NGINX - LDAPリファレンス実装RCE
NGINXは、2022年4月11日、システム上でリモートコード実行(RCE)が可能な「LDAP Reference Implementation RCE」という新たな脆弱性を公開しました。
脆弱性とは何ですか?
この脆弱性の特徴は、本番環境や一般的に機密性の高いシステムで使用されることを想定したコードに影響を与えないことです。むしろ、名前に「参照実装」とあるように、このコードの目的は、NGINX のセットアップで LDAP の統合がどのように機能するかを実証することです。
誰が危険にさらされるのか、そしてコードを守るために何をすべきなのか。
幸いなことに、NGINXはデフォルトでは脆弱性はありません。主なリスクは、LDAPエクステンションがインストールされている場合です。その場合でも、脆弱性が悪用されるためには、他の複数の条件も満たされる必要があります。もしリファレンス実装を使用しているのであれば、必ずプロダクションレディの実装に切り替えることをお勧めします。
詳細については、NGINXの情報開示をご覧ください。
脆弱性が露呈していると感じていますか?私たちがお手伝いします。
今日のWindows RPC RCEやNGINX - LDAP Reference Implementation RCEから先月のSpringの脆弱性まで、ソフトウェアの脆弱性は常に存在していることがわかります。
多くの企業は、コードや顧客に対するリスクを軽減するために、迅速な対応策に注力しています。しかし、これは後手に回るアプローチであり、重要ではあるものの、リスクを残したままになってしまう可能性があります。私たちは、安全なコードの構築、開発者のスキルアップ、そしてセキュリティに重点を置いた企業文化の醸成のためのプロアクティブな戦略が、脅威から自らを守る最善の方法であると信じています。
ソフトウェア開発ライフサイクルの開始時に開発者主導のセキュリティを重視することは、保護機能の強化、より効率的なコード展開、そして時間とコストの節約につながります。
Secure Code Warrior 教育的なコンテンツから、新しいスキルの実践的な応用まで、独自のトレーニングプラットフォームで支援します。
をご覧ください。 Secure Code Warrior learning platformは、セキュアコーディングのための開発者育成を支援します。
最近、NGINXがゼロデイ脆弱性を公開しました。同じ頃、Microsoftは、Windows RPC RCEの脆弱性という別の重要な脆弱性を公開しました。この投稿では、この2つの問題のリスクにさらされているのは誰か、どのようにリスクを軽減すればよいかを説明します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
セキュリティとデータ保護に関しては、最新の開発状況への迅速な対応が重要です。ハッキングや脅威はいつでもやってくるので、常に警戒することが重要です。私たちは Secure Code Warrior私たちは、最新の脆弱性、リスク軽減のための措置、ユーザーの保護方法など、最新の情報を提供するよう努めています。先日、Springライブラリの脆弱性についてお知らせしたように、今回も新たに発見された2つの脆弱性についてご紹介します。
本日は、2つの新しい脆弱性(1つ目はMicrosoftのServer Message Block、通称「Windows RPC RCE」、2つ目はNGINXの「LDAP Reference Implementation」)に焦点を当てます。
これらの脆弱性に関して、これまでに判明していることと、リスクを軽減するためにできることをご紹介します。
Microsoft Windows RPC RCE - CVE-2022-26809
4月のパッチチューズデーで、マイクロソフトはServer Message Block (SMB) 機能、特にRPCを扱う部分に脆弱性があることを公表しました。この脆弱性は、2003年にワームブラスターによって利用されたCVE-2003-0352と類似しているため、聞き覚えがあるかもしれません!
悪用されるリスクと可能性はどの程度か?
マイクロソフトのアドバイザリーでは、「攻撃の複雑さ」は「低」、悪用リスクは「悪用の可能性が高い」と評価されており、実際に悪用が証明されていない場合の最高レベルとなっています。
現在のところ、既知の悪用はありませんが、攻撃の複雑性が低く、「より可能性の高い」悪用であるため、assessment 、悪意のある行為者がBlaster攻撃を通じて迅速かつ容易に利用することが懸念されています。
研究者は、公衆インターネット上で139/445番ポートにアクセス可能なホストを多数確認しており、大規模な探査が行われた場合、かなり心配な状況であると言えます。
リスクを軽減するために、ユーザーはどのような手段を取るべきでしょうか?
