2017年10月に起こったセキュリティニュースのアレコレをまとめてみた。
どもどもにゃんたくです(「・ω・)「ガオー
……(´;ω;`)
はい、私事ながら、11月のはじめから食中毒の腸炎が原因で発熱と腹痛で10日間ほどぶっ倒れておりました。
仕事関係の皆様には本当にご迷惑をおかけ致しました。申し訳ございませんでした。
また、多くの皆様から体調について励ましのメッセージやコメント等も頂きました。
ありがとうございました。おかげで元気になりました。
今までは食中毒関連のニュースを見ても他人事のように感じていましたが、まさか自分が食中毒になるとは思ってもいませんでした。
この時期はインフルエンザ等も流行っているため、皆さんも体調管理には十分お気をつけください。
本ブログも全て先月中にまとめてはいたのですが公開しようと思ったタイミングで体調が悪くなってしまい公開が遅れてしまいました。
大分時間が経ってしまいましたが、先月のまとめです。
脆弱性のアレコレ
Dnsmasqに複数の脆弱性
【概要】
Dnsmasqに複数の脆弱性が存在し、第三者によって任意のコード実行や、情報の漏えい、サービス運用妨害 (DoS) 攻撃が行われる可能性がある。
※Dnsmasqは、DNSやDHCPなどのサービスを提供するオープンソースソフトウェア
【CVE番号】
CVE-2017-14491(ヒープベースのバッファオーバーフロー (CWE-122))
CVE-2017-14492(ヒープベースのバッファオーバーフロー (CWE-122))
CVE-2017-14493(スタックベースのバッファオーバーフロー (CWE-121))
CVE-2017-14494(情報漏えい (CWE-200))
CVE-2017-14495(無制限なリソースの消費(リソース枯渇) (CWE-400))
CVE-2017-14496, CVE-2017-13704(整数アンダーフロー (CWE-191))
【対象】
Dnsmasq バージョン 2.77 およびそれ以前
【対策】
○アップデートする(以下脆弱性修正済みバージョン)
Dnsmasq バージョン 2.78
【参考情報】
Vulnerability Note VU#973527 - Dnsmasq contains multiple vulnerabilities
JVNVU#93453933: Dnsmasq に複数の脆弱性
Dnsmasqに複数の脆弱性 - Google指摘 | マイナビニュース
オープンソースのDNSソフトウェア「Dnsmasq」、3件のRCE脆弱性など7件の脆弱性 -INTERNET Watch
Dnsmasqに7件の脆弱性、AndroidやLinuxなど広範に影響の恐れ パッチ適用を - ITmedia エンタープライズ
DNS ソフトウェア「Dnsmasq」に複数の脆弱性、攻撃可能な条件と対策を解説 | トレンドマイクロ セキュリティブログ
Adobe Flash Playerに脆弱性
【概要】
Adobe Flash Player に型の混同 (Type Confusion) の脆弱性が存在し、第三者によって任意のコードを実行される可能性がある
※型の混同 (Type Confusion):同じメモリ領域を2つの異なる型で通信した際にデータの処理に問題が発生すること
【CVE番号】
CVE-2017-11292
※Adobe識別ID:APSB17-32
【対象】
・Adobe Flash Player Desktop Runtime 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
・Adobe Flash Player for Google Chrome 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
・Adobe Flash Player for Microsoft Edge and Internet Explorer 11 27.0.0.130 およびそれ以前 (Windows 10、Windows 8.1)
【対策】
○アップデートする(以下脆弱性修正済みバージョン)
バージョン 27.0.0.170
【参考情報】
https://helpx.adobe.com/jp/security/products/flash-player/apsb17-32.html
JVNVU#92489697: Adobe Flash Player に型の混同 (Type Confusion) の脆弱性
Adobe Flash Player の脆弱性対策について(APSB17-32)(CVE-2017-11292):IPA 独立行政法人 情報処理推進機構
Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起
アドビ、「Flash Player」の脆弱性を修正--ゼロディ攻撃が発生 - ZDNet Japan
「Flash Player」にゼロデイ脆弱性、セキュリティアップデートを緊急公開 -INTERNET Watch
WPA2 (Wi-Fi Protected Access II) に脆弱性(KRACKs)
【概要】
無線 LAN (Wi-Fi) の通信規格である、WPA2 (Wi-Fi Protected Access II) に脆弱性が存在し、無線LANの通信範囲に存在する第三者により、通信の盗聴が行われる可能性がある
脆弱性名は『KRACKs』
【CVE番号】
CVE-2017-13077(4-way ハンドシェイクにおける Pairwise Key の再利用)
CVE-2017-13078(4-way ハンドシェイクにおける Group Key の再利用)
CVE-2017-13079(4-way ハンドシェイクにおける Integrity Group Key の再利用)
CVE-2017-13080(Group-key ハンドシェイクにおける Group Key の再利用)
CVE-2017-13081(Group-key ハンドシェイクにおける Integrity Group Key の再利用)
CVE-2017-13082(Fast BSS Transition 再接続リクエストの再送許可とその処理における Pairwise Key の再利用)
CVE-2017-13084(PeerKey ハンドシェイクにおける STK Key の再利用)
CVE-2017-13086(Tunneled Direct-Link Setup (TDLS) ハンドシェイクにおける TDLS PeerKey (TPK) Key の再利用)
CVE-2017-13087(Wireless Network Management (WNM) Sleep Mode レスポンスフレーム処理時の Group Key (GTK) の再利用)
CVE-2017-13088(Wireless Network Management (WNM) Sleep Mode レスポンスフレーム処理時の Integrity Ggroup Key (IGTK) の再利用)
【対象】
WPA2 プロトコルを実装している製品
攻撃の前提条件として、『利用者の使用している無線LANの通信範囲内にいる』必要がある
【対策】
○アップデートする
各ベンダーが提供する情報を元にアップデートする
各ベンダー情報は以下を参照
http://jvn.jp/vu/JVNVU90609033/
http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4
【参考情報】
WPA2 における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構
JVNVU#90609033: Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
WPA2の脆弱性は“大げさ”だった? 「初報だけ盛り上がる問題」を考える (1/3) - ITmedia NEWS
WPA2の脆弱性対策が本格化--週末にユーザーがすべきこと - ZDNet Japan
Wi-FiのWPA2脆弱性「KRACKs」 - 各社の対応は? | マイナビニュース
WPA2の脆弱性「KRACKs」公開、多数のWi-Fi機器に影響の恐れ - CNET Japan
