赤坂タロウの日記

Nov 5, 2024

脆弱性診断ツール「Securify」、Apple Watch 心電図機能、iPhone通話録音 iOS 18.1

いやいやセキュリティ～上野宣がビビるほど○○だった脆弱性診断ツール「Securify（セキュリファイ）」とは？ (11/05)

https://s.netsecurity.ne.jp/article/2024/11/05/51862.html

Apple Watchの心電図機能なんて飾りだと思ってました。ゴメンナサイ (10/31)

https://pc.watch.impress.co.jp/docs/column/yajiuma-mini-review/1635538.html

『この問診の際に、医者に「Apple Watchを使っているんですね？」と尋ねられたのだ。「その心電図機能は使ってください」とのこと。また症状が現れた際はApple Watchで計測して、怪しいと思ったらまた病院に行けばいい。医者としても、Apple Watchの心電図機能は認知されているということだろう。』

iPhoneで通話の録音が可能に　使い方は (10/29)

https://www.itmedia.co.jp/news/articles/2410/29/news164.html

『「iOS 18.1」で、iPhoneに通話音声を録音できる機能が加わった。』

Nov 1, 2024

The MGM Resorts Attack: Initial Analysis

(2023/09/22)

https://www.cyberark.com/resources/blog/the-mgm-resorts-attack-initial-analysis

「得られた教訓と緩和戦略

セキュリティ対策を強化し、同様の攻撃を軽減するために、組織は次の戦略を検討する必要があります。

1. 影響を封じ込める

特権アカウントの露出を最小限に抑えることは、フィッシングの試みを軽減するために不可欠です。IT管理者は、特権アクセス管理(PAM)ソリューションを使用して、攻撃(ビッシングを含む)による侵害のリスクを軽減する必要があります。組織は、該当する場合はゼロスタンディング特権(ZSP)の実装も検討する必要があります。

私たちは、「文字通り存在しない認証情報をハッキングするのは難しい」と言いたいのです。内部または外部の侵害は引き続き発生する可能性がありますが、これにより専用のエンドポイントへの攻撃が含まれるため、露出を最小限に抑え、インシデント対応を支援することができます。

2. MFA制御の改善

MFAデバイスの変更を可視化することは不可欠です。お客様が監視する特定のログをセキュリティ情報およびイベント管理 (SIEM) システムに実装すると、異常な認証アクティビティを検出して対応するのに役立ちます。さらに、デュアルコントロール機能を実装すると、重要なアクションに対して複数の承認が必要になるため、セキュリティを強化できます。

3. Tier 0の資産を保護する

Tier 0の資産は、署名キーや重要なインフラストラクチャへのアクセスなど、保護する必要があります。フェデレーションサーバーにエンドポイント特権セキュリティを実装すると、資格情報の盗難の試みから署名キーを保護するのに役立ちます。さらに、プロキシへのアクセスを制限することにより、Tier 0資産への不正アクセスとデュアルコントロールを防ぐことが重要です。

4. IdPのベストプラクティスを採用する:

· ユーザーが MFA 要素を変更/変更できるようにする前に、MFA コントロールを実装します (つまり、登録されている MFA 要素の 1 つを変更する前に、現在の MFA 要素を提示する必要があります)。

· ヘルプデスクの検証制御を採用します (つまり、ヘルプデスクは、ユーザーが既存の登録済み MFA 要素を通じて ID を確認した後にのみパスワードをリセットできます)。

· ユーザー(特に管理者)にIdPへのアクセスを許可する前に、必ずユーザーのデバイスの登録/コンプライアンスを確認してください。

· ネットワーク内のセキュアゾーンを特定します。期待に応えていないIdPへのネットワークトラフィックを理解します。セキュアゾーンの外部で実行できるアクションを制限します。

· IdP管理者アカウントは、データベース/ドメイン管理者アカウントと同じ方法で管理します(つまり、管理者パスワードのローテーション、管理セッションの監視/分離、資格情報にアクセスするための二重アクセス制御の実施などの特権アクセス制御を通じて)。

