論文の概要: The Discovery, Disclosure, and Investigation of CVE-2024-25825
- arxiv url: http://arxiv.org/abs/2507.21092v1
- Date: Thu, 26 Jun 2025 13:32:19 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-08-03 20:19:02.854547
- Title: The Discovery, Disclosure, and Investigation of CVE-2024-25825
- Title(参考訳): CVE-2024-25825の発見・開示・調査
- Authors: Hunter Chasens,
- Abstract要約: この論文は、その発見、開示、そして国家の俳優に関するさらなる調査について記述している。
脆弱性は、CWE-1392: Use of Default Credentials, CWE-1393: Use of Default Password, CWE-258: Empty Password in configuration fileである。
ルートユーザーが /etc/shadow ファイルに入力すると、ワイルドカードでパスワードを入力できる。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: CVE-2024-25825 is a vulnerability found in FydeOS. This thesis describes its discovery, disclosure, and its further investigation in connection to a nation state actor. The vulnerability is CWE-1392: Use of Default Credentials, CWE-1393: Use of Default Password, and CWE-258: Empty Password in Configuration File found in the /etc/shadow configuration file. The root users entry in the /etc/shadow file contains a wildcard allowing entry with any, or no, password. Following responsable disclosure, Fyde, CISA, and Mitre were informed. Fyde was already aware of the vulnerability. There was concern that this vulnerability might have been purposefully placed, perhaps by a nation state actor. After further investigation, it appears that this is unlikely to be the case. In cases in which poisoned code is suspected it might be prudent to contact the appropriate CERT, rather than the parent company. This, however, clashes with the typical teaching of responsable disclosure.
- Abstract(参考訳): CVE-2024-25825はFydeOSで発見された脆弱性である。
この論文は、その発見、開示、そして国家の俳優に関するさらなる調査について記述している。
CWE-1392: Use of Default Credentials, CWE-1393: Use of Default Password, CWE-258: Empty Password in Configuration File found in the /etc/shadow configuration file。
ルートユーザーが /etc/shadow ファイルに入力すると、ワイルドカードでパスワードを入力できる。
責任のある開示の後、Fyde、CISA、Mitreが知らされた。
Fydeはすでにその脆弱性に気づいていた。
この脆弱性は、国家俳優が故意に設置した可能性があるという懸念があった。
さらなる調査の後、これはありそうにないと思われる。
有毒なコードが疑われている場合は、親会社ではなく、適切なCERTに接触するのが賢明かもしれない。
しかしこれは、責任のある開示の典型的な教えと衝突する。
関連論文リスト
- Plug. Play. Persist. Inside a Ready-to-Go Havoc C2 Infrastructure [0.0]
この分析は、敵がオールインワンの配信、ステージング、コマンド・アンド・コントロルノードに変換した52.230.23.114の単一のAzureホスト仮想マシンに焦点を当てている。
ホストは、オープンディレクトリがフィッシングルアー、ローダー、リフレクティブシェルコード、コンパイルされたHavoc Demonインプラント、および横移動バイナリのツールボックスを公開している、最新のApache 2.4.52インスタンスを宣伝している。
ウェブ層には、攻撃者がデバイスを所有していない場合、初期コード実行を可能にする、公開文書化された重大な脆弱性が取り除かれている。
論文 参考訳(メタデータ) (2025-06-30T18:58:52Z) - Decompiling Smart Contracts with a Large Language Model [51.49197239479266]
