1. はじめに つい先日のWindowsのセキュリティアップデートでWindowsのCryptoAPIの楕円曲線暗号処理に関連した脆弱性の修正が行われました。 「CVE-2020-0601 | Windows CryptoAPI Spoofing Vulnerability」 これがまぁ世界の暗号専門家を中心にセキュリティ業界を驚かせ、いろいろ騒がしています。 その驚きの一つは、この脆弱性の報告者がNSA(米国家安全保障局)だったことです。NSAはMicrosoftのアナウンスとは別により詳しい内容でこの脆弱性を警告するアナウンスを出しています。 「Patch Critical Cryptographic Vulnerability in Microsoft Windows Clients and Servers」 これまで数々の諜報活動をインターネット上で行ってきたNSAが、この脆弱性を
序 最近、安易に建てられた危険なサーバーが増えているため、サーバーセキュリティを鑑みた基本的な設定や構成はどういうものかという話をする。 本記事では具体的な設定や構築を説明するが、環境や前提、用途などもあるため、これを真似すれば安全ということではない。 セキュリティは銀の弾丸があるわけではなく、全ての要素を合わせて考えたア上での最適を導かねばならない。それがセキュリティの難しいところでもある。 本記事はセキュリティが未熟だと自認する人にとっては参考になる内容だと思うが、どちらかというと、本記事の内容が当たり前に「すでに理解できている内容」になっていない人は、サーバーを建てるべきではない(危険な未熟の段階である)ということが重要であり、各々が自身の技量を測る指標として使ってもらえればと思う。 宣誓の儀 「サーバーを破られるということは、すなわち犯罪に加担するということである」 この言葉をしっ
連載:ITの過去から紡ぐIoTセキュリティ 家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。 この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界に生かすという観点で、対策のヒントを紹介していきたいと思います。 顧問弁護士に相談した上で回答は「保留」 Tapiaは、Androidを搭載し、音声で操作できるコミュニケーションロボットです。変なホテルではコンシェルジュの役割を果たし、宿泊客向けに交通情報や天気などを教えてくれますが、NFC(近距離無線通
「Log4j 2に脆弱性があるらしい、バージョンアップしたら治るらしい。」 本日話題のこのテーマで軽く書いておきます。 未完です。 未完公開の言い訳。更新した内容は最後に書いてます。大きな間違いは(今のとこ)ないので、よかった。 2021-12-20追記: 2.17.0 出てますのでコピペしてそのままにせず適宜読み替えてくださいね。 とにかくバージョンを上げよう ……リリースできるかは別の話として。 バージョンを上げられないことには話になりません。ということでとにかくあげましょう。 Log4j 2のようなログライブラリは多くのプロダクトで使用されています。 意識する/しないに関わらず、ログライブラリは何かしら関連があると思うべきでしょう。 使用しているかの調べ方 常時依存ライブラリリストを出力するなどして管理しているのであればそれを見ればいいだけの話ですが、そうでなければ、 mvn dep
By Artur Oleyarsh January 10, 2023 at 12:33 AM Category: Cloud, Vulnerability Tags: CVE-2022-23529, exploit, open source, Prisma Cloud, remote code execution, Vulnerability Exploitation 2019年1月30日 PST 本脆弱性の悪用シナリオの前提条件に関するコミュニティからのフィードバックを受け、私たちはAuth0と協力してCVE-2022-23529を撤回することを決定しました。 本稿で解説したセキュリティの問題はJsonWebTokenライブラリが安全でない方法で使用された場合には依然として懸念されるものです。そのシナリオでは、すべての前提条件を満たせばこの問題を悪用できる可能性があります。私たちは、その
2020年1月17日、MicrosoftはInternet Explorerに深刻な脆弱性が存在し発表時点でまだ修正中であることを明らかにしました。ここでは関連する情報をまとめます。 1.概要編 ① いま何が起きているの?(1月17日時点) サポートされている全てのInternet Explorerに深刻な脆弱性。脆弱性はCVE-2020-0674が採番。1月11日時点のCVSSスコア(現状値)は7.1。 17日時点で修正中であり更新プログラムが公開されていない。限定的ながらこの脆弱性を悪用する攻撃が確認されている。 2020年1月14日にサポート期限を迎えたばかりのWindows 7も影響を受ける。更新プログラムの提供は明記がないが、Microsoftが発表した対象のリストに含まれている。 ② この脆弱性の影響を受けるとどうなるの? リモートから任意のコード実行が可能な脆弱性が存在し、悪
2001年に発売されたWindows XPは動作が安定していることや低スペックのPCでも動作可能なことから2014年にサポートが終了した後も根強い人気を誇っており、発売開始から20年後の時点でも約0.6%のシェアを保っています。Windows XPは正規の需要に比例して海賊版の需要も高く、長年にわたって認証システムが攻略されてきました。2022年に完全オフラインで認証を突破できるようになるまでの流れをtinyappsがブログにまとめています。 Windows XP Activation: GAME OVER https://tinyapps.org/blog/202304230700_xp_wpa.html Windows XPのアクティベーションプロセスは、まずプロダクトキーを元にプロダクトIDを生成し、その後プロダクトIDとハードウェアハッシュを元にインストールIDを計算。そしてインス