· IDプロバイダー(IdP)の変更など、信頼の変更を監視することは、疑わしいアクティビティを検出するために不可欠です。組織は、信頼の変化を追跡および分析するために特定のログを実装することを検討する必要があります。これにより、潜在的なセキュリティ侵害に関する貴重な洞察を得ることができます。

最終的な考え(今のところ)

一連のミスが、最終的にここ数年で最も目立ち、ブランドを損なう攻撃の1つにつながりました。同様の攻撃を軽減するために、組織は特権アカウントの露出を最小限に抑え、MFAなどの強力な認証手段を実装し、Tier 0資産の保護、信頼の変化を監視し、進化するサイバー脅威の最新情報を入手することに注力する必要があります。やるべきことはたくさんありますが、今日のデジタル環境において、組織がセキュリティ対策を継続的に改善し、ベストプラクティスに従うことが重要です。

」

Oct 30, 2024

APT29’s Attack on Microsoft: Tracking Cozy Bear’s Footprints

(02/08)

https://www.cyberark.com/resources/blog/apt29s-attack-on-microsoft-tracking-cozy-bears-footprints

「同様の攻撃を防ぐために組織ができること

非本番環境の保護

IT組織が犯しがちな間違いの1つは、保護が不十分な開発環境がインターネットに公開され、脅威アクターがアクセスできるようになることです。これらの環境はセグメント化し、組織の境界の外部から簡単にアクセスできないようにする必要があります。組織は、本番環境のサイバーセキュリティ制御を非本番環境に拡張する必要がありますが、ベストプラクティスに従わないとデータ侵害が発生します。

私が目にするもう1つのよくある間違いは、テスト環境で感度の低いデータを使用し、簡単に流出を許すことです。エンドユーザーの電子メールと添付ファイルは、従来のテナントに存在しませんでした。それでも、Microsoftは、本番環境とこのレガシーテナントで同じ資格情報を使用したことを認めています。脅威アクターがピボットして本番データにアクセスできるようになったのは、特権認証情報を再利用し、非本番環境と本番環境をセグメント化しなかったためです。

組織は、環境を実装するユーザーがベストプラクティスに準拠していることを暗黙的に信頼できないため、MFA などの複数の制御を運用環境の外部に拡張する必要があります。MFAが重要であることは誰もが知っています。とはいえ、世界最大のテクノロジー大手の1つを含む多くの組織は、少なくともこの場合、それを正しく使用していませんでした。さらに、システムは常に安全に設定されているとは限らないと想定する必要があります。設定ミスやアカウントの過剰プロビジョニングは避けられないため、サイバーセキュリティに対して多層防御のアプローチを取ることを説いています。最小特権や MFA などの制御を非本番環境に活用することは非常に重要です。

Identity Threat Detection and Response(ITDR)の実装

ATP29によるMicrosoftへの攻撃は、ITDRが組織にとっていかに重要であるかを示す教科書的な例です。

プロキシを使用したパスワードスプレーによる初期アクセスから始まり、MFAの欠如が続き、特権的なOAuthアプリケーションの作成は、最終的には機密性の高い権限を持つユーザーアカウントの生成につながりました...これらのアクションはすべて、検出と対応の可能性を秘めていました。

サイバーセキュリティのすべての要素と同様に、ITDR機能は、攻撃が検出されるのを待つのではなく、リスクを事前に軽減するIDファブリックに緊密に統合されている場合、より効果的です。CyberArk LabsはITDRの世界でプロジェクトに取り組んでいますが、私たちが提案するITDRルールのリストが攻撃のほとんどの側面をカバーしていることをお知らせします。

防御側は、上記の「少量」のスタイルの攻撃に対するパスワードスプレー検出の有効性を再評価する必要があります。OAuthに重点を置くことで、このような検出の重要性と、オンプレミスとクラウドの両方の側面をカバーする包括的なITDRソリューションの必要性が強調されています。

