X(旧Twitter)から 05/10

 JNSAソリューションガイド

『「中小企業の情報セキュリティ対策ガイドライン」で示されている実行することで効果がある25項目（「５分でできる！情報セキュリティ自社診断」参照＞＞）の情報セキュリティ対策について、最良なセキュリティ対策（ベストプラクティス）をご紹介するとともにそれらの対策の実践に役立つ製品やサービスが検索できます。』

←見やすくまとまっているし読み物としても面白そう。

 

SECCON Beginners CTF 2024 を開催いたします！ - SECCON13 (05/08)

 

Fakenet-NG 単体で証明書エラー無くHTTPS通信の復号をやらせるまで - 切られたしっぽ (hatenablog.com) (05/06)

『Fakenet-NG を改造して、証明書のエラーなく任意の通信先に対して HTTPS の通信を行わせるための備忘録です

実質 MitM をさせる Proxy を作るための話になります』

 

SecHack365 ? SecHack365 では、他にはない365 日の長期ハッカソン1によるモノづくりの機会を提供することで、「セキュリティ イノベーター」としてセキュリティの様々な課題にアイデアで切り込める人材の育成を目指しています。 (nict.go.jp)

『いま世界に求められるセキュリティ人材。

そんな人材を育てようと情報通信研究機構（NICT）では毎年40名程度の若者を募集しています。

..

実は先輩たちも同じ不安を抱えながら応募していた ..

「応募するのは自由。この機会を逃して後悔するよりも、とにかく挑戦してほしい」』

 

今すぐできる4つのセキュリティ対策 | セキュリティ | NEOBANK 住信SBIネット銀行 (netbk.co.jp)

 

電子署名付き電子メール（S/MIME） | 当社のセキュリティ対策 | NEOBANK 住信SBIネット銀行 (netbk.co.jp)

『当社の電子メールであることの確認方法

l  電子署名付き電子メールを受信した際、セキュリティ警告が出ていないことを確認する

セキュリティ警告が出ている電子メールは、信頼できない可能性があります。

l  送信者アドレスが “*****@netbk.co.jp” となっていることを確認する

住信SBIネット銀行から送られた電子メールであることが確認できます。

l  電子署名の発行元が“Cybertrust Japan SureMail CA G4”となっていることを確認する

サイバートラスト・シュアメールの発行する電子証明書であることが確認できます。』

 

GitHub comments abused to push malware via Microsoft repo URLs (bleepingcomputer.com) (04/20)

『たとえば、脅威アクターは、人気のあるゲームの問題を修正する新しいドライバーを装ったマルウェア実行可能ファイルをNVIDIAのドライバーインストーラーリポジトリにアップロードする可能性があります。また、脅威アクターは、Google Chromiumのソースコードにコメントでファイルをアップロードし、それがWebブラウザの新しいテストバージョンであるかのように装うことができます。

これらのURLは、会社のリポジトリに属しているようにも見え、はるかに信頼性が高くなります。

残念ながら、企業がリポジトリがマルウェアを配布するために悪用されていることを知ったとしても、BleepingComputerはプロジェクトに添付されたファイルを管理できる設定を見つけることができませんでした。

さらに、GitHubアカウントをこのように悪用され、評判を傷つけないように保護するには、コメントを無効にすることしかできません。このGitHubサポートドキュメントによると、コメントを一時的に無効にできるのは、一度に最大6か月間だけです。

ただし、コメントを制限すると、ユーザーがバグや提案を報告できなくなるため、プロジェクトの開発に大きな影響を与える可能性があります。』

 

セルゲイ フランコフさんによるライブストリーム（↓）。このバグを「脅威アクター達は活発に悪用している」とのこと。

https://twitter.com/i/status/1772988192678969567 (03/27)

 

社会人向けイベント「SOCアナリスト業務紹介&懇親会」の参加者を募集します（2024年6月7日, 2024年6月28日） | NTTセキュリティテクニカルブログ (security.ntt) (04/18)

 

 

記事、あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か

TunnelVision (CVE-2024-3661)が某所で話題になっている。

記事

あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か - ZDNET Japan (05/08)

 

私の理解

シナリオ

1. 被害者はSSL VPN利用中。
2. 攻撃者は被害者のネットワークに侵入し、DHCPサーバとゲートウェイとを掌握。
3. 攻撃者は掌握DHCPで"掌握デフォルトゲートウェイを渡すように"設定。

　この時①IPリース期間を短く、かつ メトリック値は最小値で設定する。

4. 被害者のIPの再リース。デフォルトゲートウェイは掌握済みのものに。

5. 全トラヒックは掌握環境を経由。VPNトンネルが事実上無効になる。

パブリックWi-FiのAPを騙るのと併せれば影響はより大きくなりそうだ。

 

