セキュリティホールmemo のメモ 5/17

AirTagの追跡悪用を防止する「iOS 17.5」「iPadOS 17.5」 ～Android 6.0以降も対応 (2024.05.14)

https://forest.watch.impress.co.jp/docs/news/1591132.html

『　忘れ物防止タグ「AirTag」には、特定の人物の持ち物にこっそりしのばせることで位置の追跡（トラッキング）に悪用できてしまうという問題があったが、AppleとGoogleの協力により、「iOS 17.5」と「Android 6.0」以降でトラッキングを検出してデバイスへ警告を送信できるようになった。Apple以外が製造しているBluetoothトラッカーでも、今後の対応が予定されている。 』

 

AppleとGoogle、iOSとAndroidで不要な追跡の警告に関するサポートを提供 (05/13)

https://www.apple.com/jp/newsroom/2024/05/apple-and-google-deliver-support-for-unwanted-tracking-alerts-in-ios-and-android/

『　「Appleは本日、この機能をiOS 17.5に実装し、GoogleはAndroid 6.0以降を搭載したデバイスでこの機能を導入します。」

 

Chrome 124.0.6367.207/.208 (Mac / Windows) および 124.0.6367.207 (Linux) 公開。 0-day 欠陥 CVE-2024-4761 を修正。  

関連:

Chrome 124.0.6367.201/.202 で修正された 0-day は CVE-2024-4671 。 今回のは CVE-2024-4761。』

 

JVNTA#94876636: DHCPのオプション121を利用したVPNのカプセル化回避の問題 (05/10)

　『

VPN実装者が実施できる対策

ネットワーク名前空間を利用する

Linux環境では、VPNを使用するすべてのアプリケーションに対して、物理​​インターフェイスを含む別の名前空間にトラフィックを送信する前にネットワーク名前空間を使用する機能が存在します。この機能を利用することで本問題の影響を回避することができます。

詳細は、WireGuard’s documentationを参照してください。

 

VPNユーザーが実施できる対策

ワークアラウンドを実施する

信頼できないネットワークを使用しない

ホットスポット（携帯端末によって制御される一時的なWi-Fiネットワーク）を利用する

　』

 

今週の気になるセキュリティニュース - Issue #170 からのメモ

MITRE から不正侵入事案に関する続報

Technical Deep Dive: Understanding the Anatomy of a Cyber Intrusion | MITRE-Engenuity (medium.com) (05/03)

←後で読みたい

 

英国防省で外部からの不正アクセス

Defence Secretary Oral Statement to provide a Defence Personnel Update - 07 May 2024 - GOV.UK (www.gov.uk) (05/07)

『最近、国防省は、悪意のある人物が軍の決済ネットワークの一部にアクセスした兆候を特定しました。

これは防衛省のコアネットワークとは完全に独立した外部システムであり、主要な軍の人事システムには接続されていません。

下院は、それが請負業者によって運営されており、請負業者による潜在的な失敗の証拠があり、それが悪意のある行為者が簡単に侵入できるようにした可能性があることに留意したいと考えています　…

政府は先月、これらの新たな脅威に対応するために国防費を増額し、10年後にはGDPの2.5%に達すると発表しました。』

 

DigiCert が一部の EV 証明書を再発行すると発表

【重要】EV証明書における再発行、ならびに入れ替え手順のご案内 (digicert.com) (05/10)

『首記の件につき、弊社が発行いたしましたEV TLS証明書の一部にBusiness Categoryの記載フォーマットに誤りがあるものを確認し、CA Browser Forum SSL/TLS証明書のBaseline Reuqirementの取り決めにより、2024年 5月 12日午前1時（日本時間）に、失効しなくてはならないことが判明いたしました。』

 

 

Google が Chrome のゼロデイ脆弱性を修正

Chrome Releases: Stable Channel Update for Desktop (googleblog.com) (05/09)

『[N/A][339266700] High CVE-2024-4671: Use after free in Visuals. Reported by Anonymous on 2024-05-07

Google is aware that an exploit for CVE-2024-4671 exists in the wild.』

 

「Chrome」に重大なゼロデイ脆弱性--今すぐアップデートを（ZDNET Japan） - Yahoo!ニュース (05/13)

 

マイクロソフト「Edge」に重大な脆弱性　すぐ更新を - 記事詳細｜Infoseekニュース (05/13)

『

・CVE-2024-4671……Visualsコンポーネントに関する脆弱性（重大度：高）

・CVE-2024-30055……なりすまし（重大度：注意）

 

　Visualsコンポーネントに関する脆弱性は、共通のブラウザエンジンを採用する「Google Chrome」（Chromium）由来のもの。攻撃者が相手のPCからデータを盗んだり、深刻なダメージを与えることも可能で、すでに悪用が確認されている。

