wakatonoの戯れメモ このページをアンテナに追加 RSSフィード

たわいもないこと(日々の妄想とも言う)をつらつらと書いてます。断じて壊れメモではありません。ましてや「穢れメモ」でも爛れメモでもありません(涙)。
が、時により一つのことを掘り下げる傾向が見られるので、article数は少ないカモ。
ちなみにSlashdot Japanの日記もあります。個人的な連絡がある方はwakatono@todo.gr.jpまで("@"は2バイト文字になってるんで、てけとうに書き直してください)。GnuPG公開鍵はこちら

他のあたり:PFSEC - Systems Platform and Securityアマゾンのレビュー

強いWindowsの基本 WebDAVシステム構築ガイド(萌えバナーその1)
WebDAVシステム構築ガイドの方のバナーの絵柄は、内容とは何の関係もありません(汗)
アクセス探偵IHARA

おとなり日記はこちら

2013-07-19 マシンが熱い

ええと,帰宅してからいままでに,一度過熱して落ちました…>オレのマシン

[][]Apache Struts 2の脆弱性(S2-016)を突いた攻撃が増えてるらしい Apache Struts 2の脆弱性(S2-016)を突いた攻撃が増えてるらしいを含むブックマーク Apache Struts 2の脆弱性(S2-016)を突いた攻撃が増えてるらしいのブックマークコメント

リンク先は,「Apache Struts」としか書かれてないけど,Struts 1.x と Struts 2.x は(開発元は同じでも)別モンという認識なので,あえて「Struts 2」と書いている.

で,この脆弱性,心底ヤバいという風である.該当するStruts 2を使ってるWebアプリ,本気でバージョンアップしないと,いろいろ好き放題やられそう….

JSOCの観測結果から,攻撃件数の推移を見ると,以下の2つの日よりも,明らかにS2-16が公開された後の件数がスパイクしてるのがわかる.

S2-13〜S2-16は,いずれもPoCが公開されている.S2-13〜15は,これ単体ではちょっと実際の攻撃に使いづらいように見える(使えないわけではない)のに対し,S2-16は攻撃者にとっては大変お手軽かつ有用な(というかデンジャラスな)脆弱性となっている.

PoCは「Struts Blank Appに以下のURLのような感じのところにリクエスト投げてみ?」という,大変シンプルなものである.これはもうなんというか,攻撃者にとっては大変美味しいものであろう.なんせ,リクエスト一発投げて試験完了するんだから.

攻撃ツールなどという大層なものをわざわざ作らんでも,wgetで攻撃リクエスト投げるだけのスクリプトを書くだけでもいけそうだ.「PoCという名でお手軽ツール作成例が,本家のWebサイトで公開されてる」んだからそりゃ攻撃も増えるわ…*1

こう書かないと検証すら出来ないところが多いとはいえ,ここまで掲載する必要あるんかね?という気にもなる.

*1:ちなみに見た瞬間,「なんじゃこりゃ!」とひっくり返りました

2013-07-17 アレから1ヶ月ちょいが経過

アレ=大規模改ざんの件について書いてから.

[]Piyokangoさんところも適宜アップデートされてるなぁ Piyokangoさんところも適宜アップデートされてるなぁを含むブックマーク Piyokangoさんところも適宜アップデートされてるなぁのブックマークコメント

ということで,少しだけ調査をしてみた.*1

JPCERT/CCからもWeb サイト改ざんに関する注意喚起としてリリースされていますが,1ヶ月以上経過してたりする.

どういう状況なのか?を少し調べてみた.

[]よく見られるサイトはおおよそ修正されている…ように見えるが… よく見られるサイトはおおよそ修正されている…ように見えるが…を含むブックマーク よく見られるサイトはおおよそ修正されている…ように見えるが…のブックマークコメント

少し見て回ると,おおよそなおってるか,改ざんされたWebページが消されてるか閲覧出来ない状況になっているかという風に見える.

が,「残ってるんじゃないか?」とちょっとだけ根性入れて探すと,いや,あるわあるわ….

で,残ってるところの特徴をざっと見ると,以下のような感じ.

  • 見た範囲では,「改ざんは成功している」が,アクセスしたブラウザ上でのスクリプト動作はしないような状態
  • Webページの作成者/Webサイトの管理者は(多分)気付いてない

で,動かないパターンだが,改ざんパターン2〜HTMLが改ざんされたものの,scriptタグが機能しない形にされているパターンが多くみられた.

