すでに色々出てるのでメモ。
https://japan.zdnet.com/article/35181344/
『最大の課題は、本番環境にあるパッケージソフトウェア内のLog4Shellを検出することだ。(Log4jのような)Javaファイルは、その他のファイルの何層か下にネストされていることがあり、浅い検索では見つけられない』
CISAのスキャナー(↓)は、リモートスキャンも出来るみたい。
まず、Log4jのヤバさを会話形式で易しくまとめた記事(↓)
https://www.itmedia.co.jp/news/articles/2112/16/news128.html
piyokangoさんの硬派な まとめ(↓)
https://piyolog.hatenadiary.jp/entry/2021/12/13/045541
『.. 既にサポートが終了している1.xバージョンも脆弱性の影響を受けることが検証で確認されている*3が予め構成を変更している必要があり、2.xと比較して相当にリスクは低い..』
だそうだ。さらに幾つか興味本位でピックアップ(↓)
・Red Hat
https://access.redhat.com/security/vulnerabilities/RHSB-2021-009
『The following products are NOT affected by this flaw and have been explicitly listed here for the benefit of our customers.
・Red Hat Enterprise Linux
・Red Hat Advanced Cluster Management for Kubernetes
(注、その他 多数)
』
な一方で
『Technical summary
A flaw was found in the Java logging library Apache Log4j in versions from 2.0.0 and before 2.15.0. A remote attacker who can control log messages or log message parameters can execute arbitrary code on the server via the JNDI LDAP endpoint. Refer to CVE-2021-44228 for more details.
Mitigation
For Log4j versions 2.10 and later:
- set the system property log4j2.formatMsgNoLookups or the environment variable LOG4J_FORMAT_MSG_NO_LOOKUPS to true
For Log4j versions between 2.7 and 2.14.1:
- all PatternLayout patterns can be modified to specify the message converter as %m{nolookups} instead of just %m
For Log4j versions between 2.0-beta9 and 2.10.0:
- remove the JndiLookup class from the classpath. For example:
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
On OpenShift 4 and in OpenShift Logging, the above mitigation can be applied by following the steps in this article: https://access.redhat.com/solutions/6578421
On OpenShift 3.11, mitigation to the affected Elasticsearch component can be applied by following the steps in this article: https://access.redhat.com/solutions/6578441
』
とも。
・Oracle
Oracle Security Alert Advisory - CVE-2021-44228
・VMware
https://www.vmware.com/security/advisories/VMSA-2021-0028.html
VMware Horizon, vCenter Server, HCX, NSX-T Data Center, vCenter Cloud Gateway .. その他多数
・IBM
https://www.ibm.com/support/pages/node/6525706
Affected Products and Versions
WebSphere Application Server 9.0
WebSphere Application Server 8.5
・HCL Technologies
Log4J 2 / Log4Shell の脆弱性に関するNotes、Domino、Verse、Traveler への影響 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095594
・Fortinet
https://www.fortiguard.com/psirt/FG-IR-21-245
Tuesday December 15, 8:50 PM Pacific Time現在、下記状況
『The following products are NOT impacted:
.. FortiOS (includes FortiGate & FortiWiFi) ..
The following products are impacted and fixes are being worked on. This advisory will be updated as soon as ETAa are available:
FortiAIOps - Fixed in version 1.0.2
FortiAnalyzer BigData - Fixed on 2021-12-10 in 6.4.7 & 7.0.2
FortiCASB - Fixed on 2021-12-10
FortiConverter Portal - Fixed on 2021-12-10
FortiCWP - Fixed on 2021-12-10
FortiEDR Cloud - Not exploitable. Additional precautionary mitigations put in place on 2021-12-10
FortiInsight - Not exploitable. Additional precautionary mitigations being investigated.
FortiIsolator - Fix scheduled for version 2.3.4
FortiMonitor - Mitigations for NCM & Elastiflow available
FortiPortal - Fixed in 6.0.8 and 5.3.8
FortiSIEM - Mitigation available
ShieldX - Fix scheduled for versions 2.1 and 3.0 - ETA 2021/12/17』
・AMD
https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1034
『Currently, no AMD products have been identified as affected.』
・Intel
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00646.html
Datacenter Manager, Secure Device Onboard, Computer Vision Annotation Tool, Optimized Analytics Package, Intel QAT Codec, Edge Insights for Autonomous Mobile Robots, oneAPI各種
.. Clear Linux Project」なんてのもあるんですね。
.. 他にも多数。意識せず使ってたって事もあるかも。ご自分で確認されたし。
・NVIDIA
https://nvidia.custhelp.com/app/answers/detail/a_id/5294
01/04現在で、
『Remediated NVIDIA Products
The following sections list the NVIDIA products affected, versions affected, and the updated versions available or mitigations that require customer action.
CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
DGX Systems
NetQ
vGPU Software License Server』
・Palo Alto Networks
https://security.paloaltonetworks.com/CVE-2021-44228
『We have determined that some configurations of Panorama appliances with PAN-OS 9.0, PAN-OS 9.1, and PAN-OS 10.0 are impacted by CVE-2021-44228 and CVE-2021-45046 through the use of Elasticsearch. Fixes were released on December 20, 2021 to address both vulnerabilities on impacted PAN-OS versions. Panorama appliances are not impacted by CVE-2021-45105.
PAN-OS for Panorama < 9.0.15, < 10.0.8-h8, < 9.1.12-h3 .. affected
Exact Data Matching CLI < 1.2 .. affected
』
Henri LOISEAU Feb 01, 2010 at 12:52 PM・・・In OBPM4 you define which variant of program SAPFPAYM you are using.In the parameters of program SAPFPAYM you have a checkbox 'Output to the file system' (PAR_XFIL)and you can give the filename (PAR_FILE).
I want to donwload Payment File using program SAPFPAYM using a background job. I want to download file to specified folder in a server.Already set :Run Date, Identification, Payment Medium Format, Electronic file.I check the "output to file system" check box and already specify the folder directory and file name.
While I execute it, file not directly downloaded to specific folder. It appear in DME administration and the status already exported
・・・
Best Answer
Former Member Apr 09, 2012 at 09:37 AM・・・1.In F110,one tab "print program"is thr,here we can define variant with program "ZRFFOUSC",at the time of creating variant one field option"payment summary",check this entry and along this it also ask for on which printer we want this entry.2.Last time i got similar type of issue when i was not able to download the file because some msoffice version update version problem.Try with first create one folder in particular location and then give the path(mention ur new created folder thr).