備考

　デスティネーションのアプリサーバが暗号化（例、Webサーバなら、HTTPSやSecureフラグ、HttpOnlyフラグ、SameSite属性等）を正しく実装・設定していれば、通信内容解読もクッキー窃取（なりすまし）も起きない。ただし、その場合もデスティネーションとソースとのIPは中間攻撃者に分かってしまう。

自宅や会社オンプレの内部資源にSSL VPN越しにアクセスする場合は、中間攻撃者は通信内容解読できない。ただしプライベートIP行きの往路セッションが正しく張れずアクセスできなくなる、またはセッション確立の効率が低下しスループット低下を招く。実際はOSの経路学習実装に影響を受けるのだろうか。

 

関連

TunnelVision - CVE-2024-3661 - Decloaking Full and Split Tunnel VPNs - Leviathan Security Group - YouTube (05/06)

←冒頭の日本語記事より詳しく説明されているが、VPNルート迂回のコア原理に触れられておらず、"それはメトリック値最小化なのだろう"と察した次第である。

Watch out for rogue DHCP servers decloaking your VPN • The Register (05/07)

以下、機械翻訳抜粋
『VPNユーザーへの提案

l  信頼できないネットワーク(公衆Wi-Fi)は使用しないでください。

l  VPNでホットスポットを使用することを検討してください。

l  ブリッジされたネットワーク アダプターがない仮想マシン内で VPN を使用することを検討してください。』

 

『DHCPオプション121をサポートしていないため、Androidユーザーは安全です。』

との事なので、ホットスポットはAndroidで構成すればベターだろう。

 

セキュリティは楽しいかね？ #168 のメモ

Citizen Lab が複数のベンダーの中国語キーボードアプリの脆弱性を報告

The not-so-silent type: Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers - The Citizen Lab (04/23)

『

Baidu、Honor、Huawei、iFlytek、OPPO、Samsung、Tencent、Vivo、Xiaomiの9つのベンダーのクラウドベースのピンインキーボードアプリのセキュリティを分析し、ユーザーのキーストロークの送信に脆弱性がないか調べました。

分析の結果、9 つのベンダーのうち 8 つのベンダーのキーボード アプリに重大な脆弱性があり、その脆弱性を悪用して、転送中のユーザーのキーストロークの内容を完全に明らかにする可能性があることが判明しました。脆弱なアプリのほとんどは、完全に受動的なネットワーク盗聴者によって悪用される可能性があります。

』

 

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+3 個の脆弱性を追加

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (04/23)

『CVE-2022-38028 Microsoft Windows Print Spooler Privilege Escalation Vulnerability』

CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

『

CVE-2024-20353 Cisco ASA and FTD Denial of Service Vulnerability
CVE-2024-20359 Cisco ASA and FTD Privilege Escalation Vulnerability
CVE-2024-4040 CrushFTP VFS Sandbox Escape Vulnerability

』

Cisco Event Response: Attacks Against Cisco Firewall Platforms

『2024 年初頭、Cisco Product Security Incident Response Team(PSIRT)は、Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェアまたは Cisco Firepower Threat Defense(FTD)ソフトウェアを実行している特定のデバイスを標的にして、マルウェアを埋め込んだり、コマンドを実行したり、侵害されたデバイスからデータを盗み出したりする可能性がある攻撃を認識しました。

この攻撃キャンペーンは「ArcaneDoor」と名付けられました。シスコはまだ最初の攻撃ベクトルを特定していませんが、次の表のアドバイザリで特定されているソフトウェアアップデートは、攻撃者がマルウェアを埋め込み、該当デバイスに永続性を取得できる可能性のあるソフトウェアの弱点に対処します。これらのソフトウェアの弱点のうち、CVE-2024-20353 と CVE-2024-20359 は、この攻撃キャンペーンで攻撃者によって使用されました。

シスコでは、すべてのお客様が修正済みソフトウェア バージョンにアップグレードすることを強く推奨します。』

 
ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices (talosintelligence.com) (04/24)

『ArcaneDoorは、複数のベンダーの境界ネットワーク・デバイスを標的とした、国家に支援されたアクターの最新の例となるキャンペーンである。このようなアクターが欲しがる境界ネットワーク・デバイスは、スパイ活動に焦点を当てたキャンペーンにとって完璧な侵入ポイントです。ネットワークへのデータの出入りに重要な役割を果たすこれらのデバイスは、日常的かつ迅速にパッチを適用し、最新のハードウェアおよびソフトウェア・バージョンと設定を使用し、セキュリティの観点から厳重に監視する必要がある。これらのデバイスに足がかりを得ることで、行為者は組織に直接入り込み、トラフィックを迂回または変更し、ネットワーク通信を監視することができる。過去2年間で、電気通信プロバイダーやエネルギー・セクターの組織など、多くの外国政府にとって戦略的な標的である可能性が高い重要なインフラ組織において、これらのデバイスを標的とした攻撃が劇的かつ持続的に増加しています。』

