DevSecOps:古いセキュリティ・バグが新しいトリックを実行している
原文はこちら DevOps.com.
サイバーセキュリティの世界では、私たちはしばしばハンターのようなものです。私たちの目は地平線にしっかりと釘付けになり、次に流行する脆弱性と、それを阻止するための適切な設計ツール、技術、戦術を探しています。しかし、このような前向きな姿勢は、私たちの全体的なセキュリティ意識を低下させ、身の回りに存在し、攻撃者が喜んで悪用するような根深い危険性に気づかなくなるという意外な効果をもたらします。
私はよく、現代のサイバーセキュリティをケブラー素材の鎧に例えます。ケブラーの一見不思議な特性は、高速度の弾丸やあらゆる種類の現代の強力な武器を防ぐことができます。着用者は無敵であるかのように感じられるかもしれません。しかし、紀元前1000年頃に作られたとされる比較的古い弓矢の武器システムは、その防御を突き破ることができます。また、岩石に次いで世界最古の武器とされる鋭いナイフは、綿のスウェットシャツを切り裂くように簡単にケブラーを切り裂くことができます。さらに、ケブラーは人体を1ミリ単位で保護することはできません。攻撃者がダメージを与えるための隙間を見つけることができれば、それはソフトウェアにおける小さな攻略可能な領域のようなものです。
サイバーセキュリティの分野では、多くの組織が、8年、10年前のシステムの欠陥に対して同様の脆弱性を持っています。これは、現代のコンピュータ用語で言えば、金の時計と年金を受け取る資格があるようなものです。しかし、このような古いシステムの欠陥を無害だと考えているのであれば、将来的にブルースクリーン・オブ・デスを経験することになるでしょう。
退役軍人の弱点
jQueryは、オープンソースのライブラリで、イベント処理、DOMツリーのトラバーサルや操作、アニメーションの生成など、あらゆる作業に役立ち、最も古くから使われているJavaScriptライブラリの一つです。イベント処理からDOMツリーのトラバースや操作、アニメーションの生成まで、あらゆることに役立つオープンソースのリソースです。これは非常に強力で、長年にわたって使用されています。このように確立されたライブラリですから、脆弱性は完全に除去されているのではないかと思われがちです。
悲しいことに、これは事実ではありません。デフォルトでは、jQueryに依存しているほとんどのアプリケーションは、認証のために内部ライブラリの指示を使用します。例えば、Apacheサーバでは、.htaccessファイルをチェックすることになる。Apacheを使用するプログラムを設計している開発者で、Apacheサーバーのアップデートに.htaccessが含まれているかどうかを確認しようと思った人はほとんどいないだろう。結局のところ、長年にわたってセキュリティの基盤となってきた重要なコンポーネントを、なぜApacheが削除するのでしょうか?
