-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
6月4日:サイバーセキュリティ関連ニュース
Roundcubeに10年来の重大な脆弱性、認証済みユーザーによる有害コードの実行が可能に:CVE-2025-49113
The Hacker News – Jun 03, 2025
WebメールソフトウェアRoundcubeの重大な脆弱性CVE-2025-49113の詳細を、ドバイのサイバーセキュリティ企業FearsOffが明らかに。この脆弱性は10年間にわたり見過ごされていたもので、攻撃者に悪用された場合、影響を受けるシステムを乗っ取られて任意のコードを実行される恐れがあるという。
CVE-2025-49113は認証後のリモートコード実行の脆弱性で、CVSSスコア(v3.x)は9.9。URL内の「_from」パラメータがprogram/actions/settings/upload.phpで検証されないことによりPHPオブジェクトデシリアライゼーションが生じるために、認証済みのユーザーがリモートでコードを実行できるようになるというもの。同脆弱性はRoundcubeのv1.1.0〜1.6.10までのバージョンに存在し、5,300万超のホストおよびツール類(cPanel、Plesk、ISPConfig、DirectAdminなど)が影響を受けるとされる。
この脆弱性を発見・報告したFearsOffは簡潔なアドバイザリにおいて、さらなる技術的詳細とPoCを「まもなく」公開する予定だが、ユーザーが必要なパッチを適用するのに十分な猶予期間を儲けるつもりだと述べている。こうした情報が公になれば、悪用のリスクはさらに高まることが予想される。なお修正版である1.6.11および1.5.10はRoundcubeにより6月1日にリリース済み。
Roundcubeの脆弱性といえば、過去にもAPT28やWinter Vivernを含む国家支援型アクターにとって魅力的なターゲットとなってきた。昨年10月には、クロスサイトスクリプティング(XSS)の脆弱性CVE-2024-37383が詳細不明のハッカーに悪用されていると報告。その数週間後、ESETがAPT28によるRoundcubeを含む複数のWebメールサーバーのXSS脆弱性悪用について伝えていた。
関連記事:ハッカーらがWebメールRoundcubeのXSS脆弱性を悪用し、ログイン認証情報を盗む(CVE-2024-37383)
Google、攻撃で悪用されるChromeのゼロデイを修正 今年2件目:CVE-2025-5419
Security Affairs – June 03, 2025
Googleは2日、Chromeブラウザにおける脆弱性3件に対処する定例外アップデートをリリース。これには、実際の攻撃で悪用されている脆弱性CVE-2025-5419が含まれる。
CVE-2025-5419は、JavaScriptエンジンV8における境界外読み取りおよび書き込みの脆弱性で、攻撃者はこれを悪用すると、細工されたHTMLページを通じてヒープ破損を引き起こすことが可能になるとされる。Googleはアドバイザリにおいて、「GoogleはCVE-2025-5419のエクスプロイトが出回っていることを認識している」と述べているものの、攻撃の詳細については明かさなかった。ただ、本脆弱性の発見者であるGoogleの脅威アナリストグループ(TAG)は過去にスパイウェアの展開に関連した攻撃で使われていた脆弱性を報告してきたことから、今回のCVE-2025-5419についても同様の性質の攻撃で悪用されている可能性は捨てきれない。
今回のアップデートでは、Blink(レンダリングエンジン)における解放済みメモリ使用の脆弱性CVE-2025-5068も修正されている。公式アドバイザリには3件の脆弱性が修正された旨が記されているものの、CVEへの言及があるのはCVE-2025-5419とCVE-2025-5068のみ。Chromeの安定版は修正版である137.0.7151.68/.69(Windows、Mac)および137.0.7151.68(Linux)へ今後数日間でアップデートされるとのこと。
【無料配布中!】ディープ&ダークウェブ関連レポート
弊社が作成したレポート『ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク』を無料配布中です!
ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。
無料ダウンロードはこちらのバナーから:
レポートの内容
第1章:アカウント売買・貸与
- 中国語アカウントマーケット
- 英語 Black Hat SEO 関連フォーラム
- 英語「デジタル権利マーケット」
- ロシア語 SMM ツールフォーラム
- 英語暗号資産関連フォーラム
- ロシア語ハッキングフォーラム
第2章:ディープフェイク
- DDW で言及されたディープフェイク
- ディープフェイク関連の特筆すべき投稿