WPA2脆弱性、Androidの対策パッチは11月6日提供予定、iOSの対策済みベータ配布が開始 -INTERNET Watch
Wi-Fi通信内容が盗み見される?「WPA2に弱点」情報まとめ : 科学 : 読売新聞(YOMIURI ONLINE)
WPA2の脆弱性「KRACKs」、ほぼすべてのWi-Fi通信可能な端末機器に影響 | トレンドマイクロ セキュリティブログ
Oracle Javaに複数の脆弱性
【概要】
Oracle Java SE JDKやJREに複数の脆弱性が存在し、第三者によってJavaを不正終了されたり任意のコードが実行される可能性がある
※四半期に1度のCritical Patch Update
【CVE番号】
複数のため割愛
参考はコチラ→http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixJAVA
【対象】
Oracle Java SE 9
Oracle Java SE 8 Update 144
Oracle Java SE 7 Update 151
Oracle Java SE 6 Update 161
Oracle Java SE Embedded 8 Update 144
【対策】
○アップデートする
Oracle 社から提供されている最新版にアップデートする
【参考情報】
Oracle Java の脆弱性対策について(CVE-2017-10346等):IPA 独立行政法人 情報処理推進機構
2017年 10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
Oracle Critical Patch Update - October 2017
米Oracleの四半期パッチ公開、Javaなどの脆弱性に対処 - ITmedia エンタープライズ
Java SEやMySQLなどのセキュリティアップデート公開、計252件の脆弱性を修正、Oracleが四半期ごとの定期パッチ配布 -INTERNET Watch
Oracle Java SEに複数の脆弱性、アップデート推奨 | マイナビニュース
Oracleの「Identity Manager」に脆弱性
【概要】
Oracleが提供する「Identity Manager」に脆弱性が存在し、第三者に認証無しでデフォルトアカウントを利用してHTTP経由でログインされ、Oracle Identity Managerにアクセスされてしまう可能性がある
【CVE番号】
CVE-2017-10151
【対象】
Oracle Identity Manager(Versionは以下の通り)
11.1.1.7
11.1.1.9
11.1.2.1.0
11.1.2.2.0
11.1.2.3.0
12.2.1.3.0
【対策】
◯アップデートする
【参考情報】
Oracle Security Alert CVE-2017-10151
Oracleの「Identity Manager」に重大な脆弱性、緊急パッチ公開 すぐに適用を - ITmedia NEWS
オラクルのID管理製品に深刻な脆弱性、修正パッチを臨時公開 - ZDNet Japan
マイクロソフト、10月のセキュリティ更新プログラムに「早期適用」のものあり
【概要】
マイクロソフト、10月のセキュリティ更新プログラムに「早期適用」のものがあり、脆弱性を悪用された場合、リモートから任意のコードを実行される可能性がある
【CVE番号】
複数のため割愛
参考はコチラ→https://blogs.technet.microsoft.com/jpsecurity/2017/10/11/201710-security-bulletin/
※CVE-2017-11826ついては脆弱性の悪用を確認済み
【対象】
Microsoft 製品
【対策】
セキュリティ更新プログラムの適用
【参考情報】
2017 年 10 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム
Microsoft 製品の脆弱性対策について(2017年10月):IPA 独立行政法人 情報処理推進機構
2017年 10月マイクロソフトセキュリティ更新プログラムに関する注意喚起
米Microsoft、10月の月例セキュリティ更新プログラム公開 IEやWindowsなど62件の脆弱性を修正 - ITmedia エンタープライズ
MSの10月更新プログラムは「緊急」「早期の適用を」 JPCERT/CCが呼び掛け - ITmedia NEWS
マイクロソフト、10月のセキュリティ更新プログラム - Office 2007は最後 | マイナビニュース
GNU Wgetに脆弱性
【概要】
GNU Wget に複数のバッファオーバーフローの脆弱性が存在し、第三者から任意のコードを実行される可能性がある
【CVE番号】
CVE-2017-13089
CVE-2017-13090
【対策】
○アップデートする
【参考情報】
JVNVU#99266133: GNU Wget における複数のバッファオーバーフローの脆弱性
「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
【セキュリティ ニュース】「Wget」に深刻な脆弱性 - チャンクエンコードの処理に問題(1ページ目 / 全1ページ):Security NEXT
「楽々はがき」および「楽々はがき セレクト for 一太郎」に脆弱性
【概要】
「楽々はがき」および「 楽々はがき セレクト for 一太郎」にメモリ破壊の脆弱性が存在し、第三者から任意のコードが実行される可能性がある
【CVE番号】
CVE-2017-10870
【対象】
▼個人ユーザ向け製品
一太郎2017
一太郎2016
一太郎2015
楽々はがき2018
楽々はがき2017
楽々はがき2016
▼法人ユーザ向け製品
一太郎Pro3
一太郎Pro2
一太郎Pro
一太郎2011
一太郎Government 8
一太郎Government 7
一太郎Government 6
▼体験版製品
一太郎2017 体験版
【対策】
○アップデートする
【参考情報】
楽々はがき および 楽々はがき セレクト for 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
JVNVU#93703434: 「楽々はがき」および「楽々はがき セレクト for 一太郎」にメモリ破壊の脆弱性
「楽々はがき」にメモリ破壊の脆弱性、「一太郎」シリーズにも影響 - 窓の杜
注意喚起やニュースのアレコレ
米ヤフー、2013年の情報流出で30億人分の情報が流出したと発表
【概要】
米ヤフーで2013年8月に発生した情報流出では、30億人分の情報が流出したと発表した
【参考情報】
Yahoo provides notice to additional users affected by previously disclosed 2013 data theft
ニュース - 米Yahoo!が起こした2013年の情報流出、全30億ユーザー分漏洩との調査結果:ITpro
米ヤフーへのハッキング、30億件の全アカウントに影響の可能性 - CNET Japan
TOKYO MXに不正アクセスがあり、最大37万件の個人情報流出
【概要】
TOKYO MXの公式サイトサーバが不正アクセスを受け、最大37万件の個人情報が流出した
【参考情報】
東京メトロポリタンテレビジョン(TOKYO MX)のプレスリリース(下記PDF2件)
http://s.mxtv.jp/company/press/pdf/press2017_510001.pdf
http://s.mxtv.jp/company/press/pdf/press2017_520001.pdf
「TOKYO MX」公式サイトに不正アクセス 視聴者のメアド最大37万件流出か - ITmedia NEWS
TOKYO MXに不正アクセス 30万人以上の個人情報流出の可能性 - ねとらぼ
Kaspersky(カスペルスキー)が同社製品について内部調査結果を発表
【概要】
米国家安全保障局(NSA)の極秘情報が盗まれた方法として、Kaspersky(カスペルスキー)のウイルス対策ソフトウェアが用いられたという疑惑に対し、Kaspersky(カスペルスキー)が同社製品について内部調査結果を発表した。