←Initial Accessより後については、細かな図解入りで解説されている。

 
Cyber Activity Impacting CISCO ASA VPNs - Canadian Centre for Cyber Security　(04/24)

 

Microsoft がインシデント対応における Windows フォレンジックのガイドを公開

New Microsoft Incident Response guide simplifies threat investigation | Microsoft Security Blog (04/23)

X (旧Twitter)のメモ 05/06

 【セキュリティ ニュース】Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出（1ページ目 / 全2ページ）：Security NEXT (security-next.com) (05/02)

『 メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。
同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。
攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アクセスを行っていた。』
 

WordPressサイトを偽のブラウザ配信サイトに変えるサイバー攻撃に警戒を（2024年3月5日）｜BIGLOBEニュース (03/05)

『このキャンペーンではWordPressの管理者アカウントを侵害し、悪意あるプラグインをインストールすることでマルウェアの配布サイトに改ざんするという。
..
Sucuriはこのような攻撃を回避するために、WordPressサイトの管理者に次のような対策を推奨している。
WordPress本体、プラグイン、テーマおよびWebサイトにインストールされているすべてのソフトウェアを最新の状態に保つ
可能な限り自動更新を有効にする
定期的にイミュータブルバックアップを取得する
すべての資格情報に一意で強力なパスワードを設定する
可能であればWebアプリケーションファイアウォール(WAF: Web Application Firewall)を導入する ..
上記の対策に加え侵入ポイントとなるログインページおよび管理者の認証情報を適切に管理することが推奨されている。』

今週の気になるセキュリティニュース - Issue #169 の抜粋

Verizon が "2024 Data Breach Investigations Report" を公開

2024 Data Breach Investigations Report: Vulnerability exploitation boom threatens cybersecurity | News Release | Verizon (05/01)

『

l  脆弱性の悪用は昨年、約3倍(180%)に急増しました。
l  ランサムウェアと恐喝手法の急激な増加は、すべての侵害の3分の1(32%)を占めています。
l  侵害の3分の2以上(68%)は、悪意のない人的要素に関係しています。
l  2023年には、30,458件のセキュリティインシデントと10,626件の侵害が確認され、2022年の2倍に増加しました。
l  数字で見るVerizonのセキュリティ:グローバルに管理されている4,200+のネットワーク、年間34兆の生ログの処理、世界中に9つのセキュリティオペレーションセンター。

…

米国サイバーセキュリティ庁(CISA)の既知の脆弱性(KEV)カタログを分析したところ、パッチが利用可能になってから重大な脆弱性の50%を修復するのに平均55日かかることが明らかになりました。一方、インターネット上でCISA KEVの大規模なエクスプロイトを検出するための時間の中央値は5日です。

…

人的要素は、サイバー犯罪者の玄関口であり続けています

…

l  すべての侵害の32%は、ランサムウェアを含む何らかの恐喝手法に関係していました
l  過去2年間で、金銭的な動機による事件の約4分の1(24%から25%)が口実に関係していました
l  過去 10 年間で、盗まれた認証情報の使用は、すべての侵害のほぼ 3 分の 1 (31%) で発生しています
l  EMEAのリーチの半分は内部です 

l  APAC地域ではスパイ攻撃が引き続き優勢  

 

Mandiant がイランの攻撃者グループ APT42 による攻撃活動について報告

Uncharmed: Untangling Iran's APT42 Operations | Google Cloud Blog (05/02)

『イランの国家が支援するサイバースパイアクターであるAPT42は、強化されたソーシャルエンジニアリングスキームを使用して、クラウド環境を含む被害者のネットワークにアクセスしています。この攻撃者は、欧米および中東のNGO、メディア組織、学界、法律サービス、活動家を標的にしています。Mandiantは、APT42がイスラム革命防衛隊情報機関(IRGC-IO)に代わって活動していると評価しています。

 

APT42は、ジャーナリストやイベント主催者を装い、継続的な通信を通じて被害者との信頼関係を築き、会議への招待状や正当な文書を配信していることが確認されました。これらのソーシャルエンジニアリングスキームにより、APT42は認証情報を収集し、それらを使用してクラウド環境への初期アクセスを取得することができました。その後、脅威アクターはイランにとって戦略的に関心のあるデータを密かに盗み出し、組み込みの機能やオープンソースツールに依存して検出を回避しました。

 

クラウドでの運用に加えて、NICECURLとTAMECATという2つのカスタムバックドアを使用した最近のマルウェアベースのAPT42の運用についても概説します。これらのバックドアはスピアフィッシングを介して配信され、攻撃者に初期アクセスを提供し、コマンド実行インターフェイスとして、または追加のマルウェアを展開するためのジャンプポイントとして使用される可能性があります。』