・・・
Former Member Apr 05, 2012 at 06:26 AMFor that issue, you need to specify the file place in F110 print variant.Go to F110 transaction > Select the relevant payment run and ID> Go to printout data medium tab> Select variant and press Maintain variant button> check the Output control tab and file name path.
https://www.ibm.com/downloads/cas/RBANYX1Q
462万ドル: ランサムウェアによるデータ侵害にかかる平均総コスト (p.8)
ランサムウェアや破壊的な攻撃は、 他のタイプのデータ侵害よりもコスト がかかりました。
ランサムウェア攻撃に伴うコストは平均462万ドルで、平均的なデータ侵害時のコスト(424万ドル)よりも高額です。これらのコストには、エスカレーション、通知、損失したビジネス、対応にかかるコストなども含まれていましたが、ランサムウェアの身代金コストは含まれていませんでした。ワイパー型の悪意のある攻撃でデータが破壊された場合のコストは平均469万ドルです。ランサムウェアがデータ侵害の要因となった企業の割合は7.8 %でした。
424万ドル: データ侵害にかかる世界の平均総コスト (p.11)
データ侵害の平均総コストは、7年間で大幅に増加しました。
2021年のレポートを2020年のレポートと比較すると、データ侵害のコストは 2020年の386万ドルから2021年の424万ドルへと大幅に増加しています。38万ドルの増加は、9.8%の増加に相当します。これに対し、2019年から2020年のレポートを見ると、データ侵害にかかるコストは1.5%減少しています。データ侵害のコストは、2015年以降で11.9%増加しました。
金融サービスの機密データ侵害 (p.56)
財務損失の規模: 特定の銀行がランサムウェアの攻撃を受けるセキュリティー・リスクの数値化は、その銀行の強固なセキュリティー管理を鑑み、イベントが発生する確率が30%であることを示しています。平均的な財務損失は1,890万ドルで、これは対応コスト、ビジネスの損失、規制上の罰金で構成されています。
国または地域別のデータ侵害にかかる平均総コスト (p.14)
データ侵害にかかる平均総コストの上位5か国と地域は、以下の通りでした。
2020年のレポートでも、上位 5か国はこの5か国で、順位も同じでした。
業界別データ侵害の平均総コスト (p.15)
侵害されたレコードのタイプ 各カテゴリーでデータを含む侵害の割合 (p.17)
侵害されたデータのタイプ別レコード当たり平均コスト (p.18)
〜ランサムウェアのインシデントは、前年比64%増加し、身代金要求額も増加傾向に〜 (08/23)
バラクーダネットワークスジャパン株式会社・・・は、2020年8月から2021年7月の間に発生したランサムウェア攻撃を分析しました。
ハイライト:
https://www.cloudgate.jp/security-news/weekly-20210827.html
サイバー身代金、支払い5割 金額急増し攻撃に拍車 (09/25)
https://akasaka-taro.blogspot.com/2021/09/5.html
日本が突出して支払いに応じないのは、どういった事情だろうか? 『応じれば、ますます日本中がターゲットにされるので、断固拒否』と言えば聞こえは良いが、実態は、社内政治の結果 日経に支払い申告するに至らなかった? 予算無し、人員無し、復旧作業残業代無し、責任問題恐怖感マシマシで疲弊する現場を想像してもやっとする。
サイバー身代金、支払い5割 金額急増し攻撃に拍車 (09/20)
https://www.nikkei.com/article/DGXZQOUC107FU0Q1A610C2000000/
FBI IC3 ネット犯罪報告書 (03/23)
こちら(↑)は、一般ユーザも含めた全体的傾向の記事。
朝起きて朦朧としている間、podcastで英語耳をウォームアップするのが日課である。以下、最近のお気に入りをご紹介。これらの多くは、Transcriptが用意されていて、後で内容チェックできるのも、嬉しい。
https://www.itworldcanada.com/podcasts#cyber-security-today
Howardがゆっくりしゃべってくれるので、朝一番の耳慣らしに丁度良い。
https://www.wsj.com/podcasts/tech-news-briefing
音声は、右の「Google Podcasts」から、直近3週間分程のリストで、選べる。
https://cisoseries.com/subscribe-podcast/
これはPodcast版のみで、トランスクリプトも無いようだ。
こっち↓に、vodcast があるので、時間が有る時は眺めてみる事にする。
https://www.crowdcast.io/cisoseries
https://thecyberwire.com/podcasts/daily-podcast
昔は主に これだけを聞いていたが、次第に他の IT Security系podcastも聞くようになった。それは次の理由である。
・同様のニュース数分を、違う言い回しで複数の人から聞くのが、私には効率的と思われる事が一つ。
・the cyberwire daily版は 20分超で、後半の著名人インタビューは集中が続かない事が一つ。
https://www.youtube.com/watch?v=5ofYqjC1s40&list=PLW5y1tjAOzI0Sx4UU2fncEwQ9BQLr5Vlu
私のWebを見ている人なら、ご存じの方も多いだろう。
Shannonちゃんのvodcastで、ほのぼのするのもお薦めです。
Podcasts for bleeding-edge security (2019/03/07)
https://akasaka-taro.blogspot.com/2019/03/podcasts-for-bleeding-edge-security.html
ビジネスユーザにとって『安全な通信』は必須条件。経営陣が理解していないとしたら、まずい。同社の先日発表の決算は良かったようだが、さて、世間にはどう評価されるか。
https://japan.cnet.com/article/35174700/
『Zoomは、ユーザーの同意を得ることなく個人情報をFacebook、Google、LinkedInと共有していたことや、ハッカーらが「Zoom爆撃」によってオンラインミーティングを妨害する行為を放置していたことが、ユーザーのプライバシー侵害にあたるとして起こされていた集団訴訟について、8500万ドル(約93億円)の和解金を支払うことで合意した。
・・・
この和解に伴い、集団訴訟の対象となる顧客には、サブスクリプション料金の15%または25ドルが返金される可能性がある。』
お詫びに一部の利用料金を返金します、と言われても失われた情報は取り返せない。
『Zoomは、エンドツーエンド暗号化の提供について嘘をついたという主張を解決するために8500万ドルを支払うことに同意
・・・
2021年5月に提出された修正集団訴訟の苦情は、Zoomがエンドツーエンド(E2E)暗号化を誤って約束したにもかかわらず、「各会議の暗号化キーは、クライアントデバイスではなくZoomのサーバーによって生成される」と述べています。』
つまり事業者が中間者として通信内容を解読できる、との主張である。
もしも、の時、ここが使えそう(↓)
https://www.nomoreransom.org/ja/index.html
普段 聞いているpodcastで知ったので、そちらも挙げておく(↓)
https://www.itworldcanada.com/podcasts#cyber-security-today
『No More Ransom Project」は、オランダ警察の国家ハイテク犯罪ユニット、欧州警察の欧州サイバー犯罪センター、カスペルスキー、マカフィーが共同で立ち上げたプロジェクトで、ランサムウェアの被害者が犯罪者にお金を払うことなく、暗号化されたデータを取り戻すことを支援します。
このプロジェクトでは、暗号化されたファイルをアップロードすると、121種類の無料ツールの中から解読できるかどうかを確認します。これらのツールは、151種類のランサムウェアを解読することができます。世の中にあるすべてのランサムウェアではありませんが、かなりの数になります。・・・
このサイトをインシデントレスポンスプランに入れておきましょう。www.nomoreransome.org
ところで、あなたはインシデントレスポンスプランを持っていますよね?』
・Podcasts for bleeding-edge security (2019/03/07)
https://akasaka-taro.blogspot.com/2019/03/podcasts-for-bleeding-edge-security.html