【参考情報】
Kaspersky Lab、ソースコードを第三者機関提供など透明性への取り組み強化 | マイナビニュース
Kaspersky、独立機関によるソースコードの検証を発表 - ITmedia エンタープライズ
「ロシアがKaspersky経由でNSAの情報盗んだ」、米紙報道 - ITmedia エンタープライズ
渦中のカスペルスキーが調査報告--NSA職員のPCはすでにマルウェア感染していた - CNET Japan
カスペルスキーはいかにして米政府の機嫌を損ねたか - CNET Japan
NSAのハッキングコード、米パソコンから取得=カスペルスキー | ロイター
カスペルスキー、信用回復に向けソースコードなど外部監査へ - ZDNet Japan
新種のランサムウェア「Bad Rabbit」の感染が拡大
【概要】
新種のランサムウェア「Bad Rabbit」の感染が拡大。感染経路は改ざんされた正規ウェブサイトから、偽のFlashアップデートなどをインストールすると感染する。
【参考情報】
感染が拡大中のランサムウェア「Bad Rabbit」の対策について:IPA 独立行政法人 情報処理推進機構
Bad Rabbit:新たな大規模ランサムウェア攻撃の兆し – カスペルスキー公式ブログ
新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される | トレンドマイクロ セキュリティブログ
ランサムウェア「Bad Rabbit」の内部構造を紐解く | MBSD Blog
ロシアとウクライナに潜む ランサムウェア「BadRabbit」
「Bad Rabbit」ランサムウェアの感染拡大、ロシアなどで報告--「Petya」亜種か - CNET Japan
新種のランサムウェア「Bad Rabbit」--知っておくべき10のこと - ZDNet Japan
ランサムウェア「Bad Rabbit」配布目的で、国内企業サイトが改ざん被害 -INTERNET Watch
ニュース - アイカ工業がファイル改ざんの痕跡を確認、Bad Rabbit拡散の可能性強まる:ITpro
ランサムウェアBadRabbitに関する情報についてまとめてみた - piyolog
GMOインターネットの「サイトM&A」から顧客情報1万4612件が流出
【概要】
GMOインターネットが運営する、サイトを売買する仲介サービス「サイトM&A」が不正アクセスを受け、登録されている顧客情報1万4612件が流出した
【参考情報】
サイトM&A(サイト売買仲介サービス)ご登録会員様情報流出のお詫びとお知らせ(2017年10月30日) - GMOインターネット株式会社
ニュース - GMOインターネットの「サイトM&A」、顧客情報1万4612件が流出:ITpro
GMO、1万4612件の顧客情報が流出--サイト売買サービスに不正アクセス - CNET Japan
GMO、1万4612件の顧客情報が流出--サイト売買サービスに不正アクセス - ZDNet Japan
サイトM&Aの情報漏えいについてまとめてみた - piyolog
「Google Chrome 62」の最新安定版が公開
【概要】
GoogleのWebブラウザ「Google Chrome 62」の最新安定版が公開され、複数の脆弱性に対処されたものとなった
【参考情報】
ブラウザに『保護されていません』の表示が出ても慌てずに(Chrome新バージョンでのセキュリティ警告の条件が変更)
https://www.ipa.go.jp/security/anshin/mgdayori20171031.html
「Google Chrome 62」が正式版に ~HTTP接続のフォームはすべて“非セキュア”扱いへ - 窓の杜
「Google Chrome 62」に脆弱性、修正を施したv62.0.3202.75が公開 - 窓の杜
「Google Chrome 62」が安定版に、35件の脆弱性を修正 - ITmedia エンタープライズ
Google、「Chrome 62」の脆弱性を修正 DoS誘発の恐れ - ITmedia NEWS
『楽天カード』を騙るウイルス付きメールが増加
【概要】
『楽天カード』を騙るウイルス付きメールが増加しており、注意が必要。
日本サイバー犯罪対策センター(JC3)で、2017年10月にウイルス付きメールとして報告されたメールの件名は以下の通り。
口座振替日のご案内【楽天カード株式会社】(楽天カード)
【楽天カード】ご請求予定金額のご案内
【重要】カスタマセンターからのご案内【楽天カード株式会社】
【参考情報】
セキュリティレポートのアレコレ
Webサイトの改ざんに伴う仮想通貨マイニングスクリプトの埋め込み事例 – wizSafe Security Signal -安心・安全への道標- IIJ
【発信元】
wizSafe Security Signal(IIJ)
暗号化しないランサムウェア「ShinigamiLocker」と、スクリーンロッカー/偽ランサムウェアの脅威 | MBSD Blog
【発信元】
AWSの侵入テスト申請フォームが変更された件 - とある診断員の備忘録
【発信元】
とある診断員さん(https://twitter.com/tigerszk)
10月のpiyologまとめ
WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
ランサムウェアBadRabbitに関する情報についてまとめてみた - piyolog
サイトM&Aの情報漏えいについてまとめてみた - piyolog
【発信元】
piyokangoさん(https://twitter.com/piyokango)
以上です。
ではでは( ˘ω˘)
ランサムウェア『Bad Rabbit』について超絶簡単にまとめてみた。 #BadRabbit
どもどもにゃんたくです(「・ω・)「ガオー
新しいランサムウェア『Bad Rabbit(バッドラビット)』について話題になっているため、現時点(2017/10/25 AM09:30時点ですが都度更新予定)で、僕が収集できた情報をまとめておきます。
※とりいそぎ、ですので悪しからずm(_ _)m
今回の感染ですが、
・Webサイトに悪意のあるjavascriptが埋め込まれてしまい、サイトにアクセスした利用者はドライブバイダウンロードで感染する
・悪意のあるjavascriptが埋め込まれたサイトでは偽のFlash Player用のアップデートをダウンロードするよう求めるポップアップが表示される
・上記のアップデートを『インストール』するとランサムウェアに感染してしまう
という流れで感染してしまうようです。
- 偽のFlash Player用のアップデートでインストールされる『install_flash_player.exe』情報
- 『install_flash_player.exe』をインストールしたあとにコンピュータ上で作成されるファイル一覧
- 感染後の通信先
- 暗号化される拡張子まとめ
- 参考情報
偽のFlash Player用のアップデートでインストールされる『install_flash_player.exe』情報
▼ファイル名
install_flash_player.exe
▼Hash値
・SHA-256
630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
・MD5
fbbdc39af1139aebba4da004475e8839
de5c8d858e6e41da715dca1c019df0bfb92d32c0
▼Virustotal結果
▼install_flash_player.exeのインストール先のドメイン
1dnscontrol [.] com
※Virustotal結果→https://www.virustotal.com/#/domain/1dnscontrol.com
※URLは、hxxp://1dnscontrol[.]com/flash_install[.]php
『install_flash_player.exe』をインストールしたあとにコンピュータ上で作成されるファイル一覧
C:\Windows\infpub.dat
