ウィズセキュアとMend.io、アプリケーションセキュリティプラットフォームの脆弱性に対処

河部恭紀 (編集部)

2023-09-07 13:34

 フィンランドを拠点とするWithSecureは現地時間9月5日、Mend.ioのアプリケーションセキュリティプラットフォームにおいて発見された脆弱(ぜいじゃく)性について、セキュリティアドバイザーを発行した。

 Mend.ioは、ソフトウェア開発者がコードライブラリーに発見された脆弱性やセキュリティ問題を特定し、修正するためのサポートを提供するプラットフォーム。Fortune 100の25%を含む1000社以上の企業を顧客に抱えている。

 同脆弱性は、WithSecureが5月にMend.ioのSecurity Assertion Markup Language(SAML)ログインオプションで発見したもの。Mend.ioのユーザーが攻撃者として行動しようとする場合、脆弱なSAML実装を使用し、ターゲットから有効な電子メールアドレスを推測またはその他の方法で取得することで、同じSaaS環境にある他のMend.ioユーザーのサブセットのデータにアクセスできる可能性があった。Mend.ioには多数のSaaS環境があり、多くの顧客が隔離された環境にあるという。

 Mend.ioのアカウントに含まれるデータは企業によって異なるが、アプリケーションセキュリティプラットフォームとして使用されていることから、攻撃者は、Mend.ioのデータから特定できる脆弱なソフトウェアに対して標的型攻撃を計画するため、情報を利用する可能性があるとWithSecureは説明する。

 WithSecureは、Mend.ioと連絡を取っており、両社は修正のために協力体制を構築。パッチを同プラットフォームに実装済みだという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ランサムウェア対策をマンガで解説、手口や被害のデータから見る脆弱性放置の危険性とは?

  2. セキュリティ

    セキュリティリーダー向けガイド--なぜ今XDRとSIEMの違いを理解することが重要なのか

  3. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  4. セキュリティ

    マンガで解説、「WAF」活用が脆弱性への応急処置に効果的である理由とは?

  5. クラウドコンピューティング

    生成 AI の真価を引き出すアプリケーション戦略--ユースケースから導くアプローチ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]