「重大」リスクの恐れにパッチ適用は1%未満、OpenSSHの脆弱性が残した警告
2024年7月1日、多くのサーバーに搭載されているリモート接続用のソフトウエア「OpenSSH」で「重大」な脆弱性が報告された。セキュリティー企業の米Qualys(クオリス)が発見して報告し、OpenSSHの開発チームも事実を公表するとともに、脆弱性を修正したバージョンを公開した。 この脆弱性が悪用されると、遠隔から管理者権限を使って任意の操作やコードを実行される恐れがある。このためOpenSSHの開発チームは重大さを5段階で最上位の「Critical(深刻な)」と評価した。クオリスもこの脆弱性を悪用した攻撃が成功することを実証したとしている。 潜在的な影響範囲は広い。専門家らがインターネット上の公開サーバーを分析した結果では、脆弱性を含むOpenSSHを搭載した可能性があるサーバーは、全世界で700万台程度が稼働している。マクニカの分析によれば日本では22万6000台が該当する可能性があ
Eburyマルウェア、40万台のLinuxサーバーを侵害
10年前から金銭的利益を目的にLinuxサーバーを侵害し、今なお進化を続けるEburyマルウェア。ESET社の調査で明らかになったその手口を解説します。 10年前にESET社は「Operation Windigo(ウィンディゴ作戦)」というタイトルのホワイトペーパーを公開し、Linuxを攻撃するEburyマルウェアによって金銭的利益を目的としたキャンペーンが実行されていることを伝えました。ESET社は、Eburyのその後の進化と、Linuxサーバーのボットネットを収益化するためにEburyのオペレーターが使用している新しいマルウェア系統を解説したホワイトペーパーを公開しました。 ウィンディゴ作戦のホワイトペーパーを公開した後、Eburyの実行犯の1人が逮捕され、有罪判決を受けましたが、ボットネットの拡大は止まっていません。2014年と2017年にも報告していますが、OpenSSHバックドア
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった | ソフトアンテナ
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった 2024 7/20 Windowsデバイスで広範囲にブルースクリーン・オブ・デス(BSOD)が発生し、航空会社、銀行、医療機関など、さまざまな分野で業務が中断しています。 原因は、クラウドベースの総合セキュリティソリューション「CrowdStrike Falcon」のアップデートによって配信されたドライバーファイルにあり、CrowdStrikeは問題を認め、MacやLinux PCには影響しないと説明しています。 今回の問題は突然発生したかのように思えますが、実は同じような問題が数ヶ月前にも発生し、DebianとRocky Linuxのユーザーが大きな影響を受けていたことがわかりました(Neowin)。 Hacker Newsによると今年の4月、CrowdStrikeのアップデートによ
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
本記事は4月10日9:00(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 4/10 9:15 キルスイッチの動作について追記しました。 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。 ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバ
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
Debianプロジェクト、バックドアが発見されたXZを悪意の改変を含まない過去のバージョンまで戻すことを検討 | ソフトアンテナ
2024年3月29日、圧縮ユーティリティ「xz-utils」にバックドアが発見されました。 xz-utilsはLinuxやmacOSで使われていて、バックドアがどのように利用されるのか詳細はまだ分析されている途中ですが、sshの認証システムに関連し、非常に重大なセキュリティ問題を引き起こすものだととらえられています。 現在、影響を受けるシステムでは、問題が発見されたバージョンxz 5.6.0/5.6.1を古いバージョンに戻したり、緊急パッチをリリースして対策が行われているようですが、より長期的には根本的な対策が必要となるのかもしれません。 例えば、Linuxディストリビューションの一つであるDebianプロジェクトは、悪意のコミッターが行ったxzへの変更を完全に含まない古いバージョンまで戻すことを検討しているようです。 この情報によると、バックドアを追加したとされるxzのメンテナJia T
xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:
Ken Thompsonの(loginへの)トロイの木馬の現代(open-ssh)版 - 間違いだらけの備忘録