Etherscanの78,047,845のスマートコントラクトがデプロイされているにも関わらず(2025年5月26日現在)、わずか767,520 (1%)がオープンソースである。
この不透明さは、オンチェーンスマートコントラクトバイトコードの自動意味解析を必要とする。
バイトコードを可読でセマンティックに忠実なSolidityコードに変換する,先駆的な逆コンパイルパイプラインを導入する。
論文 参考訳(メタデータ) (2025-06-24T13:42:59Z) - Secure Coding with AI, From Creation to Inspection [0.0]
本稿では,ChatGPTが生成するコードのセキュリティについて,実際の開発者インタラクションに基づいて検討する。
我々は静的スキャナを使って1,586のC、C++、C#のコードスニペットを分析し、124ファイルの潜在的な問題を検出した。
ChatGPTは32のセキュリティ問題のうち18の問題を検知し、17の問題を解決した。
論文 参考訳(メタデータ) (2025-04-29T14:30:14Z) - Investigating Vulnerability Disclosures in Open-Source Software Using Bug Bounty Reports and Security Advisories [6.814841205623832]
私たちは,GitHubのセキュリティアドバイザリ3,798件と,OSSバグ報奨金レポート4,033件について,実証的研究を行った。
OSSの脆弱性がセキュリティアドバイザリやバグ報奨金報告からどのように伝播するかを説明する明示的なプロセスは、私たちが最初に決定します。
論文 参考訳(メタデータ) (2025-01-29T16:36:41Z) - Discovery of Timeline and Crowd Reaction of Software Vulnerability Disclosures [47.435076500269545]
Apache Log4Jはリモートコード実行攻撃に対して脆弱であることが判明した。
35,000以上のパッケージが最新バージョンでLog4Jライブラリをアップデートせざるを得なかった。
ソフトウェアベンダが脆弱性のないバージョンをリリースするたびに、ソフトウェア開発者がサードパーティのライブラリを更新するのは、事実上妥当です。
論文 参考訳(メタデータ) (2024-11-12T01:55:51Z) - The Power of Bamboo: On the Post-Compromise Security for Searchable Symmetric Encryption [43.669192188610964]
動的検索可能な対称暗号(DSSE)により、ユーザは動的に更新されたデータベース上のキーワード検索を、誠実だが正確なサーバに委譲することができる。
本稿では,DSSEに対する新たな,実用的なセキュリティリスク,すなわち秘密鍵妥協について検討する。
キー更新(SEKU)による検索可能な暗号化の概念を導入し,非対話型キー更新のオプションを提供する。
論文 参考訳(メタデータ) (2024-03-22T09:21:47Z) - Tamper-Evident Pairing [55.2480439325792]
Tamper-Evident Pairing (TEP)はPush-ButtonConfiguration (PBC)標準の改良である。
TEP は Tamper-Evident Announcement (TEA) に依存しており、相手が送信されたメッセージを検出せずに改ざんしたり、メッセージが送信された事実を隠蔽したりすることを保証している。
本稿では,その動作を理解するために必要なすべての情報を含む,TEPプロトコルの概要について概説する。
論文 参考訳(メタデータ) (2023-11-24T18:54:00Z) - Comments on "Dynamic Consensus Committee-Based for Secure Data Sharing With Authorized Multi-Receiver Searchable Encryption" [2.3403685276995354]
本報告では,DCC-SEについて詳述する。
根本原因を議論し,DCC-SEのセキュリティ証明の欠陥を同定する。
論文 参考訳(メタデータ) (2023-11-15T09:32:55Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - On the Security Blind Spots of Software Composition Analysis [46.1389163921338]
Mavenリポジトリで脆弱性のあるクローンを検出するための新しいアプローチを提案する。
Maven Centralから53万以上の潜在的な脆弱性のあるクローンを検索します。
検出された727個の脆弱なクローンを検出し、それぞれに検証可能な脆弱性証明プロジェクトを合成する。
論文 参考訳(メタデータ) (2023-06-08T20:14:46Z) - Detecting Security Patches via Behavioral Data in Code Repositories [11.052678122289871]
Gitリポジトリ内の開発者動作のみを使用して,セキュリティパッチを自動的に識別するシステムを示す。
秘密のセキュリティパッチを88.3%、F1スコア89.8%で公開できることを示しました。
論文 参考訳(メタデータ) (2023-02-04T06:43:07Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。