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムの実行が必要になるたびに、.htaccess設定ファイルをチェックしなければならないことが、あまりにも物事を遅くしていたようです。これを削除すると、Apache全体のパフォーマンスが向上しましたが、ほとんどの人が知らない脆弱性が生まれました。開発者が自分のアプリケーションが.htaccessファイルに到達できるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されることなく単に受け入れられてしまいます。
最近、専門家たちがその欠陥を発見し、それを使用することで、権限のないユーザーが、安全であるはずのシステム上でシェルやほとんどあらゆる種類のコードをアップロードして実行できるようになると指摘した。これが10月にCVE-2018-9206と指定された脆弱性警告の作成につながった。しかし、この欠陥がセキュリティ研究者によって簡単に発見されたということは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにこの欠陥を発見していることを示唆している。結局のところ、その余波で世間に知られ、パッチや修正がもたらされたにもかかわらず、わずか数週間後に同様のインパクトの強い攻撃が起こり、ビットコインを詐取するマルウェアが毎週数百万人がダウンロードする人気のNPM libに放たれた。
The Butler Did It
jQueryと同様、Jenkinsもオープンソースで提供されており、最も人気のある種類の一つである。サーバントのような名前を持つJenkinsが、オートメーションサーバとして多くの業界の開発チームに利用されているのも納得できる。Jenkinsが正常に機能している場合、それは非常に便利なツールです。しかし、新たに発見された欠陥や、最近発見された実に大規模な暗号採掘作業などから、Jenkinsが悪者のために多くの仕事をしていたことがうかがえます。
最も危険なJenkinsの脆弱性の1つは、CVE-2017-1000353に指定されているJavaデシリアライゼーションと呼ばれるものです。複雑な攻撃ですが、以前から存在していたものです。攻撃者は2つのリクエストを送信する必要があります。最初のものは、ダウンロード用の双方向チャネルを開始しますが、これは最初はサーバーによって拒否されます。しかし、2つ目のリクエストでは、攻撃者が望むあらゆるコマンドを含むペイロードを含むアップロードチャネルが追加され、payload.jarスクリプトが使用されます。2つ目のリクエストが送信されると、パッチが適用されていないJenkinsサーバでは通信が許可されます。
パッチが適用されたサーバであっても、エクスプロイトは存在します。例えば、Jenkins を Windows 環境で実行する場合、デフォルトでは NT AUTHORITY\SYSTEM アカウントを使用してユーザを認証します。これは、SYSTEMにはWindowsサーバ上での完全な権限が与えられているため、危険です。開発者は権限アカウントを変更することができますが、多くの場合変更しません。変更しない理由は、Jenkinsがずっと昔から存在しているので、どんな脆弱性もずっと前にパッチが当てられていると考えているからです。
最近では、ハッカーがこれらのJenkinsの老朽化した脆弱性を利用して、複数のサーバを危険にさらしました。その目的は、脆弱なJenkinsインスタンスを見つけるたびに、暗号化されたマイナープログラムを追加することでした。このマイナーは、常に暗号通貨を探すために貴重なコンピューティングリソースを使用していました。これまでのところ、約10,800枚のMoneroの暗号コインを発見し、その価値は約350万ドルにもなります。
古いものは新しいもの
これらの例では、多くの人が安全だと考えているプラットフォームの脆弱性が、日和見的な攻撃者によって悪用されています。防御側では、セキュリティを意識した開発が行われていないため、ハッカーたちは古い手口に新たな息吹を吹き込んでいます。そして、古い脆弱性を利用した新たな成功例があるにもかかわらず、多くの組織はこの悪循環を止めるための計画を持っていません。
古いものだからといって、それが無害であるとは限りません。また、一般的なライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません(例えば、現在のOWASPトップ10の第9位は、「既知の脆弱性を持つコンポーネントの使用」への対応に充てられています)。勤勉さと継続的なセキュリティトレーニングがあってこそ、地平線上に忍び寄る危険な脅威だけでなく、すでに自分の家の裏庭に潜んでいる危険な脅威からも身を守ることができるのです。
サイバーセキュリティの世界では、私たちはしばしばハンターのような存在です。私たちの目は地平線にしっかりと釘付けになり、次にブレイクする脆弱性を探しています。しかし、このような前向きな姿勢は、意外にもセキュリティに対する意識を低下させてしまうことがあります。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
原文はこちら DevOps.com.