・無料malwareスキャナー (2016/03/30)
http://akasaka-taro.blogspot.com/2016/03/online-scanner-httpwww.html
内容が古くなって、無効なリンクも出てる。更新しないと。。。
・・・中略・・・
APT40(BRONZE MOHAWK、FEVERDREAM、G0065、Gadolinium、GreenCrash、Hellsing、Kryptonite Panda、Leviathan、MUDCARP、Periscope、Temp.Periscope、Temp.Jumper)は、中華人民共和国(PRC)海南省海口市に拠点を置き、少なくとも2009年から活動しています。APT40は、米国、カナダ、欧州、中東、南シナ海地域、さらには中国の「一帯一路」構想に含まれる産業など、生物医学、ロボット工学、海洋研究など幅広い分野の政府機関、企業、大学を標的にしています。
2021年7月19日、米国司法省は、APT40のサイバーアクター4名がフロント企業である海南翔敦科技発展有限公司(海南翔敦)を通じた不正なコンピュータネットワーク搾取(CNE)活動を行っていたとして、起訴状を公開しました。海南翔敦の従業員であるWu Shurongは、中国国家安全部(MSS)海南国家安全局(HSSD)の諜報員であるDing Xiaoyang、Zhu Yunmin、Cheng Qingminに協力し、CNE活動を行うよう命令しました。呉氏のCNE活動により、米国内外の企業や組織、複数の外国政府から企業秘密、知的財産、その他の高価値情報が盗まれました。これらのMSS関連の行為者は、次の業界の被害者を標的としました:学術、航空宇宙/航空、生物医学、防衛産業基盤、教育、政府、医療、製造、海事、研究機関、輸送(鉄道と海運)。
(2021年7月19日更新)
STIX形式のIndicator of compromise(IOC)はこちらをご覧ください。注:悪意のある活動を発見するために、インシデント・レスポンダーは、ネットワークおよびホストベースのアーティファクトでIOCを検索し、その結果を評価します(評価の際には偽陽性を排除します)。例えば、STIXファイル内のMD5 IOCの中には、Putty、cmd.exe、svchost.exeなどの正規のツールを侵害の指標として識別するものがあります。ツール自体は悪意のあるものではありませんが、APT40の攻撃者は、コンピュータへの侵入行為の際に、被害者のシステム上の標準的でないフォルダからツールを配置し、使用しました。インシデント・レスポンダーによって正規のツールが特定された場合、誤検知を排除したり、悪意のある活動を発見したりするために、そのツールの場所を評価する必要があります。インシデント対応のガイダンスについては、「Technical Approaches to Uncovering and Remediating Malicious Activity」を参照してください。
本Joint Cybersecurity Advisoryは、MITRE ATT&CK®フレームワーク、バージョン9を使用しています。参照されているすべての脅威アクターの戦術と技術については、ATT&CK for Enterprise フレームワークを参照してください。
APT40 [G0065]は、さまざまな戦術や技術、カスタムおよびオープンソースのマルウェアの大規模なライブラリ(その多くは、他の複数の中国の疑いのあるグループと共有されています)を使用して、ユーザや管理者の認証情報による初期アクセスを確立し、ネットワーク内に侵入した後は横方向の移動を可能にし、データを流出させるために高価値の資産を見つけ出しました。表1は、これらの戦術・技術の詳細を示したものです。注:この活動を促進するために使用されたドメイン、ファイル名、マルウェアのMD5ハッシュ値のリストについては、付録を参照してください。
注、元記事の下の方のTactics and Techniques、APPENDIXも、興味深い。
適切なネットワーク防御の徹底と情報セキュリティのベストプラクティスの遵守は、脅威を軽減し、リスクを低減するのに役立ちます。以下のガイダンスは、組織がネットワーク防御の手順を策定する際に役立ちます。
https://us-cert.cisa.gov/ncas/alerts/aa21-200a
〇 CISA-FBI Joint CSA AA20-133A: Top 10 Routinely Exploited Vulnerabilities,
〇 CISAアクティビティアラート:AA20-275A:Potential for China Cyber Response to Heightened U.S.-China Tensions、
〇 NSA CSA U/O/179811-20: 中国の国家支援行為者が公知の脆弱性を悪用。
中国の国家支援を受けたサイバーアクターは、暗号化されたプロキシとしてVPSを使用することが日常的に観察されています。このサイバーアクターは、VPSだけでなく、スモールオフィスやホームオフィス(SOHO)のデバイスを運用ノードとして使用し、検知を回避しています。
中国の国家支援を受けたサイバーアクターは、世界中の関心のあるコンピュータネットワークを悪用し、機密性の高い知的財産、経済、政治、軍事情報を取得するために、あらゆる戦術と技術を使用しています。付録B:MITRE ATT&CKフレームワークには、中国の国家支援型サイバーアクターが使用する戦術・技術がリストアップされています。ダウンロード可能なJSONファイルは、NSA CybersecurityのGitHubページでもご覧いただけます。
これらの戦術や技術に関連する手順や、適用可能な緩和策については、「付録A:中国国家支援型サイバーアクターの観察された手順」を参照してください。
NSA、CISA、FBIは、連邦政府、SLTT政府、CI、DIB、民間企業の各組織に対し、以下の推奨事項と、観測された戦術・技術に合わせた付録Aの検知・緩和の推奨事項を適用するよう促します。
外部に面した機器のリモートコードの実行やサービス妨害を可能にする重要かつ高度な脆弱性や、中国の国家的なサイバーアクターによって悪用されることが知られているCVEに重点的にパッチを当てること。タイムリーかつ徹底したパッチサイクルを可能にするパッチマネジメントプログラムの導入を検討する。
注:中国の国家支援型サイバー犯罪者によって日常的に悪用されているCVEの詳細については、「中国の国家支援型サイバー犯罪の動向」の項に記載されているリソースを参照してください。
ネットワーク上のシグネチャや指標を確認し、新たなフィッシング・テーマを監視し、それに応じて電子メールのルールを調整する。電子メールの添付ファイルを制限し、評判に基づいてURLやドメインをブロックするというベスト・プラクティスに従う。アカウントの不正使用の監視を中心に、最大限の検知能力を発揮できるように、ログ情報の集約と相関関係の構築を行う。一般的なポートとプロトコルを監視して、コマンド&コントロール(C2)活動を確認します。SSL/TLS検査を使用して暗号化セッションの内容を確認し、マルウェアの通信プロトコルのネットワークベースの指標を探すことができます。ネットワークとエンドポイントのイベント分析および検出機能を導入・強化し、初期感染、認証情報の漏洩、エンドポイントのプロセスやファイルの操作を特定する。
ウィルス対策ソフトウェアやその他のエンドポイント保護機能を導入し、悪意のあるファイルを自動的に検出して実行を阻止する。ネットワーク侵入検知・防止システムを使用して、一般的に使用されている敵対的なマルウェアを特定・防止し、悪意のあるデータ転送を制限する。ドメインレピュテーションサービスを利用して、疑わしいドメインや悪意のあるドメインを検出する。サービスアカウントに強力な認証情報を使用し、リモートアクセスに多要素認証(MFA)を使用することで、敵対者が盗んだ認証情報を利用する能力を軽減する。ただし、MFAの実装によっては、MFAの傍受技術に注意すること。
注、「出典」元の、この後に出てくる「APPENDIX A: Chinese State-Sponsored Cyber Actors’ Observed Procedures」が面白そうで読み応えもありそうだけど、今日は、もう寝ます。
US-CERTの先週の脆弱性サマリーから、いくつかピックアップする。
以下、次の順に
Primary Vendor -- Product, Description, Published, CVSS Score, Source & Patch Info
Adobe After Effects version 18.1 (and earlier) is affected by an Uncontrolled Search Path element vulnerability. An unauthenticated attacker could exploit this to to plant custom binaries and execute them with System permissions. Exploitation of this issue requires user interaction.
