DevSecOps: 古いセキュリティバグが未だに新たなトリックを仕掛けている
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性を探しています。しかし、このように将来を見据えた視点は、セキュリティ意識全体を弱めるという意外な効果をもたらす可能性があります。
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャ、開発者、CISO、またはセキュリティ関係者のいずれであっても、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
始めるためのリソース
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