Androidで見つかったスクリーンショット編集機能の脆弱性が、Windows 11の純正スクリーンショットツールにもあることが分かりました。 Windows 11 / 10標準のSnipping Tool (Win+Shift+S)でスクリーンショットを撮影してから、切り取ったりマークアップで塗り潰して上書き保存した場合、切り取った範囲外や消したはずの部分がファイルに含まれる場合があります。 メールで誰かに送信したり、ネットに投稿するなどして共有していた場合、スクリーンショットを復元して個人情報などを取得できる可能性があります。 先週には Android 純正のスクリーンショット編集ツール Markup で、同様の脆弱性が発見されていました。 Google Pixelのスクショ編集で消した部分が復元される脆弱性「aCropalypse」、塗り潰しや切り取り範囲外を復活 | テクノエッジ
C:\GOV\TopSECRET │ .compile-cache │ .htaccess │ boot.md │ kernel.bin │ boot.ini ├─application │ │ encryptor.bin │ │ filters.bin │ │ routes.exe │ │ └─security │ │ vuln_go.exe │ │ penetrate.log │ ├─config │ │ │ _controller.md │ │ │ application.exe │ │ │ auth.bin │ │ │ cache_log.crt │ │ │ dtbs.exe │ │ │ session.bin │ │ └─admin │ │ application.exe │ │ error.bin │ │ session.exe │ ├─controll
Downfall attacks target a critical weakness found in billions of modern processors used in personal and cloud computers. This vulnerability, identified as CVE-2022-40982, enables a user to access and steal data from other users who share the same computer. For instance, a malicious app obtained from an app store could use the Downfall attack to steal sensitive information like passwords, encryptio
マイクロソフト、Google、GitHub、Red Hatらが「Open Source Security Foundation」(OpenSSF)を結成。オープンソースのセキュリティ改善へ いまやオープンソースソフトウェアは社会的に重要な基盤として欠かせないものになっています。 それはクラウドの構築に使われるソフトウェアの多くがオープンソースであり、さらにその上で実行されるミドルウェアやアプリケーションの多くにもオープンソースが使われていることからも分かるとおりです。 このように非常に重要なものとなったオープンソースソフトウェアのセキュリティを継続的に改善していくための団体として、マイクロソフト、Google、GitHub、IBM、Red Hat、VMwareなどをはじめとする企業が、Linux Foundation傘下の団体として「Open Source Security Foundat
初Zennです。 はじめてZennを使ってみました。いつもはTwitterにいるmipsparcです。鉄道と関連技術が好きで、本職ではPHPを書いています。別途ブログもあります https://mipsparc.wordpress.com/ 今年6月、TABICA(7/26に改称し、新名称「aini」、運営会社 株式会社ガイアックス)というイベント募集仲介サービスに、個人情報を自由に取得できる脆弱性を見つけて報告したところ、速やかに修正されて報奨金をいただいた話をします。 GraphQLは知ってますか? はじめに、GraphQLはご存知でしょうか。普通のHTTP API(RESTともいいますが)では、リクエストするエンドポイントが用途ごとに決まっているのが普通でしょう。たとえば /userdata にアクセスすると、JSONなどの形式でユーザーデータの決まった内容が帰ってくるものです。
2020年3月末から、日本では一気にテレワークが浸透し始めました。そんな中、ものすごい勢いでビジネスパーソンに利用されているツールが「Zoom」です。私自身も複数の打ち合わせをWeb会議で実施しましたが、いまのところその全てでZoomを指定されました。大学のオンライン授業にも利用可能ということもあり、職種や規模に関係なくZoomが注目されています。 なぜここまでZoomが注目されたのか、直接の要因は正直よく分からないのですが、ここまで多くのユーザーに広がるアプリの特徴は「誰かが使い始めると、そこから芋づる式にいつの間にか広まっている」という点かもしれません。ユーザーが急増する様子に、私は初期のLINEを思い出しました。 さて、急速に広まったZoomですが、現在セキュリティの問題で厳しい視線を向けられています。それでもZoomを使い続けたい読者や、使い続けて問題ないかどうか迷っている読者に今
03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話
ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか!」という驚きの声が寄せられることがある。 例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコミもよく入る。ITmedia NEWSの読者が高いITリテラシーを持っていることの現れともいえるかもしれない。 しかし、もう少し踏み込んでみることをすすめるのが、情報セキュリティの専門家・徳丸浩さんだ。 「みなさん『それはダメだよ』と思うことはありますよね。でも『これが現実なんですよ』ということが大事だと思うんですよね。例えば、自分が作れば大丈夫という場合でも、ソフトウェアを発注して完成品を受け取ってみたら問題があったなんてことは十分あることです」 “そうはならんやろコード”はどうやっ