2021-06-28
9.3
CVE-2021-28570 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-28570
MISC https://helpx.adobe.com/ee/security/products/after_effects/apsb21-33.html
Adobe RoboHelp Server version 2019.0.9 (and earlier) is affected by a Path Traversal vulnerability when parsing a crafted HTTP POST request. An authenticated attacker could leverage this vulnerability to achieve arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction.
2021-06-28
9
CVE-2021-28588 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-28588
MISC https://www.zerodayinitiative.com/advisories/ZDI-21-660/
Vulnerability in the CommandPost, Collector, and Sensor components of Fidelis Network and Deception enables an attacker with user level access to the CLI to inject root level commands into the component and neighboring Fidelis components. The vulnerability is present in Fidelis Network and Deception versions prior to 9.3.7 and in version 9.4. Patches and updates are available to address this vulnerability.
2021-06-25
9
CVE-2021-35047 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35047
CONFIRM https://support.fidelissecurity.com/hc/en-us/categories/360001842694-Advisories-News-and-Policies
A remote code execution vulnerability exists in helpUS(remote administration tool) due to improper validation of parameter of ShellExecutionExA function used for login.
2021-06-29
CVE-2020-7868 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2020-7868
MISC https://www.boho.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=36088
There is a deserialization vulnerability in Huawei AnyOffice V200R006C10. An attacker can construct a specific request to exploit this vulnerability. Successfully exploiting this vulnerability, the attacker can execute remote malicious code injection and to control the device.
AnyOfficeは、BYODを視野に入れたセキュリティ管理ツールで、MDMコンポーネントも含まれるらしい。 https://forum.huawei.com/enterprise/en/huawei-anyoffice-v200r002c10-deployment-guide-contents/thread/416297-867
2021-06-29
9.3
CVE-2021-22439 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-22439
MISC https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20210619-01-injection-en
Inkdrop versions prior to v5.3.1 allows an attacker to execute arbitrary OS commands on the system where it runs by loading a file or code snippet containing an invalid iframe into Inkdrop.
Takuyaさんという日本のクリエイターが開発したノートアプリとのこと。 https://webdesign-trends.net/entry/4163
2021-06-28
9.3
CVE-2021-20745 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20745
MISC https://www.inkdrop.app/
MISC https://docs.inkdrop.app/releases/5.3.1
MISC https://jvn.jp/en/jp/JVN29949691/index.html
A command injection vulnerability in MVISION EDR (MVEDR) prior to 3.4.0 allows an authenticated MVEDR administrator to trigger the EDR client to execute arbitrary commands through PowerShell using the EDR functionality 'execute reaction'.
2021-06-29
9
CVE-2021-31838 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-31838
CONFIRM https://kc.mcafee.com/corporate/index?page=content&id=SB10342
Securepoint SSL VPN Client v2 before 2.0.32 on Windows has unsafe configuration handling that enables local privilege escalation to NT AUTHORITY\SYSTEM. A non-privileged local user can modify the OpenVPN configuration stored under "%APPDATA%\Securepoint SSL VPN" and add a external script file that is executed as privileged user.
ローカルの非特権ユーザが、設定変更により、外部スクリプトを特権ユーザとして実行できる。最新版にupdateすれば良い。
2021-06-28
7.2
CVE-2021-35523 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35523
MISC https://github.com/Securepoint/openvpn-client/security/advisories/GHSA-v8p8-4w8f-qh34
MISC https://bogner.sh/2021/04/local-privilege-escalation-in-securepoint-ssl-vpn-client-2-0-30/
FULLDISC http://seclists.org/fulldisclosure/2021/Jun/59
MISC http://packetstormsecurity.com/files/163320/Securepoint-SSL-VPN-Client-2.0.30-Local-Privilege-Escalation.html
Nessus versions 8.13.2 and earlier were found to contain a privilege escalation vulnerability which could allow a Nessus administrator user to upload a specially crafted file that could lead to gaining administrator privileges on the Nessus host.
2021-06-29
7.2
CVE-2021-20079 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20079
MISC https://www.tenable.com/security/tns-2021-07
以下「Severity Not Yet Assigned」からピックアップしたもの。
Incorrect handling of url fragment vulnerability of Apache Traffic Server allows an attacker to poison the cache. This issue affects Apache Traffic Server 7.0.0 to 7.1.12, 8.0.0 to 8.1.1, 9.0.0 to 9.0.1.
caching proxy server "Apache Traffic Server"への潜在的リモート攻撃脆弱性
2021-06-29
not yet calculated
CVE-2021-27577 https://nvd.nist.gov/vuln/detail/CVE-2021-27577
← Base Score: 7.5 HIGH とされている。
MISC https://lists.apache.org/thread.html/ra1a41ff92a70d25bf576d7da2590575e8ff430393a3f4a0c34de4277%40%3Cusers.trafficserver.apache.org%3E
Use after free in WebGL in Google Chrome prior to 91.0.4472.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.
2021-07-02
not yet calculated
CVE-2021-30554 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-30554
← Base Score: 8.8 HIGH となっている。
MISC https://crbug.com/1219857
MISC https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html
Hitachi Virtual File Platform Versions prior to 5.5.3-09 and Versions prior to 6.4.3-09, and NEC Storage M Series NAS Gateway Nh4a/Nh8a versions prior to FOS 5.5.3-08(NEC2.5.4a) and Nh4b/Nh8b, Nh4c/Nh8c versions prior to FOS 6.4.3-08(NEC3.4.2) allow remote authenticated attackers to execute arbitrary OS commands with root privileges via unspecified vectors.
2021-06-28
not yet calculated
CVE-2021-20740 https://nvd.nist.gov/vuln/detail/CVE-2021-20740
← Base Score: 8.8 HIGH とされている。
MISC https://www.hitachi.co.jp/products/it/storage-solutions/global/sec_info/2021/2021_306.html
MISC https://jpn.nec.com/security-info/secinfo/nv21-011.html
MISC https://jvn.jp/en/jp/JVN21298724/index.html
There is a Memory Buffer Improper Operation Limit Vulnerability in Huawei Smartphone. Successful exploitation of this vulnerability may cause the device to crash and restart.
2021-06-30
not yet calculated
CVE-2021-22350 https://nvd.nist.gov/vuln/detail/CVE-2021-22350
← Base Score: 7.5 HIGH とされている。
MISC https://consumer.huawei.com/en/support/bulletin/2021/5/
There is a Configuration Defect Vulnerability in Huawei Smartphone. Successful exploitation of this vulnerability may allow attackers to hijack the device and forge UIs to induce users to execute malicious commands.
2021-06-30
not yet calculated
CVE-2021-22352 https://nvd.nist.gov/vuln/detail/CVE-2021-22352
← Base Score: 7.8 HIGH とされている。
MISC https://consumer.huawei.com/en/support/bulletin/2021/5/
IBM Security Identity Manager Adapters 6.0 and 7.0 could allow a remote authenticated attacker to conduct an LDAP injection. By using a specially crafted request, an attacker could exploit this vulnerability and takeover other accounts. IBM X-Force ID: 199252.
