本記事はサイバー・セキュリティに関するニュースを集めた情報サイト
「IoT OT Security News」に掲載されている情報から
セキュリティニュースを一部抜粋してご紹介するものです。
記事詳細は下部に記載のURLよりご覧ください。
2022/04/05 TheHackerNews — 月曜日に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日に公開された Spring Framework に影響を及ぼすリモートコード実行 (RCE) の脆弱性が、活発に悪用されているという証拠に基づき、Known Exploited Vulnerabilities Catalog に追加した。この深刻な脆弱性 CVE-2022-22965 (CVSS : 9.8) は、Java Development Kit 9 以降で動作する Spring Model-view-Controller (MVC) および、 Spring WebFlux アプリケーションに影響を与える。
先週に Praetorian の研究者である Anthony Weems と Dallas Kaman は、「この脆弱性を悪用するには、DataBinder を有効にしたエンドポイント (例えば、リクエストボディからデータを自動的にデコードする POST リクエスト) が必要であり、アプリケーション用のサーブレット・コンテナに大きく依存する」と指摘している。
現時点で、野放しになっている悪用の正確な詳細は不明だが、情報セキュリティ企業である SecurityScorecard は、「この脆弱性に対する活発なスキャンが、ロシアや中国の IP スペースの脅威アクターたちから行われていることが観察されている」と述べている。
・・・
|
|
|
|
IoT OT Security Newsとは
欧米やアジアのサイバー・セキュリティに関するニュースを集めた情報サイト
日々世界中のセキュリティ系サイトで発信される情報を和訳し記事化しています。
https://www.grcs.co.jp/products/z-today