また,改ざんパターン3〜JSPが改ざんされ,キレイにscriptタグが削除されてくるパターンに類似したものも確認できた.異なるのは,改ざんされたのがJSPではなくASPだったという点である.前に調べた時にはASPで構築されたWebサイトは出てこなかっただけに,ちょっとだけ驚き.

[]本当に問題なのは,「注意喚起が届いてない」ところなのでは 本当に問題なのは,「注意喚起が届いてない」ところなのではを含むブックマーク 本当に問題なのは,「注意喚起が届いてない」ところなのではのブックマークコメント

というのは,きわめてあたりまえのことなのだがw,このような改ざんに気づいてないWebサイト/Webサーバの管理者は,次に改ざんされても気づかない可能性がある.

要は「改ざんしやすいWebサイトリスト」に掲載され続けてるように見えるけど,当人は何も気づいてない,という話.

[]どうやって上のようなことを調べたのか? どうやって上のようなことを調べたのか?を含むブックマーク どうやって上のようなことを調べたのか?のブックマークコメント

見え見えの特徴があるところで「どうやって?」などと聞かれても「ここまでわかれば普通調べられるだろ」としか言えない.

改ざんコードの特徴を検索エンジンに食わせれば,嫌でも山ほど見つかる….

見つかったURLを,wgetなりのコマンドで取得して内容を目視で確認するという蟹工船的作業を少しだけやってみた,というだけ.

[]いいから調べろ〜自分ところのWebサイトの確認を! いいから調べろ〜自分ところのWebサイトの確認を!を含むブックマーク いいから調べろ〜自分ところのWebサイトの確認を!のブックマークコメント

別にオレは,世の中のすべてのWebサイトに責任を持つ者でもなんでもないけどw,さすがにここまで放置されているWebサイトが多いと気になる.

どのような運用になっているのか?てのはあるけど,自分ところのWebサイトがどんなになってるのか?てのは,折をみてチェックするのがよいのではないか?とか思う.

*1:別に暇な訳じゃないけど,いろいろとひっかかる

2013-07-04 いろいろ詰むと動けなくなる

まぁ,これはしょうがない…

[]IPAからの2013年7月の呼びかけを読み解いてみた IPAからの2013年7月の呼びかけを読み解いてみたを含むブックマーク IPAからの2013年7月の呼びかけを読み解いてみたのブックマークコメント

なんともな感じだが,IPAから「 止まらないウェブ改ざん! 」〜ウェブサイトの管理の再検討を!〜という周知が出ている.

この周知は,先月までに多く確認されたWebサイト改ざんを受けてなされたものだが,内容は大変限定的なものになっている.

読んでる人はすでに気付いてるところもあるかと思うが,気になるところをば…*1

  • 事例1は,Webサーバの脆弱性と書かれているが,実際にはWebアプリケーションの脆弱性を悪用されている事例である
  • 事例2〜4は,すべて認証情報を窃取された(もしくは推測されやすい認証情報を使っていた)ことに起因している

正直,この数年で痛い目を見たものの1つが「Gumblar」だと感じているわけだが,この攻撃が流行ったタイミングで「クライアントの確認を」という話が定着したものと勝手に思い込んでいた.

まぁ,3年経過していろいろと劣化したんだろうな….

[]Webアプリも最新化を Webアプリも最新化をを含むブックマーク Webアプリも最新化をのブックマークコメント

上の事例で明らかに抜けているのは,Webアプリケーションの脆弱性を突いたとおもわれるもの.それも個別に作ったものではなく,古いパッケージ製品や,脆弱性がすでに判明している(そして攻撃手段も準備されている)オープンソースCMS脆弱性を突いたとおもわれるものである.

WordpressPleskあたりは言うまでもなく,他のCMSでも古い版であればごろごろ脆弱性は出てくるので,きちんと最新化を.

とはいえ,なかなか難しいんだよなぁ….

[]MyJVNバージョンチェッカは使えるか? MyJVNバージョンチェッカは使えるか?を含むブックマーク MyJVNバージョンチェッカは使えるか?のブックマークコメント

結論から言うと,「使わないよりは使ったほうがいい」となる.ただ,「絶対に使わなければならない」ほどのものか?と言われると,ちょっと疑問だ.