 

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (04/30)

『CVE-2024-29988 Microsoft SmartScreen Prompt Security Feature Bypass Vulnerability』

CISA Adds One Known Exploited Vulnerability to Catalog | CISA (05/01)

『CVE-2023-7028 GitLab Community and Enterprise Editions Improper Access Control Vulnerability』

 

Bitsight が KEV への組織の対応状況に関するレポートを公開

Bitsight Reveals More than 60 Percent of Known Exploited Vulnerabilities Remain Unmitigated Past Deadlines in First-of-its-Kind Analysis of CISA’s KEV Catalog | Bitsight (05/01)

『「A Global View of the CISA KEV Catalog: Prevalence and Remediation」と題されたこのレポートは、世界中の140万の組織のデータを分析しており、インターネット全体のスキャンを網羅した唯一の調査であり、悪用された重大な脆弱性をタイムリーに修正するためにグローバル組織が直面する深刻な課題を浮き彫りにしています。 分析対象となった組織の3分の1以上が、2023年に少なくとも1つの既知の脆弱性を抱えていました。 そのうちの4分の1近くが5つ以上に直面しており、脆弱性の60%はCISAの期限を過ぎても対処されないままでした。

 

「CISAのKEVカタログは、あらゆる組織にとって重要なツールであり、グローバルな脆弱性の修復率にプラスの影響が見られました。しかし、ほとんどの組織では、まだ軽減が遅すぎます」と、Bitsightの最高リスク責任者であるDerek Vadala氏は述べています。「重大度が重大な脆弱性でさえ、修復には平均で4か月半かかります。この状況は重大なリスクを生み出しており、取締役会や経営幹部のビジネスリーダーは、これらの脆弱性を深刻な脅威として認識し、深い洞察と迅速な行動を優先するセキュリティ体制を要求する必要性を物語っています。そこから、組織には成長するチャンスがあるのです」』

 

Google が passkeys の利用状況を報告。2022年からの 2年間に、4億以上の Google アカウントにおいて、10億回以上 passkeys が利用された。

Google shares update on passkeys and new ways to protect accounts (blog.google) (05/02)

『パスワードは、今日の主要なサイバーセキュリティ問題の中核をなすことが多いため、私たちは長年にわたって新しい認証技術を生み出し続けてきました。2022 年の「世界パスワード デー」に、パスキーをリリースしました。本日、4 億件を超える Google アカウントで 10 億回以上のユーザー認証に使用されていることをお知らせします。』

 

Microsoft が個人向けアカウントで passkeys に対応

New passkey support for Microsoft consumer accounts | Microsoft Security Blog (05/02)

『10年前、マイクロソフトはパスワードのない世界という大胆な未来を思い描いていました。毎年、世界パスワードの日を記念して、パスワードの永久廃止に向けた進捗状況をお伝えしています。本日、Microsoft コンシューマー アカウントのパスキー サポートを発表し、すべてのユーザーがシンプルで安全なアクセスを提供するというビジョンに向けた次のステップを発表します。

…

 

パスキーのしくみ

パスキーはパスワードとは異なる動作をします。パスキーアクセスでは、単一の脆弱なシークレットの代わりに、暗号化キーペアと呼ばれる2つの一意のキーを使用します。1つのキーがデバイス上に安全に保存され、生体認証またはPINで保護されます。もう 1 つのキーは、パスキーを作成したアプリや Web サイトに残ります。貸金庫に入るのに自分の鍵と銀行の鍵の両方が必要なのと同じように、サインインするには鍵ペアの両方の部分が必要です。

 

このキーペアの組み合わせは一意であるため、パスキーは作成したWebサイトまたはアプリでのみ機能するため、悪意のあるそっくりなWebサイトにサインインするように騙されることはありません。これが、パスキーが「フィッシングに強い」と言う理由です。

 

さらに良いことに、暗号化認証の長所と強度はすべて舞台裏にとどまっています。サインインするには、デバイスのロック解除ジェスチャを使用するだけです:デバイスのカメラを覗き込むか、指紋リーダーを指で押すか、PINを入力します。生体認証情報もPINもデバイスから離れることはなく、サインインしているサイトやサービスと共有されることもありません。パスキーはデバイス間で同期することもできるため、デバイスを紛失したりアップグレードしたりしても、新しいデバイスを設定するときにパスキーが準備され、待機しています。

 

パスキーの最大の利点は、パスワードの作成、忘れ、リセットについて心配する必要がないことです。』

 

出典

今週の気になるセキュリティニュース - Issue #169 (05/05)

https://negi.hatenablog.com/entry/2024/05/05/224306