Citrix脆弱性をOSINTで検知 : CVE-2022-27510, CVE-2022-27518

2022年度の下半期にCitrix ADCとCitrix Gatewayから2つの致命的な脆弱性の CVE-2022-27510、CVE-2022-27518 が公表されました。この2つのCitrix脆弱性はCVSSスコアが両方9.8点のCriticalが出るくらい強力な脆弱性であり、実際のハッキング攻撃にも多く悪用されているという事例が今までも続いて報告されています。 そのセキュリティ脆弱性を持っているCitrix ADCとGatewayが未だに数多くインターネットに放置されています。もちろんCitrixのHTTPバナーには正確なバージョン名が表記されていないため、CVE-2022-27510、CVE-2022-27518の脆弱性を保有するケースを正確にキャッチすることはできないという意見もあるが、それは正確な話ではありません。若干のOSINT技術を用いると、正確なCitrix ADC / Gatewayのバージョン情報を調べられ、攻撃者は分かった情報でインターネットに放置されているCitrix ADC / Gatewayのサーバーへ不法的に浸透することができます。 持続的に悪用される CVE-2022-27510、CVE-2022-27518 まず、何か月か前に報告されたCitrix ADC / Gatewayの2つの脆弱性、「 CVE-2022-27510、CVE-2022-27518

By |2023-01-20T10:30:58+09:002023-01-20|Tags: , |0 Comments

ドッカーコンテナ の深刻なセキュリティ問題

ドッカー とは、コンテナ技術を用いた仮想化プラットフォームです。仮想化とは、物理的な資源であるハードウェアを効率的に活用するために、ハードウェアのスペースの上に仮想マシンを作る技術であり、仮想化方法によっては仮想マシン(Virtual Machine)とコンテナ(Container)で分けられます。コンテナ(Container)技術はホストOSの機能をそのまま活かしてプロセスを隔離し、独立された環境を設ける技術のことです。実際、コンテナ基盤の仮想化プラットフォームとして業界標準のように使用される ドッカー は、使用される分ほどセキュリティ脆弱性が発生する際、大きな被害を与える可能性があります。今回の投稿では、攻撃対象領域の漏えいで発生しかねない ドッカーコンテナ の深刻なセキュリティ問題とOSINT検索エンジンを利用して ドッカーコンテナ の攻撃対象領域を検知する方法について話します。 ドッカーコンテナ のセキュリティ問題、要は Private Docker Registry ドッカー コンテナ は、ドッカー クライエント、ドッカー ホスト、レジストリ(Registry)で構成されます。この中で、特にセキュリティ問題になりうるのは「 ドッカー

By |2023-01-09T11:47:59+09:002022-12-30|Tags: , |0 Comments

アルゴリアAPIキ、数々のハッキング脅威にさらされる

アルゴリア (Algolia)はウェブ検索を提供するSaaS型のホスト検索エンジンサービスです。簡単な会員登録をした上でアルゴリアAPIキーを発行し、ウェブサイトおよびモバイルアプリケーション内に連動すると速やかな検索を処理し、円滑に具現することができるという長所があります。なので、毎月何千に至るほどの会社のアプリケーションがアルゴリアを使用します。 このように多くのウェブに使われるアルゴリアAPIキーのセキュリティ問題が最近発見されました。シンガポールのセキュリティ会社CloudSEKで2022年11月21日公表した報告によると、ハードコーティングされた数百万のユーザーのアルゴリアAPIキーを奪取できるセキュリティ問題が発生したそうです。 AlgoliaのAPIは会社で音声、モバイルおよびウェブサイトの応用プログラムに検索、検索および勧奨事項を統合するのに使用されます。現在Lacoste、Stripe、Slack、MediumおよびZendeskを含む11,000個以上の会社で年間1兆5千億件の検索クエリーを管理するのに使用しています。 しかし、世界初のモバイル・アプリ用セキュリティ検索エンジンであるCloudSEKのBeVigilは、Algolia APIキーを流出した1,550個のアプリを職別しました。その中で数百万件のダウンロードが行われた32個のアプリには攻撃者が数百万のユーザーのデータを盗むために悪用できるハードコーティングされたキーが含まれています。 出所 : Hardcoded Algolia API Keys Could be Exploited by Threat Actors to Steal Millions

