2009年6月26日(金曜日)

JVN#93827000 レッツPHP! 製 Tree BBS におけるクロスサイトスクリプティングの脆弱性

更新: 2009年6月30日18時30分頃

そういえば公開されていました。

JVN#93827000 レッツPHP! 製 Tree BBS におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
JVNDB-2009-000044 レッツPHP! 製 Tree BBS におけるクロスサイトスクリプティングの脆弱性 (jvndb.jvn.jp)
レッツPHP！製品に3件の脆弱性 (www.itmedia.co.jp)
レッツPHP!のBBSソフトにクロスサイトスクリプティングの脆弱性 (japan.cnet.com)

これはひたすら良くあるXSSで、クエリ文字列にいろいろ入れると残念なことになります。届出に記載していたのはこんな3パターン。

tree.php?all=%3cscript%3ealert%28document.cookie%29%3c%2fscript%3e
tree.php?mode=root&page=%27%3e%3cscript%3ealert%28document.cookie%29%3c%2fscript%3e
tree.php?n=%27%3e%3cscript%3ealert%28document.cookie%29%3c%2fscript%3e

Googleで検索してみるとかなりの数ヒットするので、けっこう使われている気がします。気がついた人は管理者に「更新してね」と言ってあげましょう。

※「JVN#32788272 レッツPHP! 製 PHP-I-BOARD におけるディレクトリトラバーサルの脆弱性 (jvn.jp)」というものも公開されていますが、これは別の方が届け出られたもので、別件です。たまたま同時期に届け出られて一緒に対応されたのだと思います。

「JVN#93827000 レッツPHP! 製 Tree BBS におけるクロスサイトスクリプティングの脆弱性」にコメントを書く

2009年度 IPA情報セキュリティセミナー技術コース専門編

公開: 2009年6月30日0時20分頃

午後は専門編。ケーススタディ中心に脱線交えつつだったりもしたので、本当に雑多なメモになっております。

※というかですね、ロビーの状態が酷すぎでトイレに行くにも息を止めなければならず、後半は体力が保たなかったですよ。パーティションで区切られただけのスペースを「喫煙所」と称されても……。皆さんあんな状態に耐えられるのが凄いですね。

ケーススタディ: DNSを攻撃された事例

たいていのインシデントは苦情で始まる (昔は。最近はインシデントが分かりにくい)
ウェブに(たまに)つながりにくい、メール遅延、メールが来ない→ネットワーク障害を疑う
メール受信は遅延するものの、送信は問題ない。ウェブサイトも、内側から見る分には問題ない。サーバ負荷も問題ない→原因特定できず。ISPに問い合わせるも障害報告もなし
「御社のウェブサイトを見たらウィルス対策ソフトが反応」「これまでと違うページが見えることがある」という報告→管理グループに連絡、緊急対応開始
SQLインジェクションを疑うも、何もなし。XSS? 監視サービスにも、ログにも何もないが……。ベースライニング→ベースラインを作って、逸脱したアクセスを洗い出す
念のため社外から(携帯電話回線経由で)アクセスしてみると、微妙に違うサイト、ウィルス対策ソフトが反応。リロードすると何度かに一度出てくる (再現率が100%ではない)
→パケットキャプチャして調査。家からのアクセスでパケットをキャプチャして調査→知らないIPアドレスに誘導されている、nslookupで調査
何年か前に使っていて、今は使っていないはずのネームサーバが存在。昔委託していた業者のDNSサーバが登録されっぱなし。期限切れ後に第三者がそのドメインを取得→数分の一の確率で偽サーバに誘導されてしまう
悪意あるメールサーバは、メールを受信してから本物サーバにフォワードしていた。だから、遅くなるがメールは届いていた (発覚が遅れる原因)
被害……公式サイトにアクセスした人にウィルス感染、外部からのメールも読まれてしまっていた(情報漏洩)
やめる、いなくなるときの処理は漏れがち(たとえば退職処理)。いつその情報を消せば良いのか?