幸いなことに、この脆弱性を悪用されるリスクを軽減することは比較的容易です。
- インターネットからの139番と445番ポートへのアクセスを確実に遮断し、アクセスが必要な場合は内部からのアクセスのみに制限します。詳しくは、マイクロソフトのドキュメントを参照してください。
- 2022年4月12日にマイクロソフトが公開したパッチを適用してください。
NGINX - LDAPリファレンス実装RCE
NGINXは、2022年4月11日、システム上でリモートコード実行(RCE)が可能な「LDAP Reference Implementation RCE」という新たな脆弱性を公開しました。
脆弱性とは何ですか?
この脆弱性の特徴は、本番環境や一般的に機密性の高いシステムで使用されることを想定したコードに影響を与えないことです。むしろ、名前に「参照実装」とあるように、このコードの目的は、NGINX のセットアップで LDAP の統合がどのように機能するかを実証することです。
誰が危険にさらされるのか、そしてコードを守るために何をすべきなのか。
幸いなことに、NGINXはデフォルトでは脆弱性はありません。主なリスクは、LDAPエクステンションがインストールされている場合です。その場合でも、脆弱性が悪用されるためには、他の複数の条件も満たされる必要があります。もしリファレンス実装を使用しているのであれば、必ずプロダクションレディの実装に切り替えることをお勧めします。
詳細については、NGINXの情報開示をご覧ください。
脆弱性が露呈していると感じていますか?私たちがお手伝いします。
今日のWindows RPC RCEやNGINX - LDAP Reference Implementation RCEから先月のSpringの脆弱性まで、ソフトウェアの脆弱性は常に存在していることがわかります。
多くの企業は、コードや顧客に対するリスクを軽減するために、迅速な対応策に注力しています。しかし、これは後手に回るアプローチであり、重要ではあるものの、リスクを残したままになってしまう可能性があります。私たちは、安全なコードの構築、開発者のスキルアップ、そしてセキュリティに重点を置いた企業文化の醸成のためのプロアクティブな戦略が、脅威から自らを守る最善の方法であると信じています。
ソフトウェア開発ライフサイクルの開始時に開発者主導のセキュリティを重視することは、保護機能の強化、より効率的なコード展開、そして時間とコストの節約につながります。
Secure Code Warrior 教育的なコンテンツから、新しいスキルの実践的な応用まで、独自のトレーニングプラットフォームで支援します。
をご覧ください。 Secure Code Warrior learning platformは、セキュアコーディングのための開発者育成を支援します。
セキュリティとデータ保護に関しては、最新の開発状況への迅速な対応が重要です。ハッキングや脅威はいつでもやってくるので、常に警戒することが重要です。私たちは Secure Code Warrior私たちは、最新の脆弱性、リスク軽減のための措置、ユーザーの保護方法など、最新の情報を提供するよう努めています。先日、Springライブラリの脆弱性についてお知らせしたように、今回も新たに発見された2つの脆弱性についてご紹介します。
本日は、2つの新しい脆弱性(1つ目はMicrosoftのServer Message Block、通称「Windows RPC RCE」、2つ目はNGINXの「LDAP Reference Implementation」)に焦点を当てます。
これらの脆弱性に関して、これまでに判明していることと、リスクを軽減するためにできることをご紹介します。
Microsoft Windows RPC RCE - CVE-2022-26809
4月のパッチチューズデーで、マイクロソフトはServer Message Block (SMB) 機能、特にRPCを扱う部分に脆弱性があることを公表しました。この脆弱性は、2003年にワームブラスターによって利用されたCVE-2003-0352と類似しているため、聞き覚えがあるかもしれません!
悪用されるリスクと可能性はどの程度か?
マイクロソフトのアドバイザリーでは、「攻撃の複雑さ」は「低」、悪用リスクは「悪用の可能性が高い」と評価されており、実際に悪用が証明されていない場合の最高レベルとなっています。
現在のところ、既知の悪用はありませんが、攻撃の複雑性が低く、「より可能性の高い」悪用であるため、assessment 、悪意のある行為者がBlaster攻撃を通じて迅速かつ容易に利用することが懸念されています。
研究者は、公衆インターネット上で139/445番ポートにアクセス可能なホストを多数確認しており、大規模な探査が行われた場合、かなり心配な状況であると言えます。
リスクを軽減するために、ユーザーはどのような手段を取るべきでしょうか?