C:\Windows\cscc.dat
C:\Windows\dispci.exe
C:\Windows\System32\Tasks\drogon
C:\Windows\System32\Tasks\rhaegal
▼infpub.dat
Hash値:579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
※Virustotal結果
※SMB経由で他のコンピュータに広がる機能も含む
▼cscc.dat
Hash値:0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
※Virustotal結果
▼dispci.exe
Hash値:8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
※Virustotal結果
▼drogonやvise rionについて
これらは、
・ログイン時に他のプログラムを実行
・Windowsが起動する前にブートロック画面を表示
・コンピュータをシャットダウンして再起動
の機能を含んでいる
感染後の通信先
hxxp://caforssztxqzf2nm[.]onion
※Virustotal結果
暗号化される拡張子まとめ
.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip
参考情報
Bad Rabbit ransomware - Securelist
Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers | ZDNet
https://gizmodo.com/bad-rabbit-ransomware-strikes-russia-and-ukraine-1819814538
ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害 - ITmedia エンタープライズ
Return of Not Petya as Bad Rabbit Diskcoder, yes those two are the same! – Mjolnir Security
データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大 - GIGAZINE
「Bad Rabbit」ランサムウェアの感染拡大、ロシアなどで報告--「Petya」亜種か - ZDNet Japan
https://otx.alienvault.com/pulse/59effcdc7b645929152518a9/
https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/
新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される | トレンドマイクロ セキュリティブログ
ランサムウエア「Bad Rabbit」、ファイルや変数の名前に「ゲーム・オブ・スローンズ」のキャラクターを使用 -INTERNET Watch
ランサムウェア「Bad Rabbit」、日本の被害情報は“錯綜” - ZDNet Japan
新種ランサムウェア「Bad Rabbit」、国内でも感染か - JPCERT/CC | マイナビニュース
【セキュリティ ニュース】「Petya」類似の新種ランサム「Bad Rabbit」 - ニュースサイト経由で感染誘導(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】国内でも「Bad Rabbit」を観測 - 2月には誘導スクリプトが稼働か(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】ランサム「Bad Rabbit」拡散、国内サイトも踏み台に - 3.8%を日本で検出(1ページ目 / 全2ページ):Security NEXT
感染が拡大中のランサムウェア「Bad Rabbit」の対策について:IPA 独立行政法人 情報処理推進機構
以上です。何かの参考にしていただけたら幸いです。
<更新履歴>
2017/10/25 10:20 公開
2017/10/25 11:50 参考情報追記、暗号化される拡張子まとめの項目追加
2017/10/25 20:00 参考情報追記
仮想通貨をマイニングするコードが埋め込まれているChromeの拡張機能(エクステンション)を見つけた話。
どもどもにゃんたくです(「・ω・)「ガオー
いきなりですが、最近こんな報道が増えていますよね。
今回はそんな悪意のある(まぁ見方によっては、ですけど)Chromeの拡張機能(エクステンション)を見つけたって話をします。
まずは見つけたChromeの拡張機能(エクステンション)情報を載せておきます。
なにかの参考にしてみて下さい。
見つけたChromeの拡張機能(エクステンション)情報
①Google URL Shortener
hxxps://chrome.google.com/webstore/detail/google-url-shortener/bmnjjjinhhbgfapfngmpekkbhefjfblj
※直接Chrome ウェブストアにアクセス出来ないようにhttpsの箇所をhxxpsと改変しています
▼内容
現在公開されているVersion1.7に含まれる「bg.min.js」のコード内にマイニングコードが記載されている。
※Version1.6以前の「bg.min.js」にはマイニングコード無し
▼Version1.7に含まれる「bg.min.js」のVirustotal結果
Hash値(SHA-256):f2be9a3a279d5d11ee3a50a084c4b4c9a5bddf2ec9a293c5a594c322eb09a056
File size:105.63 KB
検知率:16 / 57
▼Chrome Extensions Archive(Google URL Shortener)
Google URL Shortener - Chrome Extensions Archive
※Version1.7のZipをダウンロードしようとするとWindows defenderによってダウンロードできないことを確認(Windows8.1)
※Chrome Extensions Archiveとは、Chromeの拡張機能(エクステンション)のソースコードがアーカイブされているサイト
②クイックダウンロード
hxxps://chrome.google.com/webstore/detail/quick-downloads/hakhgnibnkpibkhlccbkhdgikiockaib?hl=ja
※直接Chrome ウェブストアにアクセス出来ないようにhttpsの箇所をhxxpsと改変しています
▼内容
現在公開されているVersion1.14の「bg.min.js」にはマイニングするコードの記載無し
※Version1.11の「bg.min.js」にはマイニングコードあり
▼Version1.11に含まれる「bg.min.js」のVirustotal結果
Hash値(SHA-256):a4fdd07528dad620c50d267c6ca5187b57f2bccd04aeb56d25e324a9f7887bd8
File size 105.16 KB
検知率:17 / 58
▼Chrome Extensions Archive(Quick Downloads)
Quick Downloads - Chrome Extensions Archive
※Version1.11のZipをダウンロードしようとするとWindows defenderによってダウンロードできないことを確認(Windows8.1)
※Chrome Extensions Archiveとは、Chromeの拡張機能(エクステンション)のソースコードがアーカイブされているサイト
見つけた経緯とかその他もろもろ
冒頭に書いた最近Chromeの拡張機能(エクステンション)を装った悪性のエクステンションが増えてるのかー、そんなんあるのかーくらいしか思ってなかったんですよね。