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の華中科技大学などに所属する研究者らが発表した論文「PrintListener: Uncovering the Vulnerability of Fingerprint Authentication via the Finger Friction Sound」は、スマートフォンによる指紋認証時の摩擦音を録音し解析することで、その指紋を復元する自動指紋識別システム(AFIS)へのサイドチャネル攻撃を提案した研究報告である。 この攻撃手法は、ユーザーの画面上でのスワイプ動作を利用して指紋の特徴を抽出し、これらの特徴に基づいて、ユーザーの指紋
ロシアのアンチウイルス製品を開発するDoctor Webは、WordPress CMSをベースとしたWebサイトをハッキングする悪意のあるLinuxプログラムを発見したと発表した。 Linuxマルウェアが複数の古いWordPressプラグインやテーマに存在する30の脆弱性を悪用して、悪意のあるJavaScriptを注入していた。その結果、ユーザーが感染ページの任意の領域をクリックすると、他のサイトにリダイレクトされる被害が起きていたという。 このマルウェア(トロイの木馬)は32ビットと64ビットの両方のLinuxシステムをターゲットにしており、そのオペレーターにリモートコマンド機能を与える。主な機能は、ハードコードされたエクスプロイトのセットを使用してWordPressサイトをハッキングし、そのうちの1つが動作するまで連続して実行される。 対象となる脆弱性があるプラグインやテーマは以下の通
2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。 1.最大1500組織にランサムウエアの影響か Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。 Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~
2023年2月3日(現地時間)、フランスのナショナルサートCERT-FRは、VMware ESXiを狙った脆弱性悪用のキャンペーンが確認されているとして注意を呼び掛けています。ここでは関連する情報をまとめます。 何が起きたの? ⚠️Alerte CERT-FR⚠️ CERTFR-2023-ALE-015 : Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi (03 février 2023). https://t.co/KN6GDUdXcL— CERT-FR (@CERT_FR) 2023年2月3日 2月4日未明よりVMware ESXiを狙ったサイバー攻撃が発生しているとCERT-FRをはじめ複数のセキュリティ研究者などから報告があがっており、被害に遭ったとみられるホスト数が増加傾向にあることから攻撃が続い
テレワークで使う「家庭用ルーター」が危ない! セキュリティ対策をあなどってはいけない理由(1/2 ページ) 新型コロナウイルス感染症対策として、国内でも多くの企業がテレワークを採用しています。いずれはオフィス勤務に戻す企業も多いと思いますが、中には日立製作所や富士通のように、今後はテレワーク主体で業務を進めると宣言する企業も出てきています。育児や介護といった家庭の事情を抱える従業員を中心に、部分的にテレワークを継続する企業もあります。 テレワーク中でもオフィスで働く時と同様、IT環境のセキュリティ対策は不可欠です。内閣サイバーセキュリティセンター(NISC)はこのほど公開した文書で、「新しい生活様式」に向けたセキュリティ対策の指針を紹介しています。 具体的には(1)テレワーカーの増加や対象業務の拡大があった場合はセキュリティリスクを再評価すること、(2)支給端末・支給外端末に関わらず、利用
laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129PHPSecurityLaravelkinsingkdevtmpfsi webサーバー上でlaravelを動かしていれば、ちょっとした設定のミスで誰でもマルウェアに感染する可能性がある激ヤバセキュリティホール(CVE-2021-3129)が2021年1月20日に報告されています! composerでインストールしたパッケージをバージョンアップせずに使っていませんか? インターネット上に公開されているサーバー、特にステージングや開発環境でDEBUG=ONにしていませんか? エラー画面がこんな風に見えますか? この3つの条件を満たしていると、あなたのlaravelは、今すぐにでもマルウェアに感染する可能性があります。 laravelの脆弱性をついたkinsing(k
プログラミング言語のPythonで、2007年に存在が公開されたものの修正されなかったバグが再発見されました。任意コード実行可能な脆弱性にもつながるこのバグの影響は、コーディング自動化ツールを介してさまざまなプロジェクトに広まっており、修正するべきオープンソースリポジトリが35万件以上にも及ぶと指摘されています。 Tarfile: Exploiting the World With a 15-Year-Old Vulnerability https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html Tarfile: Exploiting the World With a 15-Year-Old Vulnerability https://www.trell
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature Author: mala Introduction This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using custom domain plan of Medium. This is done as my personal activity and is not related to my organization.