以下にその理由を.

Java脆弱性に起因して,「よりセキュアにする」ための指示と,セキュリティを確認するための手段に(一部ではあるが)コンフリクトを起こしているように見える.しょうがないといえばしょうがないのだが,アプレットを動作させない(Javaプラグインをオフにする)ことを推奨するのであれば,せめてアプレット版ではなくスタンドアロン版の最新バージョンを動作させる方向にしたほうがよくないか?と感じる.

また,「チェック対象となるソフトウェアが少ない」というのは,これまた限られた手間の中でやっていることを考えると致し方ないことではあるが,それにしても少ない(チェック対象製品一覧はこちら).

あと,バージョンについての話もさることながら,「自動更新を行える」製品については,その設定が有効になっているかどうかをチェックの上利用者に提示し,「忘れてませんか?」という注意をうながすほうがより本質的ではないか?と感じるところもある.

[]MyJVNバージョンチェッカ(サーバ版)は使えるか? MyJVNバージョンチェッカ(サーバ版)は使えるか?を含むブックマーク MyJVNバージョンチェッカ(サーバ版)は使えるか?のブックマークコメント

結論から言うと,「使わないよりは使ったほうがいい」となる.ただ,これ使ったからすべてが最新であると思わないほうがいい.

対応製品は,Windows版Linux版で何気に同じだが,要は「Webサーバ」「Tomcat 1.5」「BIND」「Java」「OpenSSL」というように,ミドルウェアの一部だけがチェックされると考えたほうがよいだろう.

あと,MyJVNバージョンチェッカ(サーバ版)が対象とするLinuxサーバは,RHELCentOSあたり(yumを使ってバージョンアップ)であり,Java以外は全部yumでアップデートを行う前提で説明が書かれている.このためか,「yumで入らないTomcat 1.6やTomcat 1.7」などは,MyJVNバージョンチェッカ(サーバ版)のLinux版ではバージョンチェックの対象にならないように見える.

なんというか,ミドルウェアと同じように深刻なのは,設置後放置されているWebアプリのほうなのだが,そちらはもはや個別にチェックするしかない.なので,「使わないよりは〜」という消極的な言い方になっている.

あと,バージョンアップを行うにはクリティカルすぎるのがJavaである.

もちろん,バージョンアップを行うのが正しいといえば正しい(正しすぎる)のだが,目立つ脆弱性はほとんどがクライアントに入っているJREが,ヘンなアプレットを食べさせられるとか不審なjarファイルを踏まされるということで悪用される.

中がわかっているJavaアプリケーションしか動かさない&サーバからWebブラウズしないという環境であれば,目くじら立てるほどのこともない,というのが正直なところ.

むしろ「Webアプリケーションで使われているコンポーネントが脆弱」というほうがよっぽど罪が重い.例えば「Webアプリケーション構築に使われているフレームワーク脆弱性」というのは,JRE云々以前の問題.(参考:Struts 2の脆弱性を突いて不正侵入」、JINS通販サイトのカード情報漏洩フレームワーク脆弱性がある場合は,JREのバージョンによらずその影響を受ける可能性が高い.この手の攻撃は,Webアプリケーションの脆弱性を突かれるというスコープに照らし合わせてみたほうがよいだろう.

*1:もちろん,中の人がいろいろとがんばってるのも推し量ることはできるし,内容についても配慮していることはわかっているので,あくまで外から見て,ということになる

pinponpinpon 2013/08/07 00:14 若気の至りだろうけど

http://internet.watch.impress.co.jp/cda/parts/image_for_link/24992-12274-4-1.html

って、ネコ、サカサマじゃね?

今は痛化したり。、萌やしたりしてるのですか?

wakatonowakatono 2013/08/08 02:21 トロの話ですね.
上下については,ThinkPadのロゴの方向にあわせて貼ってるのでそうなります.

0000 | 00 | 01 |
2003 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 04 | 05 | 06 | 07 | 08 |
2011 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 12 |
2012 | 01 |
2013 | 05 | 06 | 07 | 08 | 09 | 12 |
2014 | 03 | 06 | 08 |
2015 | 02 | 04 | 08 | 10 |
2016 | 02 | 03 | 04 | 07 | 08 | 10 |
2017 | 05 | 07 |
hacker emblem
ページビュー
1880933