security.sios.jp xzのtarボールで、アップストリームバージョンの5.6.0以降に悪意のあるコードが混入されていることがわかりました。liblzmaビルドプロセスにおいて複雑な難読化を用いてソースコード内の偽装テストファイルからビルド済みオブジェクトファイルを抽出します。このファイルは、liblzmaコード内の特定の関数を変更するために使用されます。 難読化してテストで入れ込むの手が込んでるな。 そして良く見付けたなという感でじっくり見ていったら。 postgresqlのmicro-benchmarkしてたところ, username間違えてログインしてるのにsshdがCPU使いすぎだな?ということで気がついたみたい… なんだと? mastodon.social Saw sshd processes were using a surprising amount of CPU
xz-utils backdoor situation (CVE-2024-3094)
xz-backdoor.md FAQ on the xz-utils backdoor (CVE-2024-3094) This is a living document. Everything in this document is made in good faith of being accurate, but like I just said; we don't yet know everything about what's going on. Background On March 29th, 2024, a backdoor was discovered in xz-utils, a suite of software that gives developers lossless compression. This package is commonly used for c
広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ
Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ
LINEヤフー、総務省も呆れ果てた「変わらぬ体質」
「行政指導でここまで踏み込んだ文書は、あまり見たことがない。次こそは許しませんよ、というメッセージだろう」 総務省は3月5日、SNS「LINE」や検索サービス「Yahoo! JAPAN」などを運営するLINEヤフーに行政指導を行った。その指導内容を記した文書を見た通信業界関係者は、驚きの声を上げた。 LINEヤフーは2023年9~10月、LINEの利用者や取引先の情報など約51万9000件を外部に漏洩させていた。総務省はこのうち2万件以上が電気通信事業法上の「通信の秘密」の漏洩に当たると判断した。 具体的な指導項目として、LINEヤフーの親会社に50%出資する韓国のIT大手、NAVERとのシステムの切り離しや、グループ全体のセキュリティガバナンス体制の強化などを要請。その取り組み方針などを4月1日までにとりまとめたうえで、今後少なくとも1年間は、四半期ごとに総務省に対応状況を報告することを
中国出張でPCは“肌身離さず”でなければいけない、なぜ?
中国出張でPCは“肌身離さず”でなければいけない、なぜ?:世界を読み解くニュース・サロン(1/5 ページ) 2月上旬から、筆者は取材のためにイスラエルとパレスチナ自治区ガザ周辺を訪問した。その取材で知り合った外国人記者が、現場で重そうなバックパックを背負っていたので話しかけると、「海外出張は多いけど、どこに行ってもPCなどデジタルデバイスは怖くてホテルに置いておけないんだ」と言う。 実はサイバーセキュリティやインテリジェンスを取材・研究している筆者も、その「習性」は同じだ。どこへ出張に行ってもPCなどは常に持ち歩いている。 そして最近、そんな習性が正しかったことを改めて確認させられる情報が飛び込んできた。ある日本政府関係者が言う。「まだ公表されていないが、昨年、中国に出張に行った中央省庁の職員3人が情報窃取工作の被害を受けたとして最近話題になっている」 その話を詳しく聞いていくと、手口は非
鍵の“挿入音”をスマホで録音→スペアキーを作る攻撃 シンガポール国立大「SpiKey」発表
この方法により、推定したビッティング間の距離から鍵のビッティングパターンを推測できる。この手法で、大量の鍵の中から特定の鍵を効率的に絞り込むことが可能となる。実験により、33万以上の鍵の中から最も可能性の高い3つの候補鍵を特定することに成功している。 SpiKeyの最大の利点は、特殊な道具や技術を必要とせず、スマートフォンさえあれば誰でも利用できる点である。また、従来のロックピッキングに比べて疑いをかけられにくく、最新のアンチピッキング機能を備えた錠前に対しても有効である。 Source and Image Credits: Soundarya Ramesh, Harini Ramprasad, and Jun Han. 2020. Listen to Your Key: Towards Acoustics-based Physical Key Inference. In Proceedi
パスキーに入門してみた話 - Qiita