サイバーセキュリティの世界では、私たちはしばしばハンターのようなものです。私たちの目は地平線にしっかりと釘付けになり、次に流行する脆弱性と、それを阻止するための適切な設計ツール、技術、戦術を探しています。しかし、このような前向きな姿勢は、私たちの全体的なセキュリティ意識を低下させ、身の回りに存在し、攻撃者が喜んで悪用するような根深い危険性に気づかなくなるという意外な効果をもたらします。
私はよく、現代のサイバーセキュリティをケブラー素材の鎧に例えます。ケブラーの一見不思議な特性は、高速度の弾丸やあらゆる種類の現代の強力な武器を防ぐことができます。着用者は無敵であるかのように感じられるかもしれません。しかし、紀元前1000年頃に作られたとされる比較的古い弓矢の武器システムは、その防御を突き破ることができます。また、岩石に次いで世界最古の武器とされる鋭いナイフは、綿のスウェットシャツを切り裂くように簡単にケブラーを切り裂くことができます。さらに、ケブラーは人体を1ミリ単位で保護することはできません。攻撃者がダメージを与えるための隙間を見つけることができれば、それはソフトウェアにおける小さな攻略可能な領域のようなものです。
サイバーセキュリティの分野では、多くの組織が、8年、10年前のシステムの欠陥に対して同様の脆弱性を持っています。これは、現代のコンピュータ用語で言えば、金の時計と年金を受け取る資格があるようなものです。しかし、このような古いシステムの欠陥を無害だと考えているのであれば、将来的にブルースクリーン・オブ・デスを経験することになるでしょう。
退役軍人の弱点
jQueryは、オープンソースのライブラリで、イベント処理、DOMツリーのトラバーサルや操作、アニメーションの生成など、あらゆる作業に役立ち、最も古くから使われているJavaScriptライブラリの一つです。イベント処理からDOMツリーのトラバースや操作、アニメーションの生成まで、あらゆることに役立つオープンソースのリソースです。これは非常に強力で、長年にわたって使用されています。このように確立されたライブラリですから、脆弱性は完全に除去されているのではないかと思われがちです。
悲しいことに、これは事実ではありません。デフォルトでは、jQueryに依存しているほとんどのアプリケーションは、認証のために内部ライブラリの指示を使用します。例えば、Apacheサーバでは、.htaccessファイルをチェックすることになる。Apacheを使用するプログラムを設計している開発者で、Apacheサーバーのアップデートに.htaccessが含まれているかどうかを確認しようと思った人はほとんどいないだろう。結局のところ、長年にわたってセキュリティの基盤となってきた重要なコンポーネントを、なぜApacheが削除するのでしょうか?
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムの実行が必要になるたびに、.htaccess設定ファイルをチェックしなければならないことが、あまりにも物事を遅くしていたようです。これを削除すると、Apache全体のパフォーマンスが向上しましたが、ほとんどの人が知らない脆弱性が生まれました。開発者が自分のアプリケーションが.htaccessファイルに到達できるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されることなく単に受け入れられてしまいます。
最近、専門家たちがその欠陥を発見し、それを使用することで、権限のないユーザーが、安全であるはずのシステム上でシェルやほとんどあらゆる種類のコードをアップロードして実行できるようになると指摘した。これが10月にCVE-2018-9206と指定された脆弱性警告の作成につながった。しかし、この欠陥がセキュリティ研究者によって簡単に発見されたということは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにこの欠陥を発見していることを示唆している。結局のところ、その余波で世間に知られ、パッチや修正がもたらされたにもかかわらず、わずか数週間後に同様のインパクトの強い攻撃が起こり、ビットコインを詐取するマルウェアが毎週数百万人がダウンロードする人気のNPM libに放たれた。
The Butler Did It
jQueryと同様、Jenkinsもオープンソースで提供されており、最も人気のある種類の一つである。サーバントのような名前を持つJenkinsが、オートメーションサーバとして多くの業界の開発チームに利用されているのも納得できる。Jenkinsが正常に機能している場合、それは非常に便利なツールです。しかし、新たに発見された欠陥や、最近発見された実に大規模な暗号採掘作業などから、Jenkinsが悪者のために多くの仕事をしていたことがうかがえます。
最も危険なJenkinsの脆弱性の1つは、CVE-2017-1000353に指定されているJavaデシリアライゼーションと呼ばれるものです。複雑な攻撃ですが、以前から存在していたものです。攻撃者は2つのリクエストを送信する必要があります。最初のものは、ダウンロード用の双方向チャネルを開始しますが、これは最初はサーバーによって拒否されます。しかし、2つ目のリクエストでは、攻撃者が望むあらゆるコマンドを含むペイロードを含むアップロードチャネルが追加され、payload.jarスクリプトが使用されます。2つ目のリクエストが送信されると、パッチが適用されていないJenkinsサーバでは通信が許可されます。
