ジュニパー、重大な認証バイパスの欠陥に緊急パッチ:CVE-2024-2973 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ジュニパー、重大な認証バイパスの欠陥に緊急パッチ:CVE-2024-2973

Threat Report

AI

Silobreaker-CyberAlert

マイクロソフト

ジュニパー、重大な認証バイパスの欠陥に緊急パッチ:CVE-2024-2973

nosa

nosa

2024.07.01

6月28~7月1日:サイバーセキュリティ関連ニュース

ジュニパー、深刻度最大の認証バイパス欠陥に対するサイクル外の修正をリリース(CVE-2024-2973)

BleepingComputer – June 30, 2024 

ジュニパーネットワークスはSession Smart Router(SSR)、Session Smart Conductor、WAN Assurance Routerの各製品について、認証バイパスにつながるCVSSスコア10.0の脆弱性に対処すべく緊急アップデートをリリースした。

この脆弱性はCVE-2024-2973として追跡されており、これを悪用されると攻撃者がデバイスを完全に制御できるようになる。ジュニパーのセキュリティアドバイザリによると、影響を受けるのは高可用性の冗長構成で動作するルーターまたはコンダクターのみのようだ。なおこの脆弱な構成は、大規模なエンタープライズ環境やデータセンター、通信、Eコマース、政府または公共サービスなど正常な稼働が欠かせないシステムで非常に一般的とされるもの。

回避策はなく、推奨されるアクションはアップデートを適用することのみで、Session Smart Routerについてはバージョン5.6.15、6.1.9-lts、SSR-6.2.5-sts以降が修正版。WAN Assurance Routersについては、Mist Cloudへ接続されている場合は自動でパッチ適用されるものの、高可用性クラスタの管理者はSSR-6.1.9またはSSR-6.2.5へのアップグレードが必要とされる。またConductor管理を行っている場合、Conductorノードさえアップグレードすれば接続されているルーターへ自動的に修正が適用されるとのこと。

ジュニパー製品は重要かつ公益性の高い環境に導入されているため、多くのハッカーにとって魅力的なターゲットになっている。

マイクロソフト、AIの検閲回避テクニック「スケルトンキー」を詳述

SecurityWeek – June 28, 2024

マイクロソフトが先週、複数の生成AIモデルに組み込まれた検閲機能の回避テクニックについて詳細を公開した。

生成AIモデルは通常、倫理的に問題のある情報を提供しないようトレーニングされているが、これを回避する方法を複数の研究者が探り続けてきた。その1つが「スケルトンキー」と呼ばれるテクニックで、マイクロソフトはMeta Llama3やGoogle Gemini Pro、OpenAI ChatGPT 3.5 Turboなど主要モデルを対象に、政治、人種差別、違法薬物、暴力、自傷行為、爆発物、生物兵器などさまざまなトピックでテストを実施。動作ガイドラインを変更するのではなく拡張するようAIに要求し、禁止されている情報の提供を完全に拒否するのではなく、警告ラベルの追加を指示することで「AI脱獄」に成功した。

この方法でAIモデルを騙せば、火炎瓶の作り方など禁止されている情報を提供させることが可能になる。緩和策についてはGPT-4のみいくつか備えていることが判明したようだが、APIなどを利用する手法でこれをバイパスすることも可能だという。マイクロソフトは各モデルの開発者側に調査結果を報告し、緩和策の特定を支援するとともに、同社のCopilot AIアシスタントやその他のAI製品にも緩和策を追加したとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