2021-06-28
not yet calculated
CVE-2021-20574 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20574
← Base Score: 8.8 HIGH (CVSS:3.1 ...) とされている。
CONFIRM https://www.ibm.com/support/pages/node/6465875
XF https://exchange.xforce.ibmcloud.com/vulnerabilities/199252
Jenkins 2.299 and earlier, LTS 2.289.1 and earlier does not invalidate the previous session on login.
2021-06-30
not yet calculated
CVE-2021-21671 https://nvd.nist.gov/vuln/detail/CVE-2021-21671
← Base Score: 7.5 HIGH とされている。
CONFIRM https://www.jenkins.io/security/advisory/2021-06-30/#SECURITY-2371
MLIST http://www.openwall.com/lists/oss-security/2021/06/30/1
LibreSSL 2.9.1 through 3.2.1 has a heap-based buffer over-read in do_print_ex (called from asn1_item_print_ctx and ASN1_item_print).
2021-07-01
not yet calculated
CVE-2019-25048 https://nvd.nist.gov/vuln/detail/CVE-2019-25048
← Base Score: 7.1 HIGH とされている。
MISC https://github.com/libressl-portable/portable/commit/17c88164016df821df2dff4b2b1291291ec4f28a
MISC https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=13914
MISC https://github.com/google/oss-fuzz-vulns/blob/main/vulns/libressl/OSV-2020-1923.yaml
An issue was discovered in the CentralAuth extension in MediaWiki through 1.36. The Special:GlobalRenameRequest page is vulnerable to infinite loops and denial of service attacks when a user's current username is beyond an arbitrary maximum configuration value (MaxNameChars).
2021-07-02
not yet calculated
CVE-2021-36125 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-36125
← Base Score: 7.5 HIGH とされている。
MISC https://phabricator.wikimedia.org/T260865
MISC https://gerrit.wikimedia.org/r/q/I97d8b3236b5abed8ba9a9c4d3ab5050c2e782c22
Windows Print Spooler Remote Code Execution Vulnerability
2021-07-02
not yet calculated
CVE-2021-34527 https://nvd.nist.gov/vuln/detail/CVE-2021-34527
← Base Score: 8.8 HIGH (CVSS 3.1)とされている。Criticalじゃないのか?
※ PrintNightmare 過去記事
MISC https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527
NETGEAR WAC104 devices before 1.0.4.15 are affected by an authentication bypass vulnerability in /usr/sbin/mini_httpd, allowing an unauthenticated attacker to invoke any action by adding the ¤tsetting.htm substring to the HTTP query, a related issue to CVE-2020-27866. This directly allows the attacker to change the web UI password, and eventually to enable debug mode (telnetd) and gain a shell on the device as the admin limited-user account (however, escalation to root is simple because of weak permissions on the /etc/ directory).
2021-06-30
not yet calculated
CVE-2021-35973 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35973
← Base Score: 9.8 CRITICAL とされている。
MISC https://gynvael.coldwind.pl/?lang=en&id=736
MISC https://kb.netgear.com/000063785/Security-Advisory-for-Authentication-Bypass-on-WAC104-PSV-2021-0075
Bootloader contains a vulnerability in NVIDIA MB2 where a potential heap overflow could cause memory corruption, which might lead to denial of service or code execution.
2021-06-30
not yet calculated
CVE-2021-34384 https://nvd.nist.gov/vuln/detail/CVE-2021-34384
← Base Score: 7.8 HIGH (CVSS:3.1)とされている。
CONFIRM https://nvidia.custhelp.com/app/answers/detail/a_id/5205
An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-006. The v3 onion service descriptor parsing allows out-of-bounds memory access, and a client crash, via a crafted onion service descriptor
2021-06-29
not yet calculated
CVE-2021-34550 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34550
← Base Score: 7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40392
CONFIRM https://blog.torproject.org/node/2041
An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-005. Hashing is mishandled for certain retrieval of circuit data. Consequently. an attacker can trigger the use of an attacker-chosen circuit ID to cause algorithm inefficiency.
2021-06-29
not yet calculated
CVE-2021-34549 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34549
← Base Score: 7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40391
CONFIRM https://blog.torproject.org/node/2041
An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-003. An attacker can forge RELAY_END or RELAY_RESOLVED to bypass the intended access control for ending a stream.
2021-06-29
not yet calculated
CVE-2021-34548 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34548
← Base Score: 7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40389
CONFIRM https://blog.torproject.org/node/2041
Guest triggered use-after-free in Linux xen-netback A malicious or buggy network PV frontend can force Linux netback to disable the interface and terminate the receive kernel thread associated with queue 0 in response to the frontend sending a malformed packet. Such kernel thread termination will lead to a use-after-free in Linux netback when the backend is destroyed, as the kernel thread associated with queue 0 will have already exited and thus the call to kthread_stop will be performed against a stale pointer.
2021-06-29
not yet calculated
CVE-2021-28691 https://nvd.nist.gov/vuln/detail/CVE-2021-28691
← Base Score: 7.8 HIGH とされている。
MISC https://xenbits.xenproject.org/xsa/advisory-374.txt
Bulletin (SB21-186) Vulnerability Summary for the Week of June 28, 2021 (07/05)
https://us-cert.cisa.gov/ncas/bulletins/sb21-186
ERPには珍しい critical vulnerability の記事があったので、挙げておく。
オンプレミスのSageX3 ERPのシステム管理者は、未認証のコマンド実行脆弱性の犠牲に備えて、ERPスイートをパブリックインターネットに公開していないことを確認する必要があります。また、管理者は、Rapid7によって以前に発見および報告された多数のバグに対処する、ソフトウェアの最新のパッチが今までにインストールしているべきと述べました。 情報セキュリティチームは欠陥を詳細に説明し、「SageX3のリモート管理に関連するプロトコル関連の問題」と呼んでいます。CVE-2020-7388を悪用して、Sage X3をだまして、TCPポート1818を介して公開されている管理サービスに、特別に細工されたリクエストを送信して、NT AUTHORITY / SYSTEMコマンドとして実行させることができます。
研究者によって特定された4つの脆弱性のうち、1つは重大と評価され、残りは中程度の重大度です。 CVE-2020-7388として追跡されている重大な欠陥は、認証されていないリモートコマンド実行の問題として説明されています。
Sage X3に関連する4つの脆弱性がRapid7の研究者によって特定されました...これらの脆弱性はSageに報告されました...そして最近のリリースで修正されました
- Sage X3バージョン9(Syracuse 9.22.7.2に同梱されているコンポーネント)、
- Sage X3 HR&Payrollバージョン9(Syracuse 9.24.1.3に同梱されているコンポーネント)、
- Sage X3バージョン11(Syracuse v11.25.2.6)、および
- Sage X3バージョン12(Syracuse v12.10.2.8)。
SageX3の市販のバージョン10はなかったことに注意してください。これらの脆弱性は、以下の表に要約されています。...一般的に、Sage X3のインストールはインターネットに直接公開するのではなく、必要に応じて安全なVPN接続を介して利用できるようにする必要があります。 この運用上のアドバイスに従うと、4つの脆弱性すべてが効果的に軽減されますが、お客様は通常のパッチサイクルスケジュールに従って更新する必要があります。VE Identifier, CWE Identifier, CVSS score (Severity), Remediation
- CVE-2020-7388
CWE-290: Unauthenticated Command Execution Bypass by Spoofing in AdxAdmin10.0 (Critical)Update available
- CVE-2020-7387
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor in AdxAdmin5.3 (Medium)Update available
- CVE-2020-7389
CWE-306 Missing Authentication for Critical Function in Developer Environment in Syracuse5.5 (Medium)No fix planned, as this is a development function and not a production function.
