WebDAVにPUTされたのが原因だったパイプドビッツへの不正アクセスの続報です
WebDAVが有効でPUTにより外部からファイルが書き込めたため、パックドアを設置されてしまった。これ、脆弱性診断ではやるのですが、悪用例の公表は珍しい / “「SPIRAL EC(R)」への不正アクセスによる個人情報流出につい…” https://t.co/CN8s6bPtq9
— 徳丸 浩 (@ockeghem) June 23, 2016
パイプドビッツさんの報告書でも、PUTメソッドをリバースプロキシ側で許容していたことが問題としているのですが、根本原因としては、WebDAVの書き込みに認証が不要だった(アクセス制御していなかった)ことが問題と考えます。PUTを止めていたら防げたものの、根本原因はそこではない
— 徳丸 浩 (@ockeghem) June 23, 2016
PUTを使えないようにする仕様だったが、仕様通りになってなく使える状態だった。ということでは?だから設定の不備という事だと思うのですが。 https://t.co/u68uu1AE8z
— もも太郎 (@oha000) June 23, 2016
報告書には「システム構成を設計する段階でPUTメソッドがリバースプロキシを経由してバックエンドのWebDAVサーバに中継されることのリスク評価が実施されておらず」とあるので想定外だったと思います RT @oha000: PUTを使えないようにする仕様だったが、仕様通りになってなく
— 徳丸 浩 (@ockeghem) June 23, 2016
PUT うんぬんの前に WebDAV 経由でアクセスする様な内部のシステムがなぜ外部の IP からアクセス可能なのかちょっと良く分かりません。配信サーバを兼ねていた?
— mattn (@mattn_jp) June 23, 2016
配信サーバーがメインであって、コンテンツ更新をWebDAVでやってた、とかではないでしょうか? RT @mattn_jp: @ockeghem @oha000 PUT うんぬんの前に WebDAV 経由でアクセスする様な内部のシステムがなぜ外部の IP からアクセス可能なのか…
— 徳丸 浩 (@ockeghem) June 23, 2016
尊敬する方に意見するのは恐れ多いが、これらが攻撃に多用されるウィークポイントである以上、使う意図がないのに空いていれば指摘するのが妥当かと。「こう使う」って仕様を提示して診断受けてれば診断結果も変わってくると思うし。 https://t.co/A6q63w5NPQ
— 手足をもがれたもちあざらし (@bounoki) June 23, 2016
システム開発は分業化が(残念なことに)進んでいて、実装、構築する人がセキュリティスペシャリストとは限らない。そういう背景もあり、ぼくは「デフォルト含めすべて無効化、必要なものだけ有効化」を設計思想にしてる。 https://t.co/XjfshZGply
— 手足をもがれたもちあざらし (@bounoki) June 23, 2016
PUTメソッドで悪意あるPHPをアップロードされてそっからやられることってあるのねhttps://t.co/nsVa9DLuJD
今時PUTが有効というのもどうかと思うけど— Ikeda Masakazu (@ikepyon) June 23, 2016
確かにPUTメソッドだけだと、脆弱性として提示するのは少し行き過ぎな感はあるねぇ。
なかなか診断員的には判断が難しいところ…OPTIONSの結果だけで指摘するのなんて個人的には言語道断だと思うし。
— るし>∩(・ω・)∩<ふぁ (@Lunatic_Lucifer) June 23, 2016
今回の事象(少なくともDAVとPUTメソッド)は検出できる気がするけれど、ペネトレーションテストとして受注でもしない限りは診断対象外の範疇になっちゃいそうね。
Web診断、プラットフォーム診断を単品で受けて見つけてくれるかと言えばちょっと微妙くさい
— るし>∩(・ω・)∩<ふぁ (@Lunatic_Lucifer) June 23, 2016
人気女性雑誌、 #ViVi の通販サイトが不正アクセスに遭い、1万946人分の #個人情報 が流出!オンライン・ショッピングをされる場合は、通常使うものと別のカードにするとか、利用明細を頻繁にチェックするなどの自衛が必要です!!https://t.co/DYs9vXMF4c
— ノートン 公式 ツイッター (@NortonJapan) June 23, 2016
その他に気になったことはこのあたり。
個人的にはJTBは、監視が奏功するなど割と対策はしてた方だと思う。記者さんには社内情報システムの作りにインシデント発生時の被害拡大抑止策があまり入ってなさそうなところを突いて欲しかった。 / “記者の眼 – JTBにはがっかりし…” https://t.co/0JjDzC5WpO
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) June 22, 2016
『インターネットに接続するネットワークに暗号化のしていないデータベースサーバーを接続したり、未知のマルウエア発見に効果を期待できる「サンドボックス製品」を導入していなかったりしていた点は、日本年金機構の事案から学んでおらず、がっかりしてしまった』< ちょっと意味が分からないですね
— Neutral8✗9eR (@0x009AD6_810) June 23, 2016
公開情報から推測をしてみました。あくまで推測ですよ。/JTBへの攻撃の考察・推測メモ | (n)inja csirt https://t.co/udRy7dgFaT
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) June 23, 2016
2016年06月23日
鉄工と不動産やの日記:三豊市がサイバー攻撃に!https://t.co/VpYra8Vvd7— uɐdɐɾ_ʞɔɐɥ (@hack_japan) June 23, 2016