パッチが適用されたサーバであっても、エクスプロイトは存在します。例えば、Jenkins を Windows 環境で実行する場合、デフォルトでは NT AUTHORITY\SYSTEM アカウントを使用してユーザを認証します。これは、SYSTEMにはWindowsサーバ上での完全な権限が与えられているため、危険です。開発者は権限アカウントを変更することができますが、多くの場合変更しません。変更しない理由は、Jenkinsがずっと昔から存在しているので、どんな脆弱性もずっと前にパッチが当てられていると考えているからです。
最近では、ハッカーがこれらのJenkinsの老朽化した脆弱性を利用して、複数のサーバを危険にさらしました。その目的は、脆弱なJenkinsインスタンスを見つけるたびに、暗号化されたマイナープログラムを追加することでした。このマイナーは、常に暗号通貨を探すために貴重なコンピューティングリソースを使用していました。これまでのところ、約10,800枚のMoneroの暗号コインを発見し、その価値は約350万ドルにもなります。
古いものは新しいもの
これらの例では、多くの人が安全だと考えているプラットフォームの脆弱性が、日和見的な攻撃者によって悪用されています。防御側では、セキュリティを意識した開発が行われていないため、ハッカーたちは古い手口に新たな息吹を吹き込んでいます。そして、古い脆弱性を利用した新たな成功例があるにもかかわらず、多くの組織はこの悪循環を止めるための計画を持っていません。
古いものだからといって、それが無害であるとは限りません。また、一般的なライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません(例えば、現在のOWASPトップ10の第9位は、「既知の脆弱性を持つコンポーネントの使用」への対応に充てられています)。勤勉さと継続的なセキュリティトレーニングがあってこそ、地平線上に忍び寄る危険な脅威だけでなく、すでに自分の家の裏庭に潜んでいる危険な脅威からも身を守ることができるのです。
原文はこちら DevOps.com.
サイバーセキュリティの世界では、私たちはしばしばハンターのようなものです。私たちの目は地平線にしっかりと釘付けになり、次に流行する脆弱性と、それを阻止するための適切な設計ツール、技術、戦術を探しています。しかし、このような前向きな姿勢は、私たちの全体的なセキュリティ意識を低下させ、身の回りに存在し、攻撃者が喜んで悪用するような根深い危険性に気づかなくなるという意外な効果をもたらします。
私はよく、現代のサイバーセキュリティをケブラー素材の鎧に例えます。ケブラーの一見不思議な特性は、高速度の弾丸やあらゆる種類の現代の強力な武器を防ぐことができます。着用者は無敵であるかのように感じられるかもしれません。しかし、紀元前1000年頃に作られたとされる比較的古い弓矢の武器システムは、その防御を突き破ることができます。また、岩石に次いで世界最古の武器とされる鋭いナイフは、綿のスウェットシャツを切り裂くように簡単にケブラーを切り裂くことができます。さらに、ケブラーは人体を1ミリ単位で保護することはできません。攻撃者がダメージを与えるための隙間を見つけることができれば、それはソフトウェアにおける小さな攻略可能な領域のようなものです。
サイバーセキュリティの分野では、多くの組織が、8年、10年前のシステムの欠陥に対して同様の脆弱性を持っています。これは、現代のコンピュータ用語で言えば、金の時計と年金を受け取る資格があるようなものです。しかし、このような古いシステムの欠陥を無害だと考えているのであれば、将来的にブルースクリーン・オブ・デスを経験することになるでしょう。
退役軍人の弱点
jQueryは、オープンソースのライブラリで、イベント処理、DOMツリーのトラバーサルや操作、アニメーションの生成など、あらゆる作業に役立ち、最も古くから使われているJavaScriptライブラリの一つです。イベント処理からDOMツリーのトラバースや操作、アニメーションの生成まで、あらゆることに役立つオープンソースのリソースです。これは非常に強力で、長年にわたって使用されています。このように確立されたライブラリですから、脆弱性は完全に除去されているのではないかと思われがちです。
悲しいことに、これは事実ではありません。デフォルトでは、jQueryに依存しているほとんどのアプリケーションは、認証のために内部ライブラリの指示を使用します。例えば、Apacheサーバでは、.htaccessファイルをチェックすることになる。Apacheを使用するプログラムを設計している開発者で、Apacheサーバーのアップデートに.htaccessが含まれているかどうかを確認しようと思った人はほとんどいないだろう。結局のところ、長年にわたってセキュリティの基盤となってきた重要なコンポーネントを、なぜApacheが削除するのでしょうか?