- CVE-2020-7390
CWE-79: Persistent Cross-Site Scripting (XSS) in Syracuse4.6 (Medium)Update available (note, this affects V12 only, unlike the other issues which affects V9 and V11 as well)
KPMのパスワード生成に関する脆弱性「CVE-2020-27020」の記事。
疑似乱数や種の話が、直感的にスラスラ読める。
こういうサボり方は「あるある」かもな、という気もする。
https://gigazine.net/news/20210707-kaspersky-password-manager-brute-force/
2020/10に修正パッチが出されているので、適用すれば良い。
影響を受けるのはWindows版・iOS版・Android版で、以下のバージョン以前のもの、との事。
・Kaspersky Password Manager for Windows 9.0.2 Patch F
・Kaspersky Password Manager for Android 9.2.14.872
・Kaspersky Password Manager for iOS 9.2.14.31
アメリカやシンガポールでの配車サービスアプリは、それぞれお馴染み Uber、Grab。使いやすくて便利。
中国では滴滴出行(Didi Chuxing Technology Co.,)が該当。これは有名だけど、まだ使ったことが無い。上海だと流しのタクシーを捕まえられた(2018~2019)ので、それほど必要も感じなかったのだ。
・関連過去記事(SIM)
〇アメリカ・ハワイSIM lycamobile 30日LTE4GB (2018/04/17)
〇アメリカ・ハワイSIM lycamobile 30日LTE4GB #2 使ってみた (2018/09/09)
〇【中国聯通香港】「 シンガポール 7日間 データ 使い放題 上網/通話 SIMカード 」 (2018/09/12)
驚いたことに、米では主要観光地から離れるほど市中を流すタクシーを見つけにくく、しかし同サービスを使うと予め料金や車の到着時間まで分かり、もはや使って当たり前の便利必携ツールと化していた(2018)こと。別の或る国では、タクシー業界保護の規制で"Eats"以外は未だに浸透していない(本稿執筆時)のとは大違いである。UberもGrabも(恐らくDiDiも)、早くタクシーを捕まえたいユーザと、客待ち負担を最小化 & 効率的収益化したい運転手との双方のニーズを確実に満たすというのに、だ。
また当該サービスは、大量のデータ利活用を図れる点も大きい。その可能性はマクロ視点での省エネや都市インフラ最適化など幅広いと推察する。さらに海外顧客情報まで収集しビッグデータ化できるなら、中国当局にとってもDiDiの米進出はプラスはあってもマイナス要素は少ないのでは?と不思議に感じたニュースを以下に挙げる。
---> 10/10 追記
夏以降、中国の報道が増えてきた(例、IT企業巨大化に対する国家統制不足懸念、不動産問題、濠中関係悪化をきっかけとするエネルギー問題、など)。
この件も、個人情報漏洩懸念、特に統治者の身内の情報や、組織重鎮ないしは関係者全員の移動記録等の漏洩をきっかけに、ビックデータによる活動分析、といった文脈で想像を膨らませると、不都合や想定外事象の予防統制という点で意味があるのかもしれない。
<--- 10/10 追記、ここまで
https://jp.reuters.com/article/china-didi-global-idJPKCN2E81V2
ニューヨーク証券取引所(NYSE)で2日、中国の配車サービス最大手、滴滴出行(ディディ)の株価が10%超値を下げた。中国サイバースペース管理局(CAC)が国家安全と公益を守るためにディディの調査を開始したと述べたことが材料視された。
中国当局はここ数年、国内の大手テクノロジー企業に対する規制を強化してきた。企業に対して主要なデータを適切に収集・管理するように要求している。
CACはディディの調査に関する詳細を明らかにしなかったが、国家安全法とサイバーセキュリティー法に言及し、調査の目的がデータの機密保護に関するリスクを防ぐものでもあると説明した。
中国と世界15カ所超の市場で広範なサービスを提供するディディは毎日、膨大な量の移動データをリアルタイムで収集している。一部のデータは自動運転技術や交通量分析に使っている。
一次情報はこれか?(↓)
株式公開(IPO)から44億ドルを調達したディディは、中国企業の間では珍しい動きである市場デビューの祝賀イベントを開催しませんでした。
2012年にWillChengによって設立されたDidiは、安全性とその運用ライセンスに関して、中国でいくつかの規制調査に直面しています。
同社はまた、6月にロイターが明らかにした独占禁止法の調査に直面しており、ディディが反競争的行動を利用して小さなライバルを追い出したかどうかを調べている。当時、「名前のない情報源からの根拠のない憶測」についてはコメントしないと述べた。
水曜日のディディのデビューは、2014年のアリババグループホールディングリミテッド以来、中国企業による最大の米国上場でした。
ディディは、IPOを通じて最大100億ドルを調達し、同社の価値を1,000億ドルにすることを目指していました。しかし、投資家は、取引開始前の会議で評価目標に批判的であり、取引の規模が縮小しました。
ディディはまた、ソフトバンクグループ(9984.T)、アリババ、テンセント(0700.HK)、ユーバー(UBER.N)などのテクノロジー投資大手にも支えられています。
https://kabutan.jp/news/marketnews/?b=n202107030027
同社は中国で配車サービスなどモビリティー業界に技術を提供。今週30日にNY証券取引所に上場し、中国企業の米IPOでは過去2番目の規模となった。本日は中国サイバースペース管理局(CAC)がサイバーセキュリティーに関して同社の調査に着手したと発表したことが嫌気されている。
--> 07/27追記
当局の規制強化について、投資系YouTuberからもコメントが挙がっている。
https://www.youtube.com/watch?v=gcPg2Jwn7M4
中国の課題(人口問題)を説明する上で、海外移住者の視点で日本事例まで言及していて、興味深いビデオになってます。
https://thehackernews.com/2021/07/mongolian-certificate-authority-hacked.html
ソフトウェアサプライチェーン攻撃のさらに別の例では、身元不明のハッカーが、モンゴルの主要な認証局の1つであるMonPassのWebサイトに侵入し、CobaltStrikeバイナリを使用してインストーラソフトウェアをバックドア化しました。
チェコのサイバーセキュリティソフトウェア会社であるアバストは、木曜日に発表されたレポートで、トロイの木馬化されたクライアントは2021年2月8日から2021年3月3日までダウンロード可能だったと述べています。
Avastによる調査は、顧客のシステムの1つにバックドアインストーラーとインプラントが見つかった後に始まりました。
「CobaltStrikeは、アクセスが達成された後に脅威アクターが使用する第2段階のツールだけでなく、初期アクセスペイロードとして脅威アクターの間でますます人気が高まっており、2020年には犯罪脅威アクターがCobaltStrikeキャンペーンの大部分を占めています」とProofpointの研究者は述べています。
Cobalt Strikeは、サイバー犯罪の世界で最も誤用されているツールの1つになりました。 これは元々侵入テスト用に作成された合法で市販のツールですが、最近のレポートでは、このツールを使用したサイバー攻撃が前年比で161%増加したことが示されています。
https://www.itmedia.co.jp/news/articles/2107/04/news014.html
同社のIT環境管理・自動化サービス「VSA」のオンプレミス版が「高度なサイバー攻撃の犠牲になった」 ・・・ SaaSサーバも念の為オフラインにした(影響を受ける顧客は世界で約3万6000)。同社は約40の顧客が影響を受けたことを確認しており、保護のためすべての顧客にVSAを停止するよう呼び掛けた。
Kaseyaとも協力しているセキュリティ企業のHuntress Labsは、このランサムウェア攻撃は5月にJBSを攻撃したのと同じ犯罪集団「REvil」が関わっている可能性が高いとしている。REvilはロシアを拠点としているとみられている。
添えられた脅迫状では、身代金は仮想通貨の「Monero」で要求されている。
米司法省(DoJ)は6月、米石油移送パイプライン大手のColonial Pipelineがビットコインで支払ったランサムウェアの身代金の秘密鍵を米連邦捜査局(FBI)が持つことで、身代金の一部を差し押さえたと発表した。Moneroの仕組みではこうした対策はできない。
Kaseyaは米連邦捜査局(FBI)および米国土安全保障省のサイバーセキュリティ機関CISAと協力している。
https://www.security-next.com/127752
マイクロソフトはセキュリティアドバイザリを急遽リリースした。パッチは用意されておらず、回避策をアナウンスしている。(筆者注、次の記事参照)