三豊市のPCに不正アクセス/情報流出は確認されず | BUSINESS LIVE https://t.co/wAW9XxsCGA
— uɐdɐɾ_ʞɔɐɥ (@hack_japan) June 23, 2016
標的型だと判断した理由などがないと無用に不安を煽ることにもなりかねないですよ。せめてマルウェアの検出名やメールの内容くらいは公開してほしいですよ。/静岡、御前崎市にサイバー攻撃、不正アクセス|静岡新聞アットエス https://t.co/kviPyBVd0j
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) June 23, 2016
PHP-7.0.8 / PHP-5.6.23 / PHP-5.5.37 が用意されましたのでPHP本家にてまもなく公開されると思います。PHP 5.5のアップデートがあることから、今回も脆弱性改修を含みます。バージョンアップまたはパッチ適用推奨
— 徳丸 浩 (@ockeghem) June 22, 2016
OWASPアプリケーションセキュリティ検証標準(ASVS) 3.0.1 翻訳版を公開。セキュアなアプリケーション開発のためのセキュリティ機能要件集です。開発済みアプリのセキュリティ機能の確認項目としてもご活用ください。^YK https://t.co/a44fb04xru
— JPCERTコーディネーションセンター (@jpcert) June 23, 2016
Hacker Hurricane: The Windows PowerShell Cheat Sheet is now availabl… https://t.co/7kNEBwIYL4
— わんわん🚊(対人距離を保ちましょう) (@roaring_dog) June 22, 2016
んー.邦訳のサブタイトルが不正確でまたか感はあるのだけど,元記事も別の 7Zip のアプリ自体の脆弱性の話を,libarchive の 7Zip 形式の脆弱性の話とをごっちゃにしてて無理もない.https://t.co/Hf1YZhOtye
— 山田10y1y太郎 (@t_ashula) June 23, 2016
[TechTargetジャパン]身代金要求型マルウェアの脅威:危険な進化を遂げた「ランサムウェア」、ユーザーを守る“5つのキホン”とは https://t.co/0lsspS8hqq
— ITmedia (@itmedia) June 23, 2016
[エンタープライズ]Maker’s Voice:サイバー攻撃の手がかりはアラート5分前のパケットに――SavviusのCEO https://t.co/cMyvOdJSpY
— ITmedia (@itmedia) June 23, 2016
[エンタープライズ]Androidをroot化する不正アプリ、Google Playも悪用して拡散 https://t.co/QUojIEE6RJ
— ITmedia (@itmedia) June 22, 2016
[エンタープライズ]日本型セキュリティの現実と理想:第25回 中小企業が取り組める現実的なセキュリティ対策とは? https://t.co/Wn5gkbbKhh
— ITmedia (@itmedia) June 22, 2016
[エンタープライズ]「Libarchive」ライブラリに脆弱性、7-Zipなどプログラム多数に影響 https://t.co/KdlgzmZ2En
— ITmedia (@itmedia) June 22, 2016
産総研須崎さんのUSENIXのセキュリティ関連の講演に関するツイートです
セキュリティ1つ目。アドレスを変えた複数の実行から攻撃を検出するMulti-variant execution environments [MVEE]の技術がある。しかし、システムコールのモニタをプロセス外で行うとCross processになって遅い。(続く)
— suzaki (@KuniSuzaki) June 22, 2016
提案するReMonではIn Process Monitorをプロセス内に入れ、system callの前にフックして効率化する。
ReMonのソースコード https://t.co/bIsZKxfPhK— suzaki (@KuniSuzaki) June 22, 2016
セキュリティ2つ目。話題のBlock chainに関するセキュリティの話。Block chain上の作られたGlobal Naming & Storage SystemであるBlockstackを開発した。ソースはhttps://t.co/KLqlAl4sA4
— suzaki (@KuniSuzaki) June 22, 2016
セキュリティ3つ目。Best Student PaperであるSatelliteの発表。各国(AC?)のCensorshipによりDNSの結果が異なることがある。SatelliteではDNSの同一性やドメインの類似度を計算して評価。
— suzaki (@KuniSuzaki) June 22, 2016
Satelliteの結果は https://t.co/uNCZRNUXNr で公開している。
— suzaki (@KuniSuzaki) June 22, 2016
Satelliteの結果を聞くとWebアーカイブhttps://t.co/iW0bisuesl など結果が信じられなくなる。本当HPのアーカイブなのだろうか?ポイズニングもできるのか?
— suzaki (@KuniSuzaki) June 22, 2016
セキュリティ4つ目。Counterfeit Object-Oriented Programming (COOP) attack[S&P 15]はC++に限られていたが、Objective-Cでも有効なこと、これを防ぐSubversive-Cの発表。
— suzaki (@KuniSuzaki) June 22, 2016
Subversive-CではObject layout integrityのために各クラスのHMACで取ることで保証するらしい。
— suzaki (@KuniSuzaki) June 22, 2016