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムの実行が必要になるたびに、.htaccess設定ファイルをチェックしなければならないことが、あまりにも物事を遅くしていたようです。これを削除すると、Apache全体のパフォーマンスが向上しましたが、ほとんどの人が知らない脆弱性が生まれました。開発者が自分のアプリケーションが.htaccessファイルに到達できるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されることなく単に受け入れられてしまいます。
最近、専門家たちがその欠陥を発見し、それを使用することで、権限のないユーザーが、安全であるはずのシステム上でシェルやほとんどあらゆる種類のコードをアップロードして実行できるようになると指摘した。これが10月にCVE-2018-9206と指定された脆弱性警告の作成につながった。しかし、この欠陥がセキュリティ研究者によって簡単に発見されたということは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにこの欠陥を発見していることを示唆している。結局のところ、その余波で世間に知られ、パッチや修正がもたらされたにもかかわらず、わずか数週間後に同様のインパクトの強い攻撃が起こり、ビットコインを詐取するマルウェアが毎週数百万人がダウンロードする人気のNPM libに放たれた。
The Butler Did It
jQueryと同様、Jenkinsもオープンソースで提供されており、最も人気のある種類の一つである。サーバントのような名前を持つJenkinsが、オートメーションサーバとして多くの業界の開発チームに利用されているのも納得できる。Jenkinsが正常に機能している場合、それは非常に便利なツールです。しかし、新たに発見された欠陥や、最近発見された実に大規模な暗号採掘作業などから、Jenkinsが悪者のために多くの仕事をしていたことがうかがえます。
最も危険なJenkinsの脆弱性の1つは、CVE-2017-1000353に指定されているJavaデシリアライゼーションと呼ばれるものです。複雑な攻撃ですが、以前から存在していたものです。攻撃者は2つのリクエストを送信する必要があります。最初のものは、ダウンロード用の双方向チャネルを開始しますが、これは最初はサーバーによって拒否されます。しかし、2つ目のリクエストでは、攻撃者が望むあらゆるコマンドを含むペイロードを含むアップロードチャネルが追加され、payload.jarスクリプトが使用されます。2つ目のリクエストが送信されると、パッチが適用されていないJenkinsサーバでは通信が許可されます。
パッチが適用されたサーバであっても、エクスプロイトは存在します。例えば、Jenkins を Windows 環境で実行する場合、デフォルトでは NT AUTHORITY\SYSTEM アカウントを使用してユーザを認証します。これは、SYSTEMにはWindowsサーバ上での完全な権限が与えられているため、危険です。開発者は権限アカウントを変更することができますが、多くの場合変更しません。変更しない理由は、Jenkinsがずっと昔から存在しているので、どんな脆弱性もずっと前にパッチが当てられていると考えているからです。
最近では、ハッカーがこれらのJenkinsの老朽化した脆弱性を利用して、複数のサーバを危険にさらしました。その目的は、脆弱なJenkinsインスタンスを見つけるたびに、暗号化されたマイナープログラムを追加することでした。このマイナーは、常に暗号通貨を探すために貴重なコンピューティングリソースを使用していました。これまでのところ、約10,800枚のMoneroの暗号コインを発見し、その価値は約350万ドルにもなります。
古いものは新しいもの
これらの例では、多くの人が安全だと考えているプラットフォームの脆弱性が、日和見的な攻撃者によって悪用されています。防御側では、セキュリティを意識した開発が行われていないため、ハッカーたちは古い手口に新たな息吹を吹き込んでいます。そして、古い脆弱性を利用した新たな成功例があるにもかかわらず、多くの組織はこの悪循環を止めるための計画を持っていません。
古いものだからといって、それが無害であるとは限りません。また、一般的なライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません(例えば、現在のOWASPトップ10の第9位は、「既知の脆弱性を持つコンポーネントの使用」への対応に充てられています)。勤勉さと継続的なセキュリティトレーニングがあってこそ、地平線上に忍び寄る危険な脅威だけでなく、すでに自分の家の裏庭に潜んでいる危険な脅威からも身を守ることができるのです。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
原文はこちら DevOps.com.