セキュリティ研究者が実証コードを一時公開。その後削除したものの、第三者が公開しており、すでに拡散している。
修正プログラムを適用した環境においても、エクスプロイトコードの実行を防げない「ゼロデイ状態」にある・・・
リモートからSYSTEM権限で任意のコードを実行されるおそれがある・・・
回避策など、具体的にまとまっている記事(↓)
「PrintNightmare」で発生する脆弱性は、ドメインコントローラーにおいては2021年6月の累積更新プログラムでは完全に防げず、結果的にゼロデイ脆弱性「CVE-2021-34527」が知られることになりました。
Microsoftよるとドメインコントローラーが影響を受ける・・・まだ調査中で不明な点もあります。
Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527
Powershellで、「Get-Service -Name Spooler」 実行
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
以上のコマンドを実行後、OSを再起動
グループポリシーで「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にする
コンピューターの構成 > 管理用テンプレート > プリンター の「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にして、リモート攻撃をブロック
・参考
Active Directory でグループ ポリシー設定を使用してプリンターを制御する (2020/09/08)
プリントサーバーとして機能しなくなります。
CVE-2021-34527脆弱性は2021年6月の累積更新プログラムで修正されたCVE-2021-1675脆弱性とは異なる。
この脆弱性は2021年6月の累積更新プログラムの前から存在していた。
ドメインコントローラーが影響を受ける。他の種類の役割も影響を受けるかどうかはまだ調査中。
この脆弱性を含むコードはすべてのバージョンのWindowsにある。すべてのバージョンが悪用可能かどうかはまだ調査中。
コマンドプロンプトから、Windows SCコマンドで診断・対処する方法(↓)
https://news.sophos.com/ja-jp/2021/07/02/printnightmare-vulnerability-what-to-do-jp/
1.印刷スプーラーを可能な限りオフにしてください。
2.どうしてもオフにできない Windows マシンでは、印刷スプーラーサービスへのアクセスを可能な限り厳しく制限してください。
3.パッチを確認し、公開され次第直ちに適用してください。
(1)Sophos EDR / Sophos XDR を使用して特定する
(2)Windows SC (サービスコントロール) コマンドを使用して特定する
C:\Users\duck>sc query spooler
C:\Users\duck>sc config spooler start= disabled
本記事は、追加情報が入り次第更新します。。。とのこと
https://forest.watch.impress.co.jp/docs/news/1335086.html
Windowsの印刷スプーラーの脆弱性(CVE-2021-1675)を悪用して任意コードの実行が可能になることを実証したコード(PoC)が6月29日、「GitHub」で公開された。・・・すぐに削除されたものの、その内容はすでに広まっており、警戒を要する。
「CVE-2021-1675」は2021年6月のセキュリティ更新で対処されている・・・深刻度も低く見積もっていた。しかし、Microsoftは21日に・・・脆弱性の内容を「任意コードの実行」、深刻度を「Critical」に改めている。すべてのパッチを当てた環境でも攻撃が成立すると主張する研究者もいる・・・
Windowsの印刷スプーラーでは、過去にいくつも脆弱性が発見されてきた。最近では、四半世紀にわたり気付かれなかった「PrintDemon」脆弱性が記憶に新しい。
・参考
四半世紀にわたり気付かれなかったWindows印刷スプーラーの脆弱性が2020年5月パッチで修正 (2020/05/19)
10年以上前にイランの核施設攻撃に用いられたマルウェア「Stuxnet」もWindowsの印刷スプーラーの脆弱性が一部用いられた。
https://pc.watch.impress.co.jp/docs/news/1334079.html
BIOSを最新版にする事が推奨されているが、出来ない場合は次の緩和策を。
BIOSConnect:
Customers may disable the BIOSConnect feature using one of two options:
Option 1: Customers may disable BIOSConnect from the BIOS setup page (F2).
Option 2: Customers may leverage Dell Command | Configure (DCC)’s Remote System Management tool to disable the BIOSConnect and Firmware Over the Air (FOTA) BIOS settings.
HTTPS Boot:
Customers may disable the HTTPS Boot feature using one of two options:
Option 1: Customers may disable BIOSConnect from the BIOS setup page (F2).
Option 2: Customers may leverage Dell Command | Configure (DCC)’s Remote System Management tool to disable HTTP Boot Support.
https://japan.zdnet.com/paper/20013091/30002810/
CASB: Cloud Access Security Broker
https://www.jbsvc.co.jp/useful/security/casb.html
CASBを導入する目的の多くは、シャドーIT対策
CASBの限界と考慮点
1.何が起きているかはわからない
2.クラウドにおけるセキュリティポリシーが明確でなければ意味がない
3.オンプレミス環境のデータ取り扱いによっては、漏洩盲点に
https://enterprisezine.jp/article/detail/10728
Linuxのマルウェア記事を三つ。
いずれも、検出方法がオリジナルサイト(英語)に詳しいので、併せて載せた。
https://www.itmedia.co.jp/enterprise/articles/2104/30/news119.html
『TCP 443経由で、4つのドメインと通信する不審なバイナリファイルを検出した。 HTTPSと同じポートを使っているにもかかわらず、TLS/SSLが使われていなかった。』
この『4つのドメイン』他、一次情報サイト(↓)に詳しい。
https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/
検出済みのマルウェアのファイル名等も載っているので、一度見ておくと良いだろう。
https://www.itmedia.co.jp/enterprise/articles/2101/26/news123.html
『セキュリティ製品の多くがDreamBusモジュールを検出できない
DreamBusはワームとしての特徴を備えており、さまざまな方法を使ってインターネット経由ないし内部ネットワークにおいて、横方向へ広がる
DreamBus自体がモジュラー形式の構造を取っており、さまざまな機能を後付けできる仕組みになっており、拡張性が高い』
https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis
『The malware can spread to systems that are not directly exposed to the internet by scanning private RFC 1918 subnet ranges for vulnerable systems
DreamBus uses a combination of implicit trust, application-specific exploits, and weak passwords to gain access to systems such as databases, cloud-based applications, and IT administration tools』
検出(Detections)の為の IOCs(Indicators of Compromise)として、
SHA256 Hash値、Domain / IP address、ファイル名 や
Yara rules, Snort rules も提示されている。
『RedXORは現在のところ、中国の脅威アクターが標的とすることが多いインドネシアおよび台湾を狙っている .. この攻撃がかなり洗練されたものだ ..