久しぶりの投稿です。 はじめに 昨今、様々なサイトがどんどんパスキーに対応しはじめてきました。 まだまだパスキーがデフォルトになっていくには時間が掛かりそうですが、どのような仕組みでパスキーを実装するのか、早めにキャッチアップしておくのも悪くないと思い、パスキーについて色々と調べてみました。 パスキーとは? パスワードの代わりに、自分の持つデバイスによる生体認証やパターンを用いて認証を行う方法のことです。 次世代認証技術であるFIDO(Fast IDentity Onlineの略で、「ファイド」と呼びます)を使った認証方式(詳細は後述)で、Apple、Google、MicrosoftがFIDOを普及させるために命名したブランド名になります。 FIDOとは? 脆弱なパスワードは安全ではありません。 2段階・2要素認証を採用してもそれを有効にするユーザーは少なく、昨今では2段階認証を突破する攻
生徒用アカウント一覧表を盗み撮りして行われた不正アクセスについてまとめてみた - piyolog
2023年9月22日、津山市教育委員会は市内の公立中学校で教員が保管していたアカウント一覧表を不正に入手した生徒が他の生徒の授業用タブレットに不正アクセスを行っていた事案が発生したと発表しました。ここでは関連する情報をまとめます。 サポートのため教員が一覧表を教室へ持参 津山市公立中学校の生徒2名が不正に入手した生徒用Googleアカウント一覧表に記載された情報を元に、別の生徒8名のアカウント(授業用タブレット)に不正アクセスを行っていた。生徒らは授業に使用するタブレットに保存された動画(体育、音楽の授業の様子を撮影したもの)の閲覧やダウンロードを行ったり、タブレットのホーム画面の壁紙変更を行ったりしていた。*1 不正閲覧した生徒は、興味本位やからかい目的で行ったと学校の聞き取りに答えている。 生徒用Googleアカウント一覧表は1クラス約30名分の情報を記載したもので教員が管理を行ってい
Javaアプリフレームワーク「Spring」に複数の脆弱性報告--未確認情報の交錯も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Javaアプリケーションフレームワーク「Spring」において、サーバーレス実行環境の「Spring Cloud Function」で脆弱性が報告された。これとは別に「Spring Framework」コアにも深刻だとする脆弱性の存在が指摘され、情報が交錯している。 VMwareの情報によると、Spring Cloud Functionのバージョン3.1.6および3.2.2とサポートが終了している古いバージョンでは、ルーティング機能を有効にしている場合に、細工された「SpEL」によって、ローカルリソースへのアクセスを許容してしまう脆弱性(CVE-2022-22963)が存在する。 この脆弱性を修正したSpring Cloud Funct
Log4J問題で明るみになった「ボランティア頼み」の危うさ
世界中で広く使われているオープンソースのログ収集ソフト「Log4J」の深刻な脆弱性をめぐって、開発者が対応に追われている。インターネットの運用を支えるほど重要な存在であるにもかかわらず、オープンソース・ソフトウェアは無報酬の労働にほとんど頼っている状況だ。 by Patrick Howell O'Neill2021.12.21 133 45 8 ヴォルカン・ヤズジュは今、1日22時間タダ働きをしている。 ヤズジュは、さまざまなタイプのソフトウェア内部のアクティビティを記録するオープンソース・ツール「Log4J」プロジェクトのメンバーの1人だ。Log4Jは、アイクラウド(iCloud)からツイッターに至るまでさまざまなアプリケーション、つまりインターネットを構成するかなりの部分を機能させるのに使われている。ヤズジュと彼の同僚は現在、数十億台のマシンを危険にさらしている極めて深刻な脆弱性に対処
20日目: 正規表現が ReDoS 脆弱になる 3 つの経験則
はじめに 皆さんこんにちは.3回生のらん(@hoshina350)です. 文字列マッチングに便利な正規表現ですが,テキトーに書くと脆弱になり得るという情報を耳にしてから色々と原因や対策を調べていました. しかし,多くの記事で紹介されていた対策方法は,「独自の正規表現を使用しないー」とか「 * や + などの繰り返し表現はなるべく使わないー」とかいう なんともふわっとしたものでした.これでは「いやぁ確かにそうなんかもしれんけど…そうゆう訳にはいかんやんか…」と納得できません. つまり,「本質的に何が問題」で,「具体的にどんな特徴のある正規表現が脆弱になり得るのか」を知りたい訳です. そこで,様々な文献を調査してみました.本記事では調査して溜まった知見を紹介していきます. 本記事は, Purdue大学のJames Davis教授による “The Regular Expression Denia
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
“AIワーム”ついに登場──ChatGPTとGeminiの複数のセキュリティを突破する
GitHub - proferosec/log4jScanner: log4jScanner provides the ability to scan internal subnets for vulnerable log4j web services