そんなある日のこと、セキュリティ情報を収集していて、リンク集みたいのを作っていた時に、「あーリンク先のURLを短縮したいなぁ。そんなツールないかなぁ」とググってたんですよ。
そしたらGoogleが提供している短縮URLを作成するためのツール『Google URL Shortener』というのを見つけてラッキー!と思っていたんです。
この時ふと、検索結果一覧の上位に『Google URL Shortener』のChrome拡張機能がChrome ウェブストアで配信されていることを見つけたんです。(上記画像の上から4つ目)
…もしや(; ・`ω・´)
そしたらインストールページのユーザーコメント欄に明らかアカンよ的なコメントがあることを確認したんですよね↓
ちょうど2つ目のコメントにVirustotalのURLが貼ってあったので実際にアクセスしてみたところ、「bg.min.js」というjsファイルのレピュテーションが悪いという結果が書いてありました。
そこで実際にChrome Extensions Archiveという、Chromeの拡張機能(エクステンション)のソースコードがアーカイブされているサイトから、このGoogle URL Shortenerのページを探して、かつ「bg.min.js」というファイルの中身を見てみたんです。
ソースコードとかほとんど読めない(プログラミングもほぼできない)にゃんたくさん。
あまりにもコードの行が多くて読むの諦めていた時に、コードの下の方にどこかで見たことのある文字列を見つけました。
そう、「Coinhive」。
この記事で読んだなぁということをふと思い出したんですよね。
ちなみにCoinhiveとは、『サイトの運営者が、閲覧者に仮想通貨を採掘させ、その収益を受け取るサービスだ。専用のJavaScriptコードをサイトに埋め込むと、そのサイトを閲覧した人のPCのCPUパワーを使い、仮想通貨「Monero」を採掘。』
(参照:http://www.itmedia.co.jp/news/articles/1710/11/news084.html)
というわけで、実際に「Coinhive」をマイニングするためのコードを調べてみました。
どうやら以下のコードをサイトに埋め込む必要があるようです。
<script src="https://coin-hive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.User('<site-key>', 'john-doe');
miner.start();
</script>
※色の付いた箇所は改変出来る場所のようです
で、実際に「bg.min.js」のコード内を見てみると…
※ちょっと画像見にくくてすみません(; ・`ω・´)
はい、マイニングするためのコードが存在しましたね。
&なんだか「気味の悪い」プロキシのURLなんかも書いてありました。
この時点で怪しさMAXだと感じたので、この『Google URL Shortener』というChromeの拡張機能の作成者が他にもChromeの拡張機能を作成していないかを調べてみたところ、『Quick Downloads』という拡張機能も作成しており、『Google URL Shortener』の「bg.min.js」の中身を調べた方法と同じように『Quick Downloads』の「bg.min.js」の中身をの調べたら、ほぼ同じコードが記載されたVersionも見つけることができました。
さてさてさて、今回見つけたような仮想通貨をマイニングするようなモノは一体マルウェアと言えるのだろうか、という話ですが。。。。答えは正直グレーだと僕は思っています。
ただ、勝手に自分のCPUのリソースを使われるのは釈然としないですよね。
どちらかというと、不審なChrome拡張機能がChrome ウェブストア上でまだまだインストールできる可能性がある、ということの方を気にしなくてはいけないではと思います。
ただ、なかなかChrome ウェブストア上で不審な拡張機能を見つけるということ自体難しい気もします。
ですので、拡張機能を利用する際は、その機能をインストールしたユーザーのコメントを見てみたり、その拡張機能についてインターネット検索してみて、不審ではないか調べてみることをオススメします。
また、仕事などでChromeを使っている方は、会社等のポリシーなどでChromeの拡張機能について定められていると思いますので、確認してみて下さい。
今回もここまで読んでいただきありがとうございました。
何かの参考にしていただけら幸いです。
今回このブログを書くにあたり参考にしたページもまとめておきます。
参考情報
http://news.mynavi.jp/news/2017/10/17/066/
https://japan.cnet.com/article/35105920/
http://www.itmedia.co.jp/news/articles/1710/11/news084.html
https://japan.cnet.com/article/35108804/
http://tetsuyaimagawa.hatenablog.com/entry/2017/09/21/coinhive
http://nmi.jp/2017-10-10-About-coinhive
https://www.nasnem.xyz/entry/coinhive-mining-apologize
http://gigazine.net/news/20170920-pirate-bay-mining/
https://bitcoin-matome.info/altcoin/whats-monero/
https://bitflyer.jp/ja/bitcoinmining
ではでは~。
∠ \
| \
∠ニニニ>
( ・∀・)
/~~ハヽつ┓_ /
/ OO|(・∀・) ―
`~uu′ ̄ ̄ \
2017年9月に起こったセキュリティニュースのアレコレをまとめてみた。
どもども、にゃんたくです(「・ω・)「ガオー
なんだかこないだまで雨ばっかりの夏だったのがすっかり終わってしまい、気づけばもう10月…今年ももう100日を切ってしまいましたね。
9月はヤバめな脆弱性の情報が報告されたり、DDoS攻撃やリスト型攻撃が多かったのかなという感じです。
そうそう余談ですが、リスト型攻撃については、そろそろ呼び方を「パスワード使い回され攻撃」に変えたほうが良いような気がするんですよね。その方がどういった攻撃なのかをパッと理解できるんではないかな、なんて思うんです。
あ、リスト型攻撃についてはこの記事が結構わかりやすく書いてあるのでオススメです→ポイント不正利用が相次ぐ 「リスト型攻撃」対策を : 科学 : 読売新聞(YOMIURI ONLINE)
さてさて、先月2017年9月のまとめです。
今回はちょっとレポート系多めです。
- 脆弱性のアレコレ
- 注意喚起やニュースのアレコレ
- 東京ガスの「myTOKYOGAS」にリスト型攻撃
- ロート製薬の「ココロートパーク」にリスト型攻撃
- 「CCleaner」が改ざんされ、マルウェアが混入される
- WordPressが複数の脆弱性を修正した「WordPress 4.8.2」をリリース
- Joomla!が複数の脆弱性を修正した「Joomla! 3.8」をリリース
- Appleが「macOS High Sierra 10.13」をリリース
- iOS上で大量のアイコンを作成する「YJSNPI ウイルス」に注意
- 大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出
- 「Dirty COW」の脆弱性を突くAndroidマルウェアが日本で検出
- 金融業者やFX事業者へのDDoS攻撃が多発
- フィッシングメールのアレコレ
- セキュリティレポートのアレコレ
- 【注意喚起】Windowsアプリケーションの利用における注意
- Phantom Squad を名乗る攻撃者からの DDoS 攻撃に関する情報
- マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25)
- 2017年上半期 Tokyo SOC 情報分析レポート 公開
- JSOC INSIGHT vol.17
- Mirai 亜種の活動状況について
- WannaCry まだ終わってなくない?