「polkitデーモン」になりすましてサーバに居座る』
Detection & Response として Intezer Labs社のfree community editionが使えるらしい。同製品のスクリーンショットが載っている。直感的で使いやすそうなインターフェイスではある。
Linux系antivirus の今日現在のグーグルヒット件数は次の通りだった。
・ClamAV 1.2百万件
・intezer 0.3百万件
・LMD maldetect 3.7千件
・Dr.Web Antivirus for Linux 0.8千件
・NOD32 Antivirus for Linux Desktop 30千件
IoCsとして、ドメイン/IP、プロセス名、作成されるファイルとディレクトリ等が掲載されている。
久々にやろうと思ったら手間取ったので、書き留めておく。
1-1.diskmgmt.msc起動
下記(1),(2)で二つのパーティションを作成する
(1) OS主領域は FAT32, 4.6GB程度で作成
パーティションをアクティブとしてマーク
(2) persistent modeでの記録領域として、お好みで(残り全部)
ボリュームラベルは、casper-rw(勝手に大文字になる), ひとまずFAT32でフォーマット
1-2.ubuntu desktop 20.04 isoイメージのダウンロード
1-3.SHA256 sum の一致をチェック
1-4.unetbootin で元isoファイル、書込みusbドライブを選択して、書込み
1-5.OS主領域の/boot/grub/grub.conf に下記の感じでセクション追加する
menuentry "Ubuntu persistent" {
set gfxpayload=keep
linux /casper/vmlinuz file=/cdrom/preseed/ubuntu.seed boot=casper fsck.mode=skip quiet splash --- persistent
initrd /casper/initrd
}
※ win機でやると楽。別のlinux機だったりすると、書込みに苦労するので
※ 「---」の後にスペースを空けて persistent を追記
※ boot=casper を追記(maybe-ubiquityとか only-ubiquityは不要)
※ fsck.mode=skip を入れておくと良い(起動時の長いfilesystem checkが省かれて起動が早くなる)
2-1.Disksという名前のユーティリティを検索・実行
Windows機にext4フォーマット可能なアプリをインストールすれば良いのだが、色々汚れる感じがいやで、デフォルトアプリでやれる方法を採用。
2-2.usbの casper-rw領域を ext4でフォーマット
UNetbootin
https://unetbootin.github.io/
LinuxをUSBメモリへインストールする (2015/01/07)
http://forestspring.hatenablog.com/entry/2015/01/07/012404
設定保存可能なライブUSB(Ubuntu)を作る (2020/11/28)
https://qiita.com/nagayaoh/items/d15b0e5836e23060a976
mkusb fails to make persistent USB (2017/04/02)
https://askubuntu.com/questions/899341/mkusb-fails-to-make-persistent-usb
前回は、mkusbで作ったのかもしれない。思い出せない
LINEは 遅くとも 2014から脇が甘かったようです。
振り返りの為、当時の見覚えある記事と、最近の記事とを、見繕ってみました。
後述 第2, 3項から、以下の扱いが妥当と思います。
どのような情報なら、LINEで送ってもセーフ or アウトか、利用シーンを挙げて分類してみます。
※前提:
利用者本人と相手の氏名・所属を(何らかの方法で)
|
セーフ(主に仕事以外を想定) |
アウト(主に業務シーンの事例を想定) |
|
|
差別発言(人種、宗教、性、マイノリティ 等への差別発言が漏洩したら組織的に「アウト」) |
|
仕事メンバーを含まない飲み会案内
|
仕事メンバーを含む飲み会案内 (宛先から組織情報やメンバー関係性がばれる。例、 |
|
|
VIPの健康状態、出張・行動予定(含、便名、時刻、訪問先、 |
|
|
現金・貴金属・高級サンプル等の運搬・受渡し情報(金額、 |
|
|
購入記録(薬品、図書、専門誌、嗜好品)
|
|
|
取引先との連絡 (競合先が韓国、中国である場合、特に問題) |
|
その他、プライバシー・機微情報を含まないもの(無味乾燥過ぎ? |
その他、機密情報(知財、原価 ほか) |
意外に、VIPと家族の遣り取りや、
今後とも、指導的立場の組織からの啓蒙が必要でしょう。
https://linecorp.com/ja/pr/
『【韓国のデータセンターで保管されているデータ】
画像・動画・Keep・アルバム・ノート・タイムライン・LIN
*1
氏名住所など本人確認に必要な情報は国内で保管されています (←筆者注、画像・動画・タイムラインを保管しておきながら「
中国においては、LINEの子会社LINE
Plus Corporationの子会社であるLINE Digital Technology (Shanghai) Limited(大連)と、NAVER Corporationの中国法人であり、LINEの業務委託先
』
https://mainichi.jp/premier/
『LINEの情報管理で問題にされたのは主に次の2点だ。
(1)ラインで利用者がやりとりした会話履歴や会員情報を、中国
(2)利用者がラインに載せた写真や画像を、
ラインのプライバシーポリシー(個人情報の取り扱い方針)では「
・・・
この経過を見ると、ライン側は中国や韓国で利用者の個人情報を閲
』
https://diamond.jp/articles/-/
『ヤフーを運営するZHDと、LINEとの統合が完了したのは3
・・・個人情報の取り扱いに過剰なまでに過敏なヤフーに対し、L
https://www.watch.impress.co.
『「LINE Pay」
・・・
LINE PayやLINE
Payカードの発行に関して韓国側の担当者の意向がかなり介在し
・・・
情報が漏れたのではないか・・・
・・・
個人レベルであれば「気に入らないから使わない」
・・・
個人的意見でいえば・・・LINE自体のガバナンスや運用ポリシ
』
仮想空間はとうに戦場。国家の「傭兵ハッカー」たちが盗み、
https://facta.co.jp/article/
『5月下旬、官邸内に衝撃が広がった。韓国の国家情報院(旧KC
・・・
「通信の秘密」を守る法律がない韓国側は悪びれない。だが、LI
・・・
そればかりか、LINEの日本人データが、SNS(交流アプリ)
LINEは韓国最大の検索サイト、ネイバーの100%子会社
・・・
』
これに対する反論ブログ記事
↓
https://lineblog.me/morikawa/
『LINEはシステム内であってもシステム外の通信ネットワーク
↑
(筆者注、客観的・技術的根拠が十分示されているとは言えず、
以上