サイバーセキュリティの世界では、私たちはしばしばハンターのようなものです。私たちの目は地平線にしっかりと釘付けになり、次に流行する脆弱性と、それを阻止するための適切な設計ツール、技術、戦術を探しています。しかし、このような前向きな姿勢は、私たちの全体的なセキュリティ意識を低下させ、身の回りに存在し、攻撃者が喜んで悪用するような根深い危険性に気づかなくなるという意外な効果をもたらします。
私はよく、現代のサイバーセキュリティをケブラー素材の鎧に例えます。ケブラーの一見不思議な特性は、高速度の弾丸やあらゆる種類の現代の強力な武器を防ぐことができます。着用者は無敵であるかのように感じられるかもしれません。しかし、紀元前1000年頃に作られたとされる比較的古い弓矢の武器システムは、その防御を突き破ることができます。また、岩石に次いで世界最古の武器とされる鋭いナイフは、綿のスウェットシャツを切り裂くように簡単にケブラーを切り裂くことができます。さらに、ケブラーは人体を1ミリ単位で保護することはできません。攻撃者がダメージを与えるための隙間を見つけることができれば、それはソフトウェアにおける小さな攻略可能な領域のようなものです。
サイバーセキュリティの分野では、多くの組織が、8年、10年前のシステムの欠陥に対して同様の脆弱性を持っています。これは、現代のコンピュータ用語で言えば、金の時計と年金を受け取る資格があるようなものです。しかし、このような古いシステムの欠陥を無害だと考えているのであれば、将来的にブルースクリーン・オブ・デスを経験することになるでしょう。
退役軍人の弱点
jQueryは、オープンソースのライブラリで、イベント処理、DOMツリーのトラバーサルや操作、アニメーションの生成など、あらゆる作業に役立ち、最も古くから使われているJavaScriptライブラリの一つです。イベント処理からDOMツリーのトラバースや操作、アニメーションの生成まで、あらゆることに役立つオープンソースのリソースです。これは非常に強力で、長年にわたって使用されています。このように確立されたライブラリですから、脆弱性は完全に除去されているのではないかと思われがちです。
悲しいことに、これは事実ではありません。デフォルトでは、jQueryに依存しているほとんどのアプリケーションは、認証のために内部ライブラリの指示を使用します。例えば、Apacheサーバでは、.htaccessファイルをチェックすることになる。Apacheを使用するプログラムを設計している開発者で、Apacheサーバーのアップデートに.htaccessが含まれているかどうかを確認しようと思った人はほとんどいないだろう。結局のところ、長年にわたってセキュリティの基盤となってきた重要なコンポーネントを、なぜApacheが削除するのでしょうか?