- Apache Struts 2のStruts RESTプラグインの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)に関する調査レポート
- 徳島県警察の誤認逮捕事件についてまとめてみた
- 仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた
脆弱性のアレコレ
Apache Struts2に脆弱性(S2-052)
【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある
※(S2-052)以外の脆弱性も報告されています、別途以下のブログでまとめてありますのでそちらをご参照下さい
Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 - にゃんたくのひとりごと
【CVE番号】
CVE-2017-9805
【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 - にゃんたくのひとりごと
NTTドコモの「Wi-Fi STATION L-02F」に複数の脆弱性
【概要】
NTTドコモが提供する LG Electronics 製の「Wi-Fi STATION L-02F」にバックドアの問題やアクセス制限不備の脆弱性が存在
※該当機器は2014年2月に発売され、現在は生産が終了している
【CVE番号】
CVE-2017-10845
CVE-2017-10846
【対象】(CVE別)
・CVE-2017-10845(バックドアの問題)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10g およびそれ以前
・CVE-2017-10846(アクセス制限不備の脆弱性)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10b およびそれ以前
【対策】
▼アップデートする(両脆弱性ともに下記バージョンにアップデート)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10h
【参考情報】
Wi-Fi STATION L-02Fの製品アップデート情報 | お客様サポート | NTTドコモ
「Wi-Fi STATION L-02F」にバックドアの問題(JVN#68922465):IPA 独立行政法人 情報処理推進機構
NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起
JVN#68922465: Wi-Fi STATION L-02F にバックドアの問題
JVN#03044183: Wi-Fi STATION L-02F におけるアクセス制限不備の脆弱性
2014年発売のドコモ「Wi-Fi STATION」にバックドアなどの脆弱性 | マイナビニュース
Bluetooth の実装に複数の脆弱性(脆弱性名:BlueBorne)
【概要】
Bluetooth の実装に複数の脆弱性が存在し、約数十億台の機器に影響がある可能性がある(脆弱性名:BlueBorne)
※該当の脆弱性についてチェックできるAndoridアプリあり
→BlueBorne Vulnerability Scanner by Armis - Google Play の Android アプリ
【CVE番号】
CVE-2017-0781
CVE-2017-0782
CVE-2017-0783
CVE-2017-0785
CVE-2017-1000250
CVE-2017-1000251
CVE-2017-14315
CVE-2017-8628
【対象】(CVE番号別)
・CVE-2017-0781(ヒープベースのバッファオーバーフロー)
・CVE-2017-0782(整数アンダーフロー)
・CVE-2017-0783(中間者攻撃 (man-in-the-middle attack) )
・CVE-2017-0785(領域外読み込み)
→Android セキュリティパッチレベル 2017年 9月を適用していないバージョン
・CVE-2017-1000250(領域外メモリ参照)
→Linux BlueZ すべてのバージョン
・CVE-2017-1000251(バッファオーバーフロー)
→Linux Kernel 3.3-rc1 以降のバージョン
・CVE-2017-14315(ヒープベースのバッファオーバーフロー)
→iOS version 9.3.5 およびそれ以前 、tvOS version 7.2.2 およびそれ以前
・CVE-2017-8628(中間者攻撃 (man-in-the-middle attack) )
→Windows Vista 以降の2017年 9月マイクロソフトセキュリティ更新プログラムを適用していないバージョン
【対策】
▼アップデートする
→Windows、iOS、Linux kernel、Android では、本脆弱性の対策がおこなわれている
▼ワークアラウンドを実施する
機器の Bluetooth 接続をオフにすることで、本脆弱性の影響を軽減することが可能
【参考情報】
Bluetooth の実装における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起
JVNVU#95513538: 様々な Bluetooth 実装に複数の脆弱性
Vulnerability Note VU#240311 - Multiple Bluetooth implementation vulnerabilities affect many devices
脆弱性「BlueBorne」:Bluetooth機能をオフ、そして直ちに更新プログラム適用を | トレンドマイクロ セキュリティブログ
Bluetoothの脆弱性「BlueBorne」で50億台以上のデバイスにセキュリティリスクあり : マカフィー株式会社 公式ブログ
Bluetoothをオンにするだけで乗っ取られる? 新たな脅威、「BlueBorne」の恐ろしさ (1/2) - ITmedia エンタープライズ
BlueBorne Vulnerability Scanner by Armis - Google Play の Android アプリ
Apache Tomcat に複数の脆弱性
【概要】
Apache Tomcat に複数の脆弱性が存在し、遠隔からの任意のコード実行や情報漏えいなどの影響を受ける可能性がある
【CVE番号】
CVE-2017-12615
CVE-2017-12616
CVE-2017-12617
【対象】(CVE番号別)
・CVE-2017-12615
→Apache Tomcat 7.0.0 から 7.0.79 まで
・CVE-2017-12616
→Apache Tomcat 7.0.0 から 7.0.80 まで
・CVE-2017-12617
→Apache Tomcat 9.0.0.M1 から 9.0.0 まで
→Apache Tomcat 8.5.0 から 8.5.22 まで
→Apache Tomcat 8.0.0.RC1 から 8.0.46 まで
→Apache Tomcat 7.0.0 から 7.0.81 まで
→影響を受けるバージョン不明(2017年9月30日現在)
→ Apache Tomcat の readonly パラメータを false に設定し、HTTP PUT メソッドを有効にしている場合に、遠隔から任意のコードが実行される可能性がある
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
※ 8.0系および 7系については 10月4日時点で、修正済みのバージョンは
提供されておりません
▼回避策
→Apache Tomcat において、readonly パラメータを true に設定するか、HTTP PUT リクエストを受け付けないよう設定
※readonly パラメータは、デフォルトでは、true に設定
【参考情報】
JVNVU#99259676: Apache Tomcat の複数の脆弱性に対するアップデート
「Apache Tomcat」にゼロデイ脆弱性、JPCERT/CCが回避策を案内 -INTERNET Watch
Sambaに複数の脆弱性
【概要】
Sambaに複数の脆弱性が存在し、悪用されると機密情報を窃取される可能性がある
【CVE番号】
CVE-2017-12150
CVE-2017-12151
CVE-2017-12163
【対象】(CVE番号別)
・CVE-2017-12150
→Samba 3.0.25?4.6.7
・CVE-2017-12151
→Samba 4.1.0?4.6.7
・CVE-2017-12163
→Sambaのすべてのバージョン
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
Samba 4.6.8
Samba 4.5.14
Samba 4.4.16
【参考情報】
https://www.samba.org/samba/security/CVE-2017-12150.html
https://www.samba.org/samba/security/CVE-2017-12151.html
https://www.samba.org/samba/security/CVE-2017-12163.html
Sambaに複数の脆弱性 - US-CERT | マイナビニュース
Sambaに複数の脆弱性(CVE-2017-12150, CVE-2017-12151, CVE-2017-12163) — | サイオスOSS | サイオステクノロジー
注意喚起やニュースのアレコレ
東京ガスの「myTOKYOGAS」にリスト型攻撃
【概要】
東京ガスのガス・電気料金情報Web照会サービス「myTOKYOGAS」がリスト型攻撃を受け、不正アクセスされる
【参考情報】
東京ガス : 重要なお知らせ / ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出について
東京ガス : 重要なお知らせ / ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出ならびにポイントの不正使用について
ニュース - 東京ガスに再びリスト型攻撃、個人情報流出とポイント不正使用の疑い:ITpro
ロート製薬の「ココロートパーク」にリスト型攻撃
【概要】
ロート製薬の会員サイト「ココロートパーク」がリスト型攻撃を受け、不正アクセスされる
【参考情報】
