2016年4月22日のtwitterセキュリティクラスタ

yousukezan
2016年4月22日のtwitterセキュリティクラスタです。最近なかなかWebからOSコマンド実行しないですね。

OSコマンドインジェクションでやられてしまった日テレの感想など

uɐdɐɾ_ʞɔɐɥ@hack_japan

日テレ方面 フォームからの情報提供などは止まっている感じ。 pic.twitter.com/qKp29r7ggW

徳丸 浩@ockeghem

手口がOSコマンドインジェクションと公表されることは珍しいし、公表したことは偉いけど、なぜ今時OSコマンドインジェクションが?という疑問は残る / “日本テレビ、番組観覧者など43万件の個人情報漏えい–OSの命令文を不正操作 …” htn.to/Sukovq

上原 哲太郎@tetsutalow

それなんだよな…OSコマンドインジェクション、随分古い情報をサーバに放置、いずれも今時恥ずかしい部類の事故。日テレはネット配信とか連携とかIT投資してる方という印象があっただけに、がっかり。まぁ部署違うんだろな。第三者委作るみたいだから報告受けて体制から見直してくれるかなぁ。

上原 哲太郎@tetsutalow

でも報告したこと素晴らしいと思います本当。

abend@number3to4

strutsとかを除くとWebサイトのOSコマンドインジェクションって最近見ないなぁ。

徳丸 浩@ockeghem

日テレのOSコマンドインジェクション事例ですが、昨日も書いたとおり、カスタムアプリケーションではあまり見かけなくなってきたので、拙書を書くときも説明を省こうかと思ったくらいですよ。結局対策方法を4案まで書くはめになりましたが
OSコマンドインジェクション自体は、まあ今だにたまにエンカウントするけど。メールフォームでって典型的なのはあんまり最近は見かけないかなあ。昔はよくあったなあ懐かしいw

Ken Sugar@ken_sugar

そういえば日テレ情報漏洩の件、20日午後の不正アクセスに速攻で気づき翌日にはOSコマンドインジェクションと原因特定してリリース出せる素早さは、日テレITプロデュース社のおかげなのかな?
ntvit.co.jp pic.twitter.com/IsNZSoCPUb
日本テレビWebサイトへの不正アクセスについてまとめてみた – piyolog : d.hatena.ne.jp/Kango/20160421…
cgiでOSコマンドインジェクション。まさにこの前のSECCONオンライ予選 Web 100状態だったのかな。それともまさかのshellshock?
@tigerszk @yousukezan 手元のFWでは、ここ数日shellshockのRCEパターンが割と検出されてますね

徳丸 浩@ockeghem

@tigerszk shellshockが原因だった場合に「OSコマンドインジェクションにより」とは普通言わないような気がしますが、「shellshockが原因とは今更言えない」等の理由であれば、ありえますね
ダウンロードするファイル生成処理とかで内部的にshellとかバッチでやっているケースで、バッチリ外部由来文字列使っているような場合にトラバーサルとかコマンドインジェクションできるケースとかは、割とよくある印象。個人的にはCSV生成処理とかが結構熱いかなと思ったり。

Yosuke HASEGAWA@hasegawayosuke

CSVで出力する機能、いろんな受動的攻撃/SOP Bypassに使いやすいのでXSSerもわりと好きですね。 twitter.com/tigerszk/statu…

ICHIRO SATOH@ichiro_satoh

日テレの情報漏洩、不正アクセスを強調してますが、非がないという印象にしたいのでしょうか。2008年の番組分もあり、不要な個人情報の削除を怠っていたのでは? ”弊社ホームページへの不正アクセスによる個人情報流出の可能性について” ntv.co.jp/info/news/2016…

セキュリティエンジニアになりたいYahoo!知恵袋グダグダになってきた模様

「セ■■■■■■■■■■になりたいのですが」のヤフー知恵袋さっき見たらもう完全におっさんが気持ちよくなるだけの場になってて最悪

徳丸 浩@ockeghem

まぁ、知恵袋! というのはそういう場なので仕方ないですぅ > RT

徳丸 浩@ockeghem

その知恵袋の質問は、僕が知恵袋に回答した 500件目でした。いま確認したら、そのうち53件が取り消されていました。知恵袋は質問者が取り消しをすると、回答者であっても質問・回答とも見ることができなくなります。知恵袋というのはそういうところです

たかはら@takahara

完全に学校の課題ですやん twitter.com/ockeghem/statu…

その他に気になったことはこのあたり。

伊藤 彰嗣@springmoon6

弊社報奨金制度の 2015 年最終結果をとりまとめました。書ききれていない所は後日別の形で公開予定です。

2015 年 脆弱性報奨金制度を振り返って – Cybozu Inside Out | サイボウズエンジニアのブログ blog.cybozu.io/entry/2016/04/…