追加の防御策には、資格情報の再利用を防ぎ、組織のポリシーに従ってすべての資格情報を一貫してローテーションするための制御が含まれます。最後に、危険なコマンドの入力を検出することで、横方向と垂直方向の動きを制限することで、この攻撃のリスクをさらに減らすことができたはずです。

セキュリティチームは、人間以外のエンティティと人間のエンティティ間のすべての偽装アクションを慎重に確認する必要があります。OAuth アプリケーション承認プロセス (同意) の管理者権限が必要です。

推奨される ITDR 検出と対応

次の推奨事項は、パスワードスプレー攻撃、OAuth の不正使用、およびその他の悪意のあるアクションに対応しています。次のイベントをモニタして検出できます。

· MFA なしでログインする (それに応じて自動的に応答する)

· 認証資格情報の再利用と強制ローテーション

· OAuth アプリケーションの疑わしい作成または再アクティブ化

· OAuth アプリケーションのアイドル状態のアクティビティ

· ユーザーに付与された新しい管理者権限で、権限の変更と追加のための承認された組織プロセスからの逸脱との相関関係を追加しようとする(例:ITサポートチケットを開くか、MFAで再度認証する必要性)

· 事前の明示的なユーザー認証 (またはセッション開始イベント) のないユーザーのアクティビティ

· 事前の MFA チェックなしの MFA 設定済みユーザーの動作

· 使用された credentials\tokens\cookie の有効期限が過ぎたために失敗したアクション

· 悪意のあるコマンドの入力

· 特権アクセス管理ソリューションをバイパスしようとする試み

· プロキシを使用したユーザーログイン

今こそ(そして常に)行動する時です

Microsoftに対するこの最近の攻撃は、国家の脅威アクターによる永続的で巧妙な脅威をはっきりと思い出させます。そして、Cozy Bearから見るのはこれが最後ではないでしょう。Microsoftの侵害発表から数日後、他の組織もこの脅威アクターの被害に遭ったと発表しました。CyberArk Labsは、これらの侵害の兆候が誰にでも利用可能になった今、さらに多くの攻撃が公開され続けると予想しています。また、脅威の状況は単一のアクターや国家に限定されないことを認識することも重要です。他の国々も積極的にサイバー能力を開発・改良しており、さまざまな動機で同様の攻撃を仕掛ける準備ができています。

この攻撃は、サイバー戦争の未来を垣間見るものでもあります。これは、サイバーセキュリティに対する警戒、協力、投資の強化を求める行動を呼びかけるものです。迫り来る国家によるサイバー攻撃の脅威は私たちの注意を必要としており、今こそ自分自身を強化する時です。これらの警告を無視することは、私たちの危険を冒すことになります。グローバルコミュニティとして、私たちは国家によるサイバー攻撃の脅威からデジタルインフラを守るために、一丸となって取り組まなければなりません。

」

Piecing Together the Attack on Okta’s Support Unit

Oktaのサポートユニットへの攻撃をつなぎ合わせる (2023/10/24)

https://www.cyberark.com/resources/blog/piecing-together-the-attack-on-oktas-support-unit

「6つのステップと新しいCyberArk HARツールでリスクを軽減

1. 時間をかけて検出と対応のプロセスとタイムラインを見直し、平均検出時間(MTD)と平均対応時間(MTR)を短縮する方法に焦点を当てます。新しい Identity Threat Detection and Response (ITDR) 規範は、有用なフレームワークであり、理想的な最終状態として機能します。

ユーザーの行動をベースライン化し、アカウント(特に強力な管理者アカウント)への疑わしい接続を継続的に監視する機能は、VPNや古いユーザーエージェントを介したログイン、不明な場所からのログイン、サポートセッションの直後のログイン、REST APIを介して作成/変更されたアカウントなど、疑わしいアクティビティをより迅速にキャッチするのに役立ちます。

