JVN Update 3/2

Iolo System Shield AntiVirus

AntiSpyware には、バッファエラーの脆弱性が存在。

iolo technologies, LLC. System Shield 5.0.0.136

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

JVN 緊急のピックアップ

あんまりしらないものばかりだけど、SAMLは有名だと思う。

 

SugarCRM における XML 外部エンティティの脆弱性

SugarCRM SugarCRM 6.5.17 未満

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

 

SimpleSAMLphp におけるアクセス制御に関する脆弱性

SimpleSAMLphp 1.15.2 未満

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

⇒警告でオープンリダイレクトの問題もあり。

 

Flexense SyncBreeze Enterprise におけるバッファエラーの脆弱性

Flexense Ltd. SyncBreeze Enterprise 10.4.18

情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。

遠隔操作ツール(RAT)PlugX/BKDR_RARSTONE.A

PlugX

 

過去には独自のHTTPヘッダを使用していたが、使わないようになったり、文字列が難読化されたりのようだ。

感染は標的型メールなどのファイルから。そのフローは以下の1、2、3の順。

1.正規ファイル
2.正規ファイルにより読み込まれる不正なDLLファイル
3.2)の不正な DLLファイルが読み込む不正なコードを含むバイナリファイル

Adobe Acrobat Reader” や Microsoft Office(特に脆弱性「CVE-2010-3333」)に存在する脆弱性を利用)

http://blog.trendmicro.co.jp/archives/6026

http://blog.trendmicro.co.jp/archives/9748

 

BKDR_RARSTONE.A

 

組み込まれたコードは自身をメモリー上で復号化

ダウンロードされたファイルは、システム上に作成されるのではなく、直接メモリーに読み込まれるのでファイル検出機能は役に立たない。

「Uninstall」レジストリーキーのエントリーの情報からインストールされたアプリケーションの情報なども搾取。

C&CサーバへはSSLを使用する点もポイント。

 

(参考)

http://tech.nikkeibp.co.jp/it/article/COLUMN/20130310/462081/

https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/malware/bkdr_rarstone.a

 

CySA+ 環境の変化とは Palo Alto Networks の記事シェア

 パロアルトのブログでクラウドとオンプレのセキュリティの考え方についてあったのでちょっと見てみることに。

 

www.paloaltonetworks.jp

 

IaaSだとOSのメンテナンスはユーザ側の範疇。

次世代ファイアウォールはユーザ端末に入れるエンドポイントセキュリティ製品なのかな・・?

それともフロントのVMにインストールして、後ろのセグメントと通信する構成にしないといけないということかも。

 

 

仮想化によって単一サーバ基盤上に多くのアプリケーションを展開できるため、ある意味、セキュリティ リスクは増大。

 

物理ネットワークの場合、セグメント化はネットワーク、ファイアウォール、セキュリティ ポリシーを使用することで実現。

 

クラウド コンピューティング環境では、特定のサーバ内の仮想マシン間、また場合によっては多様な信頼レベル間で直接通信が行われるため、セグメント化は困難に。

 

(参考)

https://www.paloaltonetworks.jp/solutions/initiatives/public-cloud

 

クラウドの中リソースを共有しているものもあるから物理的な仕組みを知らないといけないことも多いし、今後課題だと思う。

(IoTとかクラウドメインのテクノロジーもセキュリティの問題も多いし。)

 

 

 

Android 端末向け不正アプリ「AndroRAT」

Androidユーザは気にしないといけないかもしれない。

 

初回起動時には、初期インストールされている計算機アプリによく似た中国語の計算機アプリをインストールするようにユーザを誘導、とのこと。

 

Android 端末向け不正アプリ「AndroRAT」の新しい亜種、古い権限昇格脆弱性を利用し端末をルート化 | トレンドマイクロ セキュリティブログ

 

この不正アプリは「Remote Access Tool(RAT)」で、サイレントインストール、シェルコマンドの実行、Wi-Fi パスワードの収集、画面キャプチャのような不正活動のために、脆弱性を利用して端末をルート化。

 

RATの主な行動は以下のようだ。

デスクトップのスクリーンショット撮影
コンピューターに装着されたカメラによる撮影
ファイル操作(ダウンロード、アップロード、実行ほか)
シェル制御(コマンドプロンプトによる)
コンピューター制御(電源オン/オフ)
レジストリ管理(照会、付加、削除、変更)
ハードディスクの破壊(オーバークロック

RATの仕組みが気になったので明日調べてみる。

 

MBR破壊型・ワーム型ランサムウェア 「Bad Rabbit」

以下の行動を行い、増殖をするもの。

 

ローカルキルスイッチのチェック
複数のタスクスケジュールの作成
一般ファイルの暗号化(ランサムウェア
ディスクの暗号化(ランサムウェア
セキュリティ製品プロセスの検索
イベントログの削除
ジャーナルの削除
ネットワーク関連情報の取得
ユーザー名/パスワードを用いたローカルネットワークへの辞書攻撃
保存されている認証情報の奪取
保存されている資格情報の奪取 

 

詳細は以下のページ

www.mbsd.jp

 

ポイントは以下だと思う。

 

あたかも一般的な実行ファイル形式で感染する

Adobe Flash Playerのインストーラーを装ったりする。

 

C:\Windows\System32\rundll32.exeを実行する。

 

イベントログなどで検出はできるのではないかと思うが

上記の実行ファイルの検知とジャーナルの削除履歴、管理者権限での実行コマンドなどあわせて確認する必要がある。

かつ、PC内で完結するため、外部アクセスログなどからは判断できないと思われる。

※ただし、同じネットワーク内に感染させるため、通信ははしるのでその状況もみればわかる。SOCの対応が必要か。

 

 

 

 

 

 

 

 

 

2/26 JVN update

・Tinderの脆弱性

 情報を取得される、および情報を改ざんされる可能性があります。

 

・Ipswitch WhatsUp Gold

 SQL インジェクションの脆弱性が存在します。

 

Apache NiFi

入力確認に関する脆弱性が存在します。

 

・Nari PCS-9611 リレー

入力確認に関する脆弱性が存在します。

 

・libcurl

情報漏えいに関する脆弱性が存在します。

 

・Soyket Chowdhury Vehicle Sales Management System

SQL インジェクションの脆弱性が存在します。

 

 

セキュリティ脆弱性情報 2/25

1.Microsoft 製品の脆弱性対策について(2018年2月)

2018/2/15 更新対象は以下。

Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft OfficeMicrosoft Office Servers および Web Apps
ChakraCore
Adobe Flash Playerに関する脆弱性の修正プログラム

 

2.Apache Tomcat の複数の脆弱性に対するアップデート

2018/2/23更新、対象のバージョンは以下

Apache Tomcat 9.0.0.M1 から 9.0.4 まで
Apache Tomcat 8.5.0 から 8.5.27 まで
Apache Tomcat 8.0.0.RC1 から 8.0.49 まで
Apache Tomcat 7.0.0 から 7.0.84 まで

 

3.iOS 版 LINE における SSL サーバ証明書の検証不備の脆弱性

2018/02/23更新

7.1.3 未満のバージョンおよび 7.16 以上のバージョンは本脆弱性の影響を受けない。


脆弱性は、2017年11月24日にリリース済の iOS 版 LINE バージョン 7.16 で対策されているとのこと。