　なりすましに関する脆弱性は、Edge固有のものでChromiumとは無関係だ。

　対策済みのバージョンは「124.0.2478.97」。アップデートは自動で順次適用されるが、ブラウザーの設定から「Microsoft Edge について」を選択することで、最新版への手動更新も可能だ。』

 

CISA が脆弱性に関する様々な付加情報を提供する新たな取り組み Vulnrichment を発表

https://www.linkedin.com/feed/update/urn:li:activity:7193995615737901056

『今日、我々は「Vulnrichment」と呼んでいる、CVEsにCommon Platform Enumeration、Common Vulnerability Scoring System、Common Weakness Enumeration、およびKnown Exploited Vulnerabilitiesを追加することに重点を置いたエンリッチメントの取り組みについて、各組織にお知らせしたいと思います。

 

私たちは、最近1,300件のCVEをエンリッチ化し、提出されたすべてのCVEがエンリッチ化されるよう、引き続き熱心に取り組んでいます。すべてのCVE番号付与機関（CNA）には、CVE.orgに最初にCVEを提出する際に、完全なCVEを提供するようお願いしています。』

 

重要経済安保情報の保護及び活用に関する法律が参議院で可決、成立

閣法 第213回国会 24 重要経済安保情報の保護及び活用に関する法律案 (shugiin.go.jp)

 

経済安保新法が成立　重要情報、適性評価で指定：時事ドットコム (jiji.com) (05/10)

出典

今週の気になるセキュリティニュース - Issue #170 (05/12)

 

X（旧Twitter）から 05/16

The Evolution - and Revolution - of Access  
CyberArkのビデオ。後で見る。

プロンプト経由のRCE (リモートコード実行) について | 技術者ブログ | 三井物産セキュアディレクション株式会社 (mbsd.jp) (05/13)

←後で読むためのメモ

05/17追記　→

Xユーザーの徳丸 浩さん: 「クレジットカード情報13,879名分（セキュリティコード含む）が漏洩。原因の記載からみてクロスサイトスクリプティングによるものと推測される / “Kemari87 KISHISPO / 不正アクセスによる、情報漏えいに関するお詫びとお知らせ” https://t.co/ThUScgRJdF」 / X (05/14)

←　05/17追記　これも後で見たい

 

Xユーザーの池田信夫さん: 「世界的に有名になった阿蘇山の悲惨な光景。世界遺産の美しい森と動物が、20万枚のソーラーパネルに変わってしまった。建築確認も環境アセスメントもなしで。」 / X (twitter.com) (

 

約3万円の「VMware Workstation Pro」が無償化 ～個人利用で、Mac向け「Fusion」も／「VMware Workstation/Fusion Player」は販売終了 ｜ 窓の杜 (nordot.app) (05/15)

一方で　↓

VMwareが「ESXi無償版」の提供を終了　移行先の有力候補は？ - ITmedia エンタープライズ (02/14)

『VMware ESXiの代替製品は幾つか存在する・・・ベンダーはVMware ESXiの終了を受けて、Proxmoxのサポートを拡大している。』

X(旧Twitter)から 05/10

 JNSAソリューションガイド

『「中小企業の情報セキュリティ対策ガイドライン」で示されている実行することで効果がある25項目（「５分でできる！情報セキュリティ自社診断」参照＞＞）の情報セキュリティ対策について、最良なセキュリティ対策（ベストプラクティス）をご紹介するとともにそれらの対策の実践に役立つ製品やサービスが検索できます。』

←見やすくまとまっているし読み物としても面白そう。

 

SECCON Beginners CTF 2024 を開催いたします！ - SECCON13 (05/08)

 

Fakenet-NG 単体で証明書エラー無くHTTPS通信の復号をやらせるまで - 切られたしっぽ (hatenablog.com) (05/06)

『Fakenet-NG を改造して、証明書のエラーなく任意の通信先に対して HTTPS の通信を行わせるための備忘録です

実質 MitM をさせる Proxy を作るための話になります』

 

SecHack365 ? SecHack365 では、他にはない365 日の長期ハッカソン1によるモノづくりの機会を提供することで、「セキュリティ イノベーター」としてセキュリティの様々な課題にアイデアで切り込める人材の育成を目指しています。 (nict.go.jp)

『いま世界に求められるセキュリティ人材。

そんな人材を育てようと情報通信研究機構（NICT）では毎年40名程度の若者を募集しています。

..

実は先輩たちも同じ不安を抱えながら応募していた ..