2. ネットワークIDを保護するために、できればFIDOパスワードレス(つまり、物理デバイスに関連するパスキー)を使用して、すべてのユーザーにMFAを適用します。

3. 管理ポータルへのアクセスは、検証済みのソース(デバイス、IPアドレス、地域など)からのみ許可します。

4. 機密性の高いアカウント(管理者アカウントなど)にアクセスできる特定のマシンのホワイトリストを作成し、他のすべてのマシンをブロックします。

5. オペレーティングシステムを強化し、エンドポイントで最小権限を適用すると、攻撃者がエンドポイントにアクセスしたり、永続性を確立したり、ファイルを盗んだり、資格情報を侵害したり、損害を与えたりする能力が大幅に制限される可能性があります。

6. HARファイルを共有する前に、HARファイル内のすべての資格情報とセッショントークン(Cookie)をサニタイズします。このプロセスを簡素化するためのツールを作成しました。さらに、セッションの終了直後に、サポート担当者にすべてのサポート関連ファイルを消去するように要求します。

アイデンティティは、すべての組織における信頼の根源です。信頼が乱用されると、たとえそれが1つのアイデンティティの侵害や誤用に関与していたとしても、リスクはすぐに下流に転じる可能性があります。私たちは皆、警戒を怠らず、攻撃の検出、軽減、開示のスピードを優先し、すべてのサイバーセキュリティに関する意思決定をアイデンティティのレンズを通して評価する必要があります。」

Oct 22, 2024

セキュリティニュース - Issue #192　から（その２）

重要なお知らせ20241007）【10月7日 17:40更新復旧】『奉行クラウド』『奉行クラウドEdge』障害発生のお知らせ (obc.co.jp) (10/07)

『【障害発生期間】

2024年 10月 7日（月）10時31分～ 13時48分・・・

【原因と対応】

『奉行クラウド』『奉行クラウドEdge』が稼働するクラウド基盤に対する外部からのサイバー攻撃（DDoS攻撃）が発生し、その影響を受けました。

通信影響のみでありお客様のデータへの影響はありませんので、ご安心ください。

弊社で対処を実施し、サービスの利用再開後も影響が回避できていることを確認しています。

今後についてもファイアウォール（WAF＝Web Application Firewall）サービス提供元と連携して対策を講じてまいります。

』

重要なお知らせ20241008）【10月8日　10時35分更新(復旧)】『奉行クラウド』『奉行クラウドEdge』障害発生のお知らせ (obc.co.jp) (10/08)

『【障害発生期間】・・・

⇒2024年 10月 8日（火）　9時 5分ごろより　2024年 10月 8日（火） 10時 4分ごろまで

【原因と対応】

弊社の利用するファイアウォール（WAF＝Web Application Firewall）サービスの提供元において、

昨日10月7日（月）の事象への対策を講じておりましたが、その対応内容に一部問題がありました。

サービス提供元での対処が完了し、WAFサービスの正常動作を確認しております。

なお、今回は昨日のようなDDoS攻撃は発生しておりません。』

重要なお知らせ20241009）『奉行クラウド』『奉行クラウドEdge』2024年10月7日・8日の障害発生のお詫びとご報告 (obc.co.jp) (10/09)

『WAFサービス側での対策と合わせ、弊社での対策として以下を実施いたします。

・お客様のサービスへのアクセス経路の変更対応

→10月7日の対処と同様に、万が一WAFサービス側で対処ができない事態の場合には

外部攻撃を回避かつ安全性が確保された状態のアクセス経路へ変更します。

・上記対応が迅速にとれる環境への変更

→万が一の際、迅速に対処して早期に復旧できるよう、運用環境を変更します。

』

上記の「外部攻撃を回避かつ安全性が確保された状態のアクセス経路」を常時用いないのは何故? コスト因?