幸いなことに、この脆弱性を悪用されるリスクを軽減することは比較的容易です。
- インターネットからの139番と445番ポートへのアクセスを確実に遮断し、アクセスが必要な場合は内部からのアクセスのみに制限します。詳しくは、マイクロソフトのドキュメントを参照してください。
- 2022年4月12日にマイクロソフトが公開したパッチを適用してください。
NGINX - LDAPリファレンス実装RCE
NGINXは、2022年4月11日、システム上でリモートコード実行(RCE)が可能な「LDAP Reference Implementation RCE」という新たな脆弱性を公開しました。
脆弱性とは何ですか?
この脆弱性の特徴は、本番環境や一般的に機密性の高いシステムで使用されることを想定したコードに影響を与えないことです。むしろ、名前に「参照実装」とあるように、このコードの目的は、NGINX のセットアップで LDAP の統合がどのように機能するかを実証することです。
誰が危険にさらされるのか、そしてコードを守るために何をすべきなのか。
幸いなことに、NGINXはデフォルトでは脆弱性はありません。主なリスクは、LDAPエクステンションがインストールされている場合です。その場合でも、脆弱性が悪用されるためには、他の複数の条件も満たされる必要があります。もしリファレンス実装を使用しているのであれば、必ずプロダクションレディの実装に切り替えることをお勧めします。
詳細については、NGINXの情報開示をご覧ください。
脆弱性が露呈していると感じていますか?私たちがお手伝いします。
今日のWindows RPC RCEやNGINX - LDAP Reference Implementation RCEから先月のSpringの脆弱性まで、ソフトウェアの脆弱性は常に存在していることがわかります。
多くの企業は、コードや顧客に対するリスクを軽減するために、迅速な対応策に注力しています。しかし、これは後手に回るアプローチであり、重要ではあるものの、リスクを残したままになってしまう可能性があります。私たちは、安全なコードの構築、開発者のスキルアップ、そしてセキュリティに重点を置いた企業文化の醸成のためのプロアクティブな戦略が、脅威から自らを守る最善の方法であると信じています。
ソフトウェア開発ライフサイクルの開始時に開発者主導のセキュリティを重視することは、保護機能の強化、より効率的なコード展開、そして時間とコストの節約につながります。
Secure Code Warrior 教育的なコンテンツから、新しいスキルの実践的な応用まで、独自のトレーニングプラットフォームで支援します。
をご覧ください。 Secure Code Warrior learning platformは、セキュアコーディングのための開発者育成を支援します。
セキュリティとデータ保護に関しては、最新の開発状況への迅速な対応が重要です。ハッキングや脅威はいつでもやってくるので、常に警戒することが重要です。私たちは Secure Code Warrior私たちは、最新の脆弱性、リスク軽減のための措置、ユーザーの保護方法など、最新の情報を提供するよう努めています。先日、Springライブラリの脆弱性についてお知らせしたように、今回も新たに発見された2つの脆弱性についてご紹介します。
本日は、2つの新しい脆弱性(1つ目はMicrosoftのServer Message Block、通称「Windows RPC RCE」、2つ目はNGINXの「LDAP Reference Implementation」)に焦点を当てます。
これらの脆弱性に関して、これまでに判明していることと、リスクを軽減するためにできることをご紹介します。
Microsoft Windows RPC RCE - CVE-2022-26809
4月のパッチチューズデーで、マイクロソフトはServer Message Block (SMB) 機能、特にRPCを扱う部分に脆弱性があることを公表しました。この脆弱性は、2003年にワームブラスターによって利用されたCVE-2003-0352と類似しているため、聞き覚えがあるかもしれません!
悪用されるリスクと可能性はどの程度か?
