DevSecOps: 古いセキュリティバグが未だに新たなトリックを仕掛けている
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性を探しています。しかし、このように将来を見据えた視点は、セキュリティ意識全体を弱めるという意外な効果をもたらす可能性があります。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
%20(1).avif)
.avif)