By |2022-12-06T18:57:21+09:002022-12-06|Tags: , |0 Comments

コイン採掘悪性コードの配布先に転落:漏洩されたRedisサーバー

Redisは、Remote Dictionary Serverの略語で、key-value構造の非定形データを保存・管理するための非リレーショナルデータベース管理システムです。非構造化データとは固定された構成の原則がなく、フィルタリングされていない原始データ(raw data)で、ウェブ・ログ、XML、JSON、イメージ、テキスト文書、オーディオおよびビデオファイル等、多様な形式が含まれます。 Redisは非同期レプリケーションを支援し、複数のサーバーに同じデータのコピーを維持できるという長所を持っています。これによって、主なサーバーに障害が発生する場合、いろんなサーバーにリクエストが分散され、向上した読み取りや早い復旧が可能になるので、多くの使用者らが利用しているシステムです。 漏洩されたRedisサーバー 、コイン採掘悪性コードを配布している 本投稿では攻撃者が認証設定が不十分なRedisサービスが実行されているサーバーにアクセスし、Bitcoin Minerでサーバーを感染させる事例について説明します。 まず、外部から漏洩されたRedis Productを確認するため、次の通りCriminal IPのIT資産検索で 「product: redis」 キーワードを検索すると、総26,373個の漏洩されたRedisサーバーについて情報を得られます。 https://www.criminalip.io/ja/asset/search?query=product%3A+redis Search Query: "product: redis"

By |2022-11-29T10:30:04+09:002022-11-26|Tags: , |0 Comments

新たな OpenSSL脆弱性 : セキュリティパッチされていないサーバー、14,000台以上

2022年10月31日、新たな OpenSSL脆弱性 が発見されました。脆弱性の番号はCVE-2022-3786及びCVE-2022-3602です。 今度の脆弱性はX.509 Email Address Buffer Overflowに関する脆弱性で、特にOpenSSL 3.0.0に導入されたX.509証明書の検証処理(名前制約条件検査機能)に使われるPunycodeによってoverflowが発生しかねません。 Punycode: ホスト名で許可された文字だけでユニコード文字列をエンコーディングする方法で、ユニコードストリングをASCIIストリングに変換するに使うアルゴリズム 文字、数字、ハイフン(-)のみ使用可能で、文字列は常に「XN-」文字に始まる。 ユニコードがサポートする全ての言語でドメイン名(IDNA:Internationalized Domain Names in Application)を使えるようにしたIDNAの一部で、変換は全的にクライアント(web browser)の側面で行われる。 ex) クリミナルアイピー.kr

By |2022-11-17T16:28:46+09:002022-11-17|Tags: , |0 Comments

ソフトウェアパッケージバンドルより発生するウェブサーバー脆弱性

オープンソースウェブサーバー、特にApache HTTP Serverは、2017年から脆弱性の数が急増し、現在までも攻撃者による悪用が続いています。攻撃者は様々な脆弱性を悪用してウェブサーバーを攻撃するが、 ソフトウェアパッケージ で設置されたウェブサーバーを狙うときもあります。 今度の投稿では、ソフトウェアパッケージバンドルより発生するウェブサーバー脆弱性と実際に漏洩されているデフォルトページ及び設定ファイルをCriminal IPのIT資産検索で検知する方法を扱います。 ウェブサーバー ソフトウェアパッケージ とは(XAMPP、Wamp、LAMP) Apache HTTP ウェブサーバーは独断(Standalone)に設置するより XAMPP、Wamp、LAMP などのパッケージバンドルの形で設置する場合が多いです。 基本的にAPMはウェブサーバーのアパッチ(Apache)とサーバーサイド言語のPHP、データベース管理システム(DBMS)のMySQL / Maria DBを意味します。この3つを組み合わせて表記する同じ意味の他の用語としてAMPを使うこともあります。 普段、ウェブサーバーを構築する際に、上記3つのソフトウェアを全部設置しなければいけないので、効率のため使われるものがウェブサーバー設置ソフトウェアパッケージです。 ウェブサーバー設置 ソフトウェアパッケージ

By |2022-11-09T20:57:35+09:002022-11-09|0 Comments

Fortinet認証バイパス脆弱性 (CVE-2022-40684)、今すぐ点検しなければならない

MS Exchange Serverゼロデイ脆弱性でProxyNotshell攻撃が発生してから1ヶ月も経っていなかった2022年10月7日、今度は Fortinet 認証バイパス脆弱性の CVE-2022-40684 が発見されました。この脆弱性はFortinetの製品の中でFortigate、Fortiproxy、Fortiswitch Manager製品で悪用されており、特にFirmware7.xバージョンの製品で発見される脆弱性です。 本投稿はPaloaltoと共に世界565,000人が利用しているFortinetの認証バイパス脆弱性に関する分析および今すぐ点検しなければならないインターネットに漏洩されたFortinetを点検する方法について語ります。 CVE-2022-40684 Fortinet 認証バイパス脆弱性の最新アップデート内容 10月7日、内部顧客に公開した認証バイパス脆弱性はすぐ様々な報告書を通じて外部に知られ、10月10日、影響を受ける全てのFortinetの製品リストと勧告事項を人々に公表しました。 脆弱な製品 Fortinet FortiOSバージョン 7.2.0 ~ 7.2.1 及び