Security Advisory Ivanti CSA (Cloud Services Application) (CVE-2024-9379, CVE-2024-9380, CVE-2024-9381) (10/08-21)

『エクスプロイトに成功すると、管理者権限を持つ攻撃者が制限を回避したり、任意のSQLステートメントを実行したり、リモートでコードを実行したりする可能性があります。』

以下二つはK.E.V. Catalogueに掲載された(10/09)。

l CVE-2024-9379

CVSS Score 6.5 (ver. 3.1), Severity MEDIUM

l CVE-2024-9380

CVSS Score 7.2 (ver. 3.1), Severity HIGH

CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA (10/08)

『

CVE-2024-43047 Qualcomm Multiple Chipsets Use-After-Free Vulnerability
CVE-2024-43572 Microsoft Windows Management Console Remote Code Execution Vulnerability
CVE-2024-43573 Microsoft Windows MSHTML Platform Spoofing Vulnerability

』

CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA (10/09)

『

CVE-2024-23113 Fortinet Multiple Products Format String Vulnerability
CVE-2024-9379 Ivanti Cloud Services Appliance (CSA) SQL Injection Vulnerability
CVE-2024-9380 Ivanti Cloud Services Appliance (CSA) OS Command Injection Vulnerability

』

— nekono_nanomotoni (@nekono_naha) October 10, 2024

『

本日KEVに追加されたFortinet製品のCVE-2024-23113の調査メモです。FortiManagerによりForti製品を一括管理する際に使われるFGFMサービスに起因する脆弱性で、デフォルト無効のサービスのため影響範囲は限定的かと一瞬思いましたが、本サービスはCensysではグローバルで79万台、国内1.6万台が外部に露出しています。

・・・

備考：

Shodanでも多くのFotiGateの541/tcpがヒットしますが、かなりの数が捕捉漏れしているため今回はCensysの結果を参照すべきです

』

参考

今週の気になるセキュリティニュース - Issue #192 (10/13)

https://negi.hatenablog.com/entry/2024/10/13/234124

Oct 21, 2024

セキュリティニュース - Issue #192　から

Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1 — Mozilla (10/09)

『攻撃者は、アニメーションタイムラインのメモリ解放後使用(Use After Free)を悪用することで、コンテンツプロセスでコードを実行することができました。この脆弱性が悪用されているという報告があります。』

・CVE-2024-9680

New Release: Tor Browser 13.5.7 | The Tor Project (10/09)

『このバージョンには、Firefox の重要なセキュリティ更新が含まれています』

New Release: Tails 6.8.1 | The Tor Project (10/10)

『誤解のないように言っておきますが、Tor Projectには、Tor Browserのユーザーが特に標的にされたという証拠はありません・・・

このリリースは、重大なセキュリティの脆弱性を修正するための緊急リリースです・・・

変更と更新

Tor Browserを13.5.7に更新すると、メモリ解放後使用(Use After Free)の大きな脆弱性であるMFSA 2024-51が修正されます。この脆弱性を利用して、攻撃者はTor Browserを制御する可能性がありますが、Tailsで匿名化を解除することはおそらくありません。』

参考

今週の気になるセキュリティニュース - Issue #192 (10/13)

https://negi.hatenablog.com/entry/2024/10/13/234124

l 深刻度

・Known Exploited Vulnerabilities Catalog | CISA

このＫＥＶカタログにはCVE-2024-23113が10/15付で登場。

l 解決策と緩和策

PSIRT | FortiGuard Labs (2024/02/08-10/17)

FortiOS fgfmd daemon の脆弱性、対象製品・バージョン、解決策と緩和策が述べられている。

Workaroundsは①fgfm access 定義の削除に加え、②アクセス可能IPアドレスをポリシーで制限する。

Mitigate the critical Format String Bug (... - Fortinet Community (10/16)

緩和策としてGUIやCLIでのFortiWeb へのアクセス制限方法が図解付きで述べられている。