「応募するのは自由。この機会を逃して後悔するよりも、とにかく挑戦してほしい」』

 

今すぐできる4つのセキュリティ対策 | セキュリティ | NEOBANK 住信SBIネット銀行 (netbk.co.jp)

 

電子署名付き電子メール（S/MIME） | 当社のセキュリティ対策 | NEOBANK 住信SBIネット銀行 (netbk.co.jp)

『当社の電子メールであることの確認方法

l  電子署名付き電子メールを受信した際、セキュリティ警告が出ていないことを確認する

セキュリティ警告が出ている電子メールは、信頼できない可能性があります。

l  送信者アドレスが “*****@netbk.co.jp” となっていることを確認する

住信SBIネット銀行から送られた電子メールであることが確認できます。

l  電子署名の発行元が“Cybertrust Japan SureMail CA G4”となっていることを確認する

サイバートラスト・シュアメールの発行する電子証明書であることが確認できます。』

 

GitHub comments abused to push malware via Microsoft repo URLs (bleepingcomputer.com) (04/20)

『たとえば、脅威アクターは、人気のあるゲームの問題を修正する新しいドライバーを装ったマルウェア実行可能ファイルをNVIDIAのドライバーインストーラーリポジトリにアップロードする可能性があります。また、脅威アクターは、Google Chromiumのソースコードにコメントでファイルをアップロードし、それがWebブラウザの新しいテストバージョンであるかのように装うことができます。

これらのURLは、会社のリポジトリに属しているようにも見え、はるかに信頼性が高くなります。

残念ながら、企業がリポジトリがマルウェアを配布するために悪用されていることを知ったとしても、BleepingComputerはプロジェクトに添付されたファイルを管理できる設定を見つけることができませんでした。

さらに、GitHubアカウントをこのように悪用され、評判を傷つけないように保護するには、コメントを無効にすることしかできません。このGitHubサポートドキュメントによると、コメントを一時的に無効にできるのは、一度に最大6か月間だけです。

ただし、コメントを制限すると、ユーザーがバグや提案を報告できなくなるため、プロジェクトの開発に大きな影響を与える可能性があります。』

 

セルゲイ フランコフさんによるライブストリーム（↓）。このバグを「脅威アクター達は活発に悪用している」とのこと。

https://twitter.com/i/status/1772988192678969567 (03/27)

 

社会人向けイベント「SOCアナリスト業務紹介&懇親会」の参加者を募集します（2024年6月7日, 2024年6月28日） | NTTセキュリティテクニカルブログ (security.ntt) (04/18)

 

 

記事、あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か

TunnelVision (CVE-2024-3661)が某所で話題になっている。

記事

あらゆるVPNを無効にする恐るべきエクスプロイト--20年以上前から存在か - ZDNET Japan (05/08)

 

私の理解

シナリオ

1. 被害者はSSL VPN利用中。
2. 攻撃者は被害者のネットワークに侵入し、DHCPサーバとゲートウェイとを掌握。
3. 攻撃者は掌握DHCPで"掌握デフォルトゲートウェイを渡すように"設定。

　この時①IPリース期間を短く、かつ メトリック値は最小値で設定する。

4. 被害者のIPの再リース。デフォルトゲートウェイは掌握済みのものに。

5. 全トラヒックは掌握環境を経由。VPNトンネルが事実上無効になる。

パブリックWi-FiのAPを騙るのと併せれば影響はより大きくなりそうだ。

 

備考

　デスティネーションのアプリサーバが暗号化（例、Webサーバなら、HTTPSやSecureフラグ、HttpOnlyフラグ、SameSite属性等）を正しく実装・設定していれば、通信内容解読もクッキー窃取（なりすまし）も起きない。ただし、その場合もデスティネーションとソースとのIPは中間攻撃者に分かってしまう。

自宅や会社オンプレの内部資源にSSL VPN越しにアクセスする場合は、中間攻撃者は通信内容解読できない。ただしプライベートIP行きの往路セッションが正しく張れずアクセスできなくなる、またはセッション確立の効率が低下しスループット低下を招く。実際はOSの経路学習実装に影響を受けるのだろうか。

 

関連

TunnelVision - CVE-2024-3661 - Decloaking Full and Split Tunnel VPNs - Leviathan Security Group - YouTube (05/06)

←冒頭の日本語記事より詳しく説明されているが、VPNルート迂回のコア原理に触れられておらず、"それはメトリック値最小化なのだろう"と察した次第である。

Watch out for rogue DHCP servers decloaking your VPN • The Register (05/07)

以下、機械翻訳抜粋
『VPNユーザーへの提案

l  信頼できないネットワーク(公衆Wi-Fi)は使用しないでください。

l  VPNでホットスポットを使用することを検討してください。

l  ブリッジされたネットワーク アダプターがない仮想マシン内で VPN を使用することを検討してください。』

 

『DHCPオプション121をサポートしていないため、Androidユーザーは安全です。』

との事なので、ホットスポットはAndroidで構成すればベターだろう。