仮想通貨採掘のマルウェアに感染された政府サーバー

仮想通貨採掘のマルウェア 感染を通じて第三者のリソースを仮想通貨採掘に使う、いわゆる「クリプトジャキング」は、新たな脅威ではないが、とても進化しています。特に、この作業の唯一の目的はコンピューターのCPUを使って数字を計算することなので、静かに接近し、痕跡を残さないのが特徴です。このような特性のため、疎かな管理で放置されている多くのデバイスが攻撃のターゲットになっています。特に、政府機関のシステムは主な攻撃の対象の一つです。 最近、韓国の政府機関が運営するサーバーがマルウェアに感染され、仮想通貨の採掘に使われていたが、数年間誰も発見せず放置されていた事件が話題となりました。問題のデバイスは政府が畜産農家から発生する悪臭をリアルタイムでモニタリングするために全国の農家に設置したもので、追跡の結果、この事件の攻撃者はクリプトジャキングで有名な Outlaw Hacking Groupだと判明されました。2017年に設置した直後からシステムのサーバーがマルウェアに感染された痕跡が発見されました。CIPチームはこの件で使われた悪性IPアドレスの活動履歴、インシデントの原因をCriminal IPとOSINTを活用して分析しました。 出典: SBSニュース "仮想通貨採掘に使われた政府システム…4年経つまで誰も気づいてなかった" 仮想通貨の採掘に使われた畜産モニタリングシステムを報道したニュースの画面 今回の分析レポートは仮想通貨の採掘マルウェアに感染された政府システムを報道したニュースの内容とスクリーンショットなどのOSINTやCTIシステムを通じて追跡した内容に基づいて作成されました。 メディアから報道された 仮想通貨採掘のマルウェア 事件のタイムライン 2017.10.05 12:03:48 ~ 2017.10.30 16:13:14

By |2022-10-05T15:49:06+09:002022-10-05|Tags: , , |0 Comments

LockBit 3.0 ランサムウェア : Chromeでもダークウェブへアクセスさせる親切なハッカー

今度の投稿では、 LockBit 3.0 ランサムウェア 攻撃の事例を分析し、実際の攻撃が実行される行為とそれを防ぐ方法を説明します。 LockBit 3.0 ランサムウェア とは? LockBit 3.0 ランサムウェア(LockBit Black)とは、ランサムウェア犯罪組織のLockBitが作ったランサムウェアです。2019年の9月に初攻撃が発生し、アップグレードされたLockBit 2.0では2021年の7月末まで活動し続けてきました。このグループは世界中の企業に対して多大な損害を与え、2022年の7月上旬、LockBit 3.0でバージョンアップして再び登場しました。LockBit 3.0プログラムに感染されると、他のランサムウェア攻撃と同様に感染されたデバイスの全てのファイルが暗号化され、感染されたデバイスのデータを復旧あるいは流出を防ぐためには身代金(Ransom)を払えと要求します。 履歴書に偽装したLockBit 3.0 ランサムウェア配布のメール 2022年9月14日、ある企業のメールに次のような履歴書メールが受信されました。メールのタイトルは「水原健太郎」で人と名前のような形をしていました。メールは入社の申し込みをするために履歴書を送るという内容でした。下のメールはLockBit

クラウド攻撃対象領域:放置された有効なAWS資産検知

AWSのようなクラウド攻撃対象領域でも数多くのシステムがデフォルトページのまま、放置されています。AWSクラウド資産の特性をよく理解しているエンジニアやAWSのデフォルトページを見たことがある方々は関連するキーワードを使い、OSINT(Open Source Intelligence)検索でデフォルトページ状態の放置されたシステムを簡単に検知できます。AWSもやはり、特定の製品名を知らなくてもいくつのキーワードで クラウド攻撃対象領域 を見つけられます。 今回の投稿は以前掲載されたデフォルトページ漏洩で発生するセキュリティ脅威と続く内容なので、前回の投稿を先に読むことをお勧めします。 放置されたAWS資産で クラウド攻撃対象領域 を検知 代表的なキーワードとして"Instance data"があります。クラウドにはVMインスタンスが多く使われているため、単純にこのキーワードを検索してみても、デフォルト状態のAWSシステムをたくさん見つけられます。 https://www.criminalip.io/ja/asset/search?query=%22Instance+data%22 "Instance data" "Instance data"キーワードで検索した放置されているAWSクラウド攻撃対象領域サーバー 下のスクリーンショットをみると、Instance dataのデフォルトページにはVMインスタンスのID、Private

Go to Top