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムの実行が必要になるたびに、.htaccess設定ファイルをチェックしなければならないことが、あまりにも物事を遅くしていたようです。これを削除すると、Apache全体のパフォーマンスが向上しましたが、ほとんどの人が知らない脆弱性が生まれました。開発者が自分のアプリケーションが.htaccessファイルに到達できるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されることなく単に受け入れられてしまいます。
最近、専門家たちがその欠陥を発見し、それを使用することで、権限のないユーザーが、安全であるはずのシステム上でシェルやほとんどあらゆる種類のコードをアップロードして実行できるようになると指摘した。これが10月にCVE-2018-9206と指定された脆弱性警告の作成につながった。しかし、この欠陥がセキュリティ研究者によって簡単に発見されたということは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにこの欠陥を発見していることを示唆している。結局のところ、その余波で世間に知られ、パッチや修正がもたらされたにもかかわらず、わずか数週間後に同様のインパクトの強い攻撃が起こり、ビットコインを詐取するマルウェアが毎週数百万人がダウンロードする人気のNPM libに放たれた。
The Butler Did It
jQueryと同様、Jenkinsもオープンソースで提供されており、最も人気のある種類の一つである。サーバントのような名前を持つJenkinsが、オートメーションサーバとして多くの業界の開発チームに利用されているのも納得できる。Jenkinsが正常に機能している場合、それは非常に便利なツールです。しかし、新たに発見された欠陥や、最近発見された実に大規模な暗号採掘作業などから、Jenkinsが悪者のために多くの仕事をしていたことがうかがえます。
最も危険なJenkinsの脆弱性の1つは、CVE-2017-1000353に指定されているJavaデシリアライゼーションと呼ばれるものです。複雑な攻撃ですが、以前から存在していたものです。攻撃者は2つのリクエストを送信する必要があります。最初のものは、ダウンロード用の双方向チャネルを開始しますが、これは最初はサーバーによって拒否されます。しかし、2つ目のリクエストでは、攻撃者が望むあらゆるコマンドを含むペイロードを含むアップロードチャネルが追加され、payload.jarスクリプトが使用されます。2つ目のリクエストが送信されると、パッチが適用されていないJenkinsサーバでは通信が許可されます。
パッチが適用されたサーバであっても、エクスプロイトは存在します。例えば、Jenkins を Windows 環境で実行する場合、デフォルトでは NT AUTHORITY\SYSTEM アカウントを使用してユーザを認証します。これは、SYSTEMにはWindowsサーバ上での完全な権限が与えられているため、危険です。開発者は権限アカウントを変更することができますが、多くの場合変更しません。変更しない理由は、Jenkinsがずっと昔から存在しているので、どんな脆弱性もずっと前にパッチが当てられていると考えているからです。
最近では、ハッカーがこれらのJenkinsの老朽化した脆弱性を利用して、複数のサーバを危険にさらしました。その目的は、脆弱なJenkinsインスタンスを見つけるたびに、暗号化されたマイナープログラムを追加することでした。このマイナーは、常に暗号通貨を探すために貴重なコンピューティングリソースを使用していました。これまでのところ、約10,800枚のMoneroの暗号コインを発見し、その価値は約350万ドルにもなります。
古いものは新しいもの
これらの例では、多くの人が安全だと考えているプラットフォームの脆弱性が、日和見的な攻撃者によって悪用されています。防御側では、セキュリティを意識した開発が行われていないため、ハッカーたちは古い手口に新たな息吹を吹き込んでいます。そして、古い脆弱性を利用した新たな成功例があるにもかかわらず、多くの組織はこの悪循環を止めるための計画を持っていません。
古いものだからといって、それが無害であるとは限りません。また、一般的なライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません(例えば、現在のOWASPトップ10の第9位は、「既知の脆弱性を持つコンポーネントの使用」への対応に充てられています)。勤勉さと継続的なセキュリティトレーニングがあってこそ、地平線上に忍び寄る危険な脅威だけでなく、すでに自分の家の裏庭に潜んでいる危険な脅威からも身を守ることができるのです。
始めるためのリソース
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