【セキュリティ ニュース】ロート製薬の会員サイトに不正アクセス - パスワードなど閲覧被害(1ページ目 / 全1ページ):Security NEXT
弊社会員サイトへの不正アクセスと対応のお知らせ | ロート製薬株式会社
弊社会員サイトへの断続的な不正アクセスと弊社対応のお知らせ | ロート製薬株式会社
「CCleaner」が改ざんされ、マルウェアが混入される
【概要】
CCleanerが改ざんされ、ユーザの PCにインストールされているソフトウェア一覧やMACアドレスなどの情報がUSのサーバに送信されていた。すでにサーバは停止。
※CCleanerとは、Windowsの不要ファイルや不要レジストリを簡単に削除できるフリーソフト
【影響をうける対象】
・32bit版の CCleaner v5.33.6162(8/15リリース)
・CCleaner Cloud v1.07.3191(8/24リリース)
【対策】
▼アップデートする(以下対策済みバージョン)
CCleaner v5.35
【参考情報】
マルウエアが仕込まれた「CCleaner」が配布されていた問題
システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信 - 窓の杜
改竄の発表以降「CCleaner」が初めての更新。新しい電子署名を施したv5.35が公開 - 窓の杜
CCleanerのマルウェア混入問題はIntel・ソニー・Microsoftなど大企業を狙ったターゲット型攻撃だったと判明 - GIGAZINE
CCleanerマルウェア汚染、被害を受けた国・地域トップ10といくつかの謎 | マイナビニュース
「CCleaner」悪用の攻撃者、NECや富士通、ソニーにマルウェアを配信か - ZDNet Japan
WordPressが複数の脆弱性を修正した「WordPress 4.8.2」をリリース
【概要】
WordPressに複数の脆弱性が存在し、クロスサイトスクリプティングやSQLインジェクションを受ける可能性があるため、修正版がリリースされた。
なお、脆弱性の影響を受けるWordPressのバージョンは「4.8.1」以前である。
【参考情報】
WordPress 4.8.2 Security and Maintenance Release
WordPressが「4.8.2」にアップデート、5件のXSS脆弱性、2件のパストラバーサル脆弱性などを修正 -INTERNET Watch
【セキュリティ ニュース】「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ(1ページ目 / 全1ページ):Security NEXT
Joomla!が複数の脆弱性を修正した「Joomla! 3.8」をリリース
【概要】
Joomla!に複数の脆弱性が存在し、情報漏えいを引き起こす可能性があるため、修正版がリリースされた。
なお、脆弱性の影響を受けるJoomla!のバージョンは、Joomla 1.5.0から3.7.5までのバージョンである。
【参考情報】
オープンソースのCMS「Joomla! 3.8.0」リリース | Think IT(シンクイット)
【セキュリティ ニュース】「Joomla! 3.8」がリリース、脆弱性2件を解消(1ページ目 / 全1ページ):Security NEXT
Appleが「macOS High Sierra 10.13」をリリース
【概要】
Appleが脆弱性43件を解消した「macOS High Sierra 10.13」をリリースした。
なお、限定的ではあるがゼロデイの脆弱性も報告されている
※その他Apple製品でもアップデート情報あり
【参考情報】
JVNVU#99806334: 複数の Apple 製品における脆弱性に対するアップデート
「macOS High Sierra 10.13」では脆弱性43件を修正 -INTERNET Watch
公開されたmacOS High Sierraに脆弱性、パスワード窃取のおそれ | マイナビニュース
「macOS High Sierra」、パスワード盗まれるゼロデイ脆弱性の指摘--リリース直前に - CNET Japan
iOS上で大量のアイコンを作成する「YJSNPI ウイルス」に注意
【概要】
2017年6月にランサムウェア作成の容疑で逮捕された日本の未成年者が作成・拡散した不正プロファイル「YJSNPI(ヤジュウセンパイ)ウイルス)」(別名:「iXintpwn(アイシントポウン)」)が拡散しており、トレンドマイクロが解説をおこなった
【参考情報】
iOS 上で大量のアイコンを作成する不正プロファイル「YJSNPI ウイルス」こと「iXintpwn」を解説 | トレンドマイクロ セキュリティブログ
iPhone上に大量のアイコンを作成する「YJSNPI ウイルス」とは? | マイナビニュース
【注意】iPhoneの画面に大量のアイコンが増殖、「YJSNPI ウイルス」が拡散中 - iPhone Mania
大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出
【概要】
アメリカの大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出した。なお、悪用されたのはApache Strutsの脆弱性(CVE-2017-5638)とのこと。
【参考情報】
Equifaxの情報流出、「Apache Struts」の脆弱性に起因--パッチ適用怠る? - ZDNet Japan
ハッキングで苦境のEquifax、ついにCEOも辞任 - CNET Japan
サンフランシスコ市が、情報漏洩の影響を受けた1500万人のカリフォルニア州住民を代表して、Equifaxを提訴 | TechCrunch Japan
Equifax、インシデント報告サイトが逆にフィッシング詐欺に使われる危険性 | マイナビニュース
「Dirty COW」の脆弱性を突くAndroidマルウェアが日本で検出
【概要】
「Dirty COW」(CVE-2016-5195)の脆弱性を突くAndroidマルウェア「ZNIU」が日本で検出された。感染を防ぐにはGoogle Playや、信頼できるサードパーティーのアプリストアからアプリのインストールを行うこと。
※「Dirty COW」(CVE-2016-5195)とは、Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構には、競合状態が発生する脆弱性
【参考情報】
「ZNIU」:脆弱性Dirty COWを突くAndroid端末向け不正アプリを確認 | トレンドマイクロ セキュリティブログ
「Dirty COW」の脆弱性を突くAndroidマルウェア出現、日本でも感染 - ITmedia NEWS
脆弱性「Dirty COW」を悪用したAndroidマルウェアが日本でも検出 -INTERNET Watch
JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性
金融業者やFX事業者へのDDoS攻撃が多発
【概要】
金融業者やFX事業者へのDDoS攻撃が多発しており、一時的にサービスが利用しにくくなる障害が発生。攻撃元が同一かは不明。
【参考情報】
ニュース - ネット金融狙うDDoS攻撃が続く、脅迫型による被害も明らかに:ITpro
ニュース - FX事業者などを狙ったDDoS攻撃が多発、外為どっとコムや東洋証券が被害:ITpro
仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた - piyolog
フィッシングメールのアレコレ
【概要】
▼フィッシング対策協議会の緊急情報(9月)で報告されたサイトまとめ
・OMC Plus
・Amazon
・Apple
・セゾン Net アンサー
・マイクロソフト
▼佐川急便の偽メールも増加しており、注意が必要
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/09/22)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Apple をかたるフィッシング (2017/09/19)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] セゾン Net アンサーをかたるフィッシング (2017/09/11)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/09/11)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | マイクロソフトをかたるフィッシング (2017/09/04)
佐川急便を装った迷惑メールにご注意くださ...│お知らせ│佐川急便株式会社<SGホールディングスグループ>
セキュリティレポートのアレコレ
【注意喚起】Windowsアプリケーションの利用における注意
【公開ページ】
https://www.ipa.go.jp/security/ciadr/vul/20170928_dll.html
【企業・団体】
Phantom Squad を名乗る攻撃者からの DDoS 攻撃に関する情報
【公開ページ】
http://www.jpcert.or.jp/newsflash/2017092101.html
【企業・団体】
JPCERT コーディネーションセンター
マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25)
【公開ページ】
http://www.jpcert.or.jp/magazine/acreport-search-datper.html
【企業・団体】
JPCERT コーディネーションセンター
2017年上半期 Tokyo SOC 情報分析レポート 公開
【公開ページ】
https://www.ibm.com/blogs/tokyo-soc/tokyo_soc_report2017_h1/
【企業・団体】
Tokyo SOC Report(IBM)
JSOC INSIGHT vol.17
【公開ページ】
https://www.lac.co.jp/lacwatch/report/20170925_001387.html
【企業・団体】
LAC
Mirai 亜種の活動状況について
【公開ページ】
https://sect.iij.ad.jp/d/2017/09/145930.html
【企業・団体】
IIJ-SECT(株式会社インターネットイニシアティブ)
WannaCry まだ終わってなくない?