3位でした

jun@shhnjk

1位でした。サイボウズさんお疲れさまでした! twitter.com/springmoon6/st…

Jxck@Jxck_

118 件の直すべきバグを教えてもらえて、たった 446 万で済むなんてコスパ良いよなと思う。運営は楽では無いにせよ。 / “2015 年 脆弱性報奨金制度を振り返って – Cybozu Inside Out | サイボウズエ…” htn.to/RbWx6a

Yosuke HASEGAWA@hasegawayosuke

Loading a malicious Node module placed by an attacker may result in arbitrary programs being executed twitter.com/hasegawayosuke…

Yosuke HASEGAWA@hasegawayosuke

CVSS 7超えに一歩たりなかった…

上原 哲太郎@tetsutalow

先月のWindowsUpdateに含まれてた権限昇格脆弱性MS16-032を利用して実際に管理者権限を奪うコードが公開。特にWindowsServer要注意。 twitter.com/fuzzysec/statu…

b33f@FuzzySec

#PowerShell exploit for MS16-032 Win7-Win10 & 2k8-2k12 (x32/x64) (CC @tiraniddo ty!) – github.com/FuzzySecurity/… pic.twitter.com/IpZnQCZU8O

mala@bulkneets

先日、何かの記事読むためにログインが必要だったので1年ぶりぐらいに(スマホで)Yahooにログインしたら、○○市の中古マンション情報、というような広告が出まくるようになって、○○市が実家の住所(見たくない)だったので調べたところ

mala@bulkneets

@bulkneets Yahooの広告なのだけど市町村レベルの住所が記載されている該当の広告はiframeではなくJSONPで配信されていて、広告掲載サイト側のhtmlに出力されていた(掲載サイト側からどんな広告が配信されているのかjsで読める)

mala@bulkneets

@bulkneets 広告タグを他のドメインにコピペして動くかどうか検証したところ、リファラのチェックがあるようだったが、リファラを送信しないようにすれば同様の広告が取得できた。つまりYahooに登録している住所の○○市、○○区、程度の位置情報が悪意のあるサイトからでも取れる

mala@bulkneets

@bulkneets なんでこれいきなり書いてるかっていうと、4年以上前に書いてる(JSONPで出力すると広告が掲載サイトや外部サイトから読み取れる) d.hatena.ne.jp/mala/20111202/… この時は住所含むような広告出せなかったと記憶してる

mala@bulkneets

@bulkneets Yahooも名指しで書いてるんだけど、この記事Web広告業界の人は読みまくってると思うんだけど、この問題放置したまま、Yahoo登録住所使ったターゲティング解放されてるってことですよね。

mala@bulkneets

J-CASTがクソ特許持ってるせいでYahooが登録住所をJSONPで配信する!!!!!!!!!!!! j-cast.co.jp/2012/04/post_1…

Masafumi Negishi@MasafumiNegishi

#セキュリティのアレ(22):ハッキリ分かる「標的型攻撃」「ばらまき型攻撃」「APT」 – @ IT atmarkit.co.jp/ait/spv/1604/2…
中国によるサイバー攻撃、減少している理由とは on.wsj.com/1SnLLh0 中国はなぜ、経済戦略の重要な部分に見えた民間企業へのハッキングをやめることで米国と合意したのか pic.twitter.com/pP88Q3Urir

47NEWS@47news

FBI、ロック解除に1億円超 長官「価値あった」 bit.ly/1VJPD1D
採用情報を更新しました。情報セキュリティアナリスト、制御システムスペシャリスト、脅威アナリスト、アーティファクトアナリスト、システムアドミニストレーターを募集しています。ご応募お待ちしています。^YK jpcert.or.jp/recruit/
エフセキュアブログ : Windows Script Hostを無効にする方法 blog.f-secure.jp/archives/50766…
ブログ公開しました>100メートル以内のワイヤレスキーボードやワイヤレスマウスを標的にするマウスジャック→blogs.mcafee.jp/mcafeeblog/201…

ITmedia@itmedia

[エンタープライズ]熊本地震に便乗の義援金ネット詐欺、米国でも横行の恐れ bit.ly/1YJwefg

ITmedia@itmedia

[エンタープライズ]Flash用のAdobe Analyticsツールに脆弱性、更新版で対処 bit.ly/1VJCHsB
https://matome.naver.jp/odai/2146128337422465001
2016年04月23日