※不正なDNSサーバによる誘導の説明。メールの場合、MXを解決→そのAを解決、となるので実際には説明より1ステップ多くなる。Webの例で良いのでは。また、メール送信のパケットキャプチャはクライアントでやっても駄目なはず (ほとんどの場合、クライアントはMXを引いたりせず、決められたサーバに投げるだけなので)。

ウィルス新種70万/月
iframeの脆弱性で、見ただけでファイル実行→Windows Updateが行われていれば脅威はない。最近はQT,PDF,Flashなどのプラグイン、マルチメディア系の脆弱性が利用されることが多い(最近のブラウザはきちんと対策されているし、自動アップデートもある)
最初はダウンローダーだけが入る。検出困難 (ネットワークインストールを行うsetup.exeと区別がつかない)
昔のボットはIRCを使っていたが、最近のボットはHTTP/HTTPSでふつうにGETアクセスしたりするので正規の通信と区別が難しい

LAME delegationの原因……設定変更忘れ、スペルミス (example→exmaple)
これらはNG: DNSとして応答しない、権威あるはずの人が Non-Autohoritative Answer、サーバごとに異なる応答

ドメイン情報ハイジャックで不正なDNSサーバを立てられると……メールアドレスがあれば、正式なSSL証明書を取得できる可能性がある
トラフィックの100%を誘導できるわけではない (複数あるネームサーバの一つだけが乗っ取られているので)
チェック: 現状の動作ではなく仕様を見る
TTLが短すぎると危ない
※とはいえカミンスキー氏によって「長くても危ない」となったような気もするところ

Webアプリケーションの脆弱性

SQLインジェクション

「直接攻撃」に分類。攻撃者が直接サーバを攻撃。
Webサーバのログに怪しい形跡が残る……が、ステータスコードを見ても攻撃が成功したかどうかは分からない。POSTリクエストの場合、普通はログに残らない。Webサーバのログではなく、DBのログを見ると実際に攻撃が成功したかどうか分かる
DB側で用意された機能でエスケープすると良い……が、データベースの開発者も攻撃の動向をすべて知っているわけではない。特に、多バイト文字を考慮していないことがある

究極の対策 (?) として「サイト閉鎖」という選択もある。実際、届け出られたサイトが閉鎖されることも。閉鎖するなら教えてほしい

XSS

「間接攻撃」。悪い人が直接対象のサーバにアクセスするわけではない

※デモに関しては園田さんの所のコメント (d.hatena.ne.jp)参照。あと、多くのフィルタは"javascript"ではなく"script"を処理するので、javaとscriptの間に文字を混入しても突破できない可能性が高い気がしたりとか。

インシデントレスポンス

RFC2350
誰かが試しにIDSを動かしたら検出。誰が試しに稼働したんだ?(w
検出されたのはold fashionな攻撃、Nimda系

一昔前→ワームがどーん、大量トラフィックで派手に始まる
今のインシデント→静かに始まる。ビジネスが目的なので、長く息の続く踏み台にして稼ぎたい

アンチウイルスのプロセスが停止されている。未知のウィルスに感染。
他にも怪しい挙動をしているマシンがあるかも知れない。全体への影響を知るため、止めたりせずに調査
調査ツールをインストールしたりすると証拠隠滅活動を行う可能性もあるため、外から観察
何かをダウンロードしている。Wiresharkの便利機能でストリームをフォロー、分割データを一つに合体。"MZKERNEL32.DLL"などの文字列を発見。実行ファイルのダウンロードを行っている事が判明
ダウンロードがウィルスの活動とは限らないが、ユーザーの証言と照らし合わせて、全く心当たりのないダウンロードと判断できればインシデントと判断できる。ダウンロードされたファイルに対してマルウェア解析を行うかどうかは判断による
とりあえず virustotal に投げてみる? pedump で PE ヘッダを確認? CCCに投げてみる?
ダークマターIPアドレス(未使用IPアドレス、本来、そこに対する通信は発生しないはず)にハニーポットを設置という方法も