【公開ページ】
https://sect.iij.ad.jp/d/2017/09/192258.html
【企業・団体】
IIJ-SECT(株式会社インターネットイニシアティブ)
Apache Struts 2のStruts RESTプラグインの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)に関する調査レポート
【公開ページ】
https://www.softbanktech.jp/information/2017/20170908-01/
【企業・団体】
ソフトバンク・テクノロジー株式会社
徳島県警察の誤認逮捕事件についてまとめてみた
【公開ページ】
http://d.hatena.ne.jp/Kango/20170910/1505065248
【企業・団体・作成者】
piyokangoさん(https://twitter.com/piyokango)
仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた
【公開ページ】
http://d.hatena.ne.jp/Kango/20170918/1505751604
【企業・団体・作成者】
piyokangoさん(https://twitter.com/piyokango)
以上です。
とりっくおあとりーと!
/〉
/⌒⌒⌒\
| ○..○|/――、
\_ww// ̄ヽ |
/( ゚Д゚)/ ̄ ̄)ノ
_/ / フつO
\ // /|
\ /ノ
 ̄ ̄ ̄
―=≡=―
※更新履歴※
2017/010/04:『Apache Tomcat に複数の脆弱性』の内容を一部更新
Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。
どもども、にゃんたくです(「・ω・)「ガオー
Apache Software Foundationから、2017年9月5日、9月7日に脆弱性を修正した最新版のバージョン情報が公開されました。
特に、公開された脆弱性(S2-052)(CVE-2017-9805)については対策をしていない場合、攻撃されやすいという事から多数の報道機関より注意喚起がでております。
今回表題の脆弱性情報を収集していた際に参考になった情報をまとめました。
※注意※
下記情報の中にPoC情報も記載しておりますが、こちらを試行する際はあくまでもクローズドな自環境で行うことを勧めます
Apache Software Foundationが公開した最新版情報
▼07 September 2017 - Struts 2.3.34 General Availability
http://struts.apache.org/announce.html#a20170907
▼05 September 2017 - Struts 2.5.13 General Availability
http://struts.apache.org/announce.html#a20170905
Apache Struts脆弱性番号
S2-052
【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある
【CVE番号】
CVE-2017-9805
【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン
【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構
Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー
Apache Struts 2における脆弱性 (S2-052、CVE-2017-9805)は悪用可能と確認 | セキュリティ対策のラック
Apache Strutsに新たな脆弱性「CVE-2017-9805」。企業は直ちに更新プログラムの適用を。 | トレンドマイクロ セキュリティブログ
CVE-2017-9805 - Red Hat Customer Portal
ニュース - Struts 2にまたも深刻な脆弱性、至急対応を:ITpro
Apache Strutsに重大な脆弱性、直ちに更新を - ITmedia NEWS
Apache Strutsに重大な脆弱性 - アップデート推奨 | マイナビニュース
Apache Struts 2が更新--脆弱性は3件 - ZDNet Japan
「Apache Struts」に重大な脆弱性、広範に影響する恐れも--パッチ適用を - ZDNet Japan
Apache Struts 2 の脆弱性 S2-052(CVE-2017-9805)の攻撃通信を確認しました。一例ですが、wgetコマンドで外部のコンテンツの取得を試みています。脆弱性に該当する場合は、速やかにパッチを適用することを推奨いたします。
— NTTセキュリティ・ジャパン株式会社 (@NTTSec_JP) 2017年9月6日
【PoC情報】
Apache Struts 2.5 < 2.5.12 - REST Plugin XStream Remote Code Execution
S2-053
【概要】
Freemarkerのタグの処理に脆弱性が存在し、コーディングにおいて意図しない式を使用していた場合、リモートからコードを実行される可能性がある
【CVE番号】
CVE-2017-12611
【対象】
Apache Struts 2.0.1から2.3.33までのバージョン
Apache Struts 2.5から2.5.10までのバージョン
【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構
【セキュリティ ニュース】深刻な脆弱性で「Apache Struts 2.3」系もアップデート - 緩和策も(1ページ目 / 全1ページ):Security NEXT
「Apache Struts 2」のRCE脆弱性、5日に引き続き情報公開、「2.5.10」以前に影響、危険度“Moderate” -INTERNET Watch
CVE-2017-12611 - Red Hat Customer Portal
【PoC情報】
調査や検証系ブログまとめ
調査やPoC検証を行ったブログやレポートをまとめました。
Struts2のS2-052(CVE-2017-9805)脆弱性のPOCを検証する - conf t
Struts2のS2-053(CVE-2017-12611)脆弱性のPOCを検証する - conf t
今月のApache Strtus 2 のリモートコード実行の脆弱性(S2-052/S2-053) - 生産性のない話
Struts2の脆弱性とPoC(S2-052: CVE-2017-9805, S2-053: CVE-2017-12611) — | サイオスOSS | サイオステクノロジー
CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー
S2-052: CVE-2017-9805(Struts2) PoC with SELinux · OSSセキュリティ技術の会(Secure OSS SIG)
ちょっと関連性のあるブログ
表題の脆弱性が公開されるちょっと前に偶然(必然?)公開されたブログの内容も今回の脆弱性対策に繋がるものだと思ったので載せておきます。参考にしてみて下さい。
Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog
僕が調べたApacheバージョン判定の小ネタ - とある診断員の備忘録
以上です。
<2017/09/11 AM 新規作成>
<2017/09/14 AM 【調査や検証系ブログまとめ】の項目を追加>