Everything I Know About the XZ Backdoor stateevergreeninblogdate3/29/2024Please note: This is being updated in real-time. The intent is to make sense of lots of simultaneous discoveries regarding this backdoor. last updated: 5:30 EST, on April 2nd Update: The GitHub page for xz has been suspended. 2021JiaT75 (Jia Tan) creates their GitHub account. The first commits they make are not to xz, but the
(You can read this article in English here.) 免責事項GitHubはBug Bountyプログラムを実施しており、その一環として脆弱性の診断行為をセーフハーバーにより許可しています。 本記事は、そのセーフハーバーの基準を遵守した上で調査を行い、その結果発見した脆弱性に関して解説したものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 GitHub上で脆弱性を発見した場合は、GitHub Bug Bountyへ報告してください。 要約GitHub Actionsのランナーのソースコードをホストするactions/runnerリポジトリにおいて、セルフホストランナーの使用方法に不備があり、結果としてGitHub Actionsに登録されているPersonal Access Tokenの窃取が可能だった。 このトークンはGit
Microsoft Defender、Avast、AVG、トレンドマイクロなどの主要なアンチウイルスおよびエンドポイント検出応答(EDR)ソフトに、感染したファイルを削除する機能を悪用してPCのデータを消去し復元できないようにしてしまうゼロデイ脆弱(ぜいじゃく)性があることが分かりました。 SafeBreach Labs Discovers New Zero-Day Vulnerabilities | New Research https://www.safebreach.com/resources/blog/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities/ For Cyberattackers, Popular EDR Tools Can Turn into Destructive Data W
クラウドセキュリティ監査ツール「Scout Suite」を使って、ゆるゆる設定のAWS環境をチェックしてみたAWSSecurityaws-cli 最近、セキュリティ関係のセミナーに参加して、「Scout Suite」というクラウド環境のセキュリティ監査ツールの存在を知り、個人のAWS環境にわざと緩めの設定を追加してチェックしてみたので、その際の手順を残しておきます。 Scout Suiteとは? GitHubの「Description」にて「Scout Suite is an open source multi-cloud security-auditing tool」と説明されているように、AWS、Azure、GCPなどの複数のクラウド事業者(GitHubの「Cloud Provider Support」を参照)に対応しているセキュリティ監査ツールです。 チェックを行いたいクラウド事業者
Trivyのv0.17.0をリリースしました。 github.com 長い道のりでしたが、ようやくこれでGoバイナリの脆弱性検知に対応できました。夜中0時ぐらいからリリース作業を初めて気付いたら朝5時でした。 概要 Go言語で書かれたプログラムをビルドすると依存しているモジュールがバイナリに含まれます。現代のソフトウェア開発において利用しているOSSのライブラリが0ということはまれなので、何かしらのOSSライブラリが作成されたバイナリに同梱されます。これらのOSSの古いバージョンには既知の脆弱性が含まれる可能性があります。これを手動で調べて追うのは手間なので最近では脆弱性スキャナを用いて検知するのが普通です。自分が開発したTrivyというOSSの脆弱性スキャナではコンテナイメージやファイルシステム上のGoバイナリに含まれるモジュールを特定し脆弱性を検知します。 Goのバイナリからどうやって
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く