Security SonicWall SonicOS SSLVPN脆弱性でFWクラッシュの恐れ
Source:🛡 概要米SonicWallは、SonicOSのSSLVPNサービスに存在するスタックベースのバッファオーバーフロー脆弱性 CVE-2025-40601 に対する緊急パッチ適用を呼びかけている。本欠陥はリモートの未認証攻撃者で...
Security
Security 
Security GoogleがBadAudioを暴露—APT24の3年に及ぶ諜報作戦
Source:🛡 概要Googleの脅威インテリジェンス部門は、中国関与とされるAPT24が少なくとも3年にわたり未公開マルウェア「BadAudio」を用いたスパイ活動を展開していたと公表した。標的は主にWindowsで、侵入経路はスピアフ...
Security TamperedChefマルウェア、偽インストーラと広告で世界拡散
Source:🛡 概要「TamperedChef」は、正規ソフトに見せかけた偽インストーラを使い、マルバタイジング(悪性広告)やSEO汚染でユーザーを誘導して感染させるグローバルなキャンペーンです。Acronis Threat Resear...
Security ShadowRay 2.0、RayのCVE-2023-48022悪用GPU採掘ボットネット
Source:🛡 概要オープンソースの分散AI基盤Rayに存在する認証欠如の重大欠陥(CVE-2023-48022, CVSS 9.8)が、自己増殖型の暗号資産マイニング(XMRig)ボットネット「ShadowRay 2.0」に悪用されてい...
Security W3 Total Cacheに未認証PHPコマンド注入(CVE-2025-9501)
Source:🛡 概要WordPress向けキャッシュ最適化プラグイン「W3 Total Cache(W3TC)」に、未認証でPHPコマンドを実行できる重大な脆弱性(CVE-2025-9501)が確認されています。影響範囲は2.8.13未満...
Security Fortinet、FortiWebのCVE-2025-58034悪用を警告
Source:🛡 概要Fortinetは、FortiWebに存在する新たな脆弱性CVE-2025-58034(CVSS 6.7)が実際に悪用されていると警告しました。本欠陥はOSコマンドインジェクション(CWE-78)で、認証済みの攻撃者が...
Security ServiceNow Now Assist悪用: 二次プロンプト注入でAI同士攻撃
Source:🛡 概要ServiceNowのNow Assist(生成AI)におけるエージェント発見・連携機能の既定設定を突く「二次(セカンドオーダー)プロンプト注入」により、攻撃者が無害な要求を発端に別のAIエージェントを密かに呼び出して...
Security EdgeStepperがDNSを乗っ取り偽ソフト更新でマルウェア展開
Source:🛡 概要中国系と目されるPlushDaemonが、Go製ネットワークバックドア「EdgeStepper」を用いてAdversary‑in‑the‑Middle(AitM)型の攻撃を実施している。特徴は、標的が接続する可能性の高...
Security WrtHugがEoL ASUS WRTの脆弱性6件悪用、数万台乗っ取り
Source:🛡 概要SecurityScorecardのSTRIKEチームが観測した「Operation WrtHug」は、サポート終了(EoL)を含むASUS WRT系ルータの既知脆弱性を突き、台湾・米国・ロシアを中心に世界で数万台規模...
Security 7-ZipのシンボリックリンクRCE脆弱性CVE-2025-11001が悪用
Source:🛡 概要7-Zipに存在したシンボリックリンク処理の欠陥によりリモートコード実行(RCE)が可能となる脆弱性CVE-2025-11001(CVSS 7.0)について、NHS England Digitalは実際の悪用が確認され...