マイクロソフトのアドバイザリーでは、「攻撃の複雑さ」は「低」、悪用リスクは「悪用の可能性が高い」と評価されており、実際に悪用が証明されていない場合の最高レベルとなっています。
現在のところ、既知の悪用はありませんが、攻撃の複雑性が低く、「より可能性の高い」悪用であるため、assessment 、悪意のある行為者がBlaster攻撃を通じて迅速かつ容易に利用することが懸念されています。
研究者は、公衆インターネット上で139/445番ポートにアクセス可能なホストを多数確認しており、大規模な探査が行われた場合、かなり心配な状況であると言えます。
リスクを軽減するために、ユーザーはどのような手段を取るべきでしょうか?
幸いなことに、この脆弱性を悪用されるリスクを軽減することは比較的容易です。
- インターネットからの139番と445番ポートへのアクセスを確実に遮断し、アクセスが必要な場合は内部からのアクセスのみに制限します。詳しくは、マイクロソフトのドキュメントを参照してください。
- 2022年4月12日にマイクロソフトが公開したパッチを適用してください。
NGINX - LDAPリファレンス実装RCE
NGINXは、2022年4月11日、システム上でリモートコード実行(RCE)が可能な「LDAP Reference Implementation RCE」という新たな脆弱性を公開しました。
脆弱性とは何ですか?
この脆弱性の特徴は、本番環境や一般的に機密性の高いシステムで使用されることを想定したコードに影響を与えないことです。むしろ、名前に「参照実装」とあるように、このコードの目的は、NGINX のセットアップで LDAP の統合がどのように機能するかを実証することです。
誰が危険にさらされるのか、そしてコードを守るために何をすべきなのか。
幸いなことに、NGINXはデフォルトでは脆弱性はありません。主なリスクは、LDAPエクステンションがインストールされている場合です。その場合でも、脆弱性が悪用されるためには、他の複数の条件も満たされる必要があります。もしリファレンス実装を使用しているのであれば、必ずプロダクションレディの実装に切り替えることをお勧めします。
詳細については、NGINXの情報開示をご覧ください。
脆弱性が露呈していると感じていますか?私たちがお手伝いします。
今日のWindows RPC RCEやNGINX - LDAP Reference Implementation RCEから先月のSpringの脆弱性まで、ソフトウェアの脆弱性は常に存在していることがわかります。
多くの企業は、コードや顧客に対するリスクを軽減するために、迅速な対応策に注力しています。しかし、これは後手に回るアプローチであり、重要ではあるものの、リスクを残したままになってしまう可能性があります。私たちは、安全なコードの構築、開発者のスキルアップ、そしてセキュリティに重点を置いた企業文化の醸成のためのプロアクティブな戦略が、脅威から自らを守る最善の方法であると信じています。
ソフトウェア開発ライフサイクルの開始時に開発者主導のセキュリティを重視することは、保護機能の強化、より効率的なコード展開、そして時間とコストの節約につながります。
Secure Code Warrior 教育的なコンテンツから、新しいスキルの実践的な応用まで、独自のトレーニングプラットフォームで支援します。
をご覧ください。 Secure Code Warrior learning platformは、セキュアコーディングのための開発者育成を支援します。
始めるためのリソース
セキュア・バイ・デザインベストプラクティスの定義、開発者の能力向上、予防的セキュリティ成果のベンチマーク
このリサーチペーパーでは、Secure Code Warrior 共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士、そして専門家であるクリス・イングリス(Chris Inglis)氏(元米国サイバーディレクター、現パラディン・キャピタル・グループ戦略顧問)、デヴィン・リンチ(Devin Lynch)氏(パラディン・グローバル・インスティテュート・シニアディレクター)が、CISO、アプリケーション・セキュリティ担当副社長、ソフトウェア・セキュリティの専門家など、企業のセキュリティ・リーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします。
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。
始めるためのリソース
明らかになった:サイバー業界はセキュア・バイ・デザインをどのように定義しているか
最新のホワイトペーパーでは、当社の共同設立者であるピーテル・ダニュー(Pieter Danhieux)氏とマティアス・マドゥ(Matias Madou)博士が、CISO、AppSecリーダー、セキュリティ専門家を含む20人以上の企業セキュリティリーダーと対談し、このパズルの重要なピースを見つけ出し、Secure by Design運動の背後にある現実を明らかにしました。セキュア・バイ・デザインは、セキュリティ・チーム全体で共有された野心ですが、共有されたプレイブックはありません。