「2009年度 IPA情報セキュリティセミナー技術コース専門編」にコメントを書く

関連する話題: セキュリティ / IPA

2009年度 IPA情報セキュリティセミナー技術コース標準編

更新: 2009年6月30日0時20分頃

2009年度 IPA情報セキュリティセミナー (www.ipa.go.jp)開催。本当はマネジメントコースに参加したかったのですが、プレスリリースが出て間もないはずなのに受付終了していて断念、技術コースに出てみました。

※実はこれ、参加無料の上に、タダで情報セキュリティ白書2009 (www.amazon.co.jp)がもらえるという、目茶苦茶お得なセミナーなのですよね。すぐ埋まるのも頷けます。まあ、私は白書は既に持っていますけれど……。

以下、私が気になったポイントをメモ。あくまで私のメモなので、本筋の部分はあまりメモしていません。

情報セキュリティ10大脅威

DNSキャッシュポイズニング

カミンスキーのアレ。
米国のISPのDNSが実際に攻撃を受けたとか。
DNS Ampの話 (いや、これ別の話になってますけど……)

標的型攻撃

昔はexeやscrなどの実行ファイルが添付されてくるのが常套手段で、頑張って拡張子を偽装したりしていました。最近の攻撃ではdocやpdfなどの文書ファイルが添付されてきて、拡張子も本当にpdfやdoc。そしてリーダー側の脆弱性を突いてくるという。
IPAからのメールを装った攻撃もあり、文面はIPAのサイトの本物をコピペしたもの。これを機に、「IPAからは添付ファイル付きメールを送らない」というポリシーを定めた (ので、IPAから来たメールに添付ファイルが突いていたら偽物と判断して良い)。
防ぐのはなかなか難しい。標的型攻撃に関する情報収集と周知徹底が重要。

情報漏洩

今年に入っても相変わらずWinny、Shareからの漏洩は多い。恥ずかしながら、IPAからもWinny経由で情報漏洩した人が出てしまった。
漏洩させないためのルールづくりが重要。IPAはそういうルールを持っていて、それ故、例の漏洩事件でもIPAの重要情報は漏れていなかった (漏洩したのは前職での情報)。
端末操作の履歴、USBメモリの無断使用禁止、等を定める。ルールが守られないこともあり得るが、それで事故が起きた場合はその個人の責任となる。
大企業では、会社支給の携帯電話を紛失したら懲戒処分となる場合がある。懲戒処分なので社報にも載る。罰を与えるというよりも、管理の重要性を周知するという意味合いが強い。
情報持ち出し時には暗号化を行う。たとえば、必要に応じて暗号化機能付きUSBメモリを貸し出すなど。

ウィルス・ボットの感染経路

USBウィルス、と言われるがSDカードでも観戦。店頭のDP端末も感染した。不特定多数が使うPCは危険。
最近のボットは指令サーバが冗長化されている。ホットスタンバイで立ち上がってくる。
最近のPCはパワフルなので、ボットが動作していても動作が遅くなるなどの症状が出にくく、気付かない。

exeではない感染経路。PDF, MS Officeの脆弱性を悪用。「ウィルスはexe」の常識が覆る(一昔前はアイコン偽装、拡張子偽装)。見分ける方法は、出所を見るしかない。
USBメモリ経由の感染。「ネットに繋いでいないから安全」が覆る。オフライン、隔離ネットワークへの感染。
ボット感染の罠を仕込まれたサイト増加。SQLインジェクションで正規サイトに罠が埋め込まれている。

脆弱な無線LAN

WEPはすぐに解読できる
無線LAN APただ乗り、不正メール送信に利用。ある日突然警察が……。
自分の家のAPをわざと脆弱にしてとぼけた、などという事例も。
WEPはだめ、WPA2+AES。
そもそも無線LANを使う必要があるのか?
パスワード/ネットワークキーに注意。IEEE802.1xでは最低20文字以上とされている。
※2009-06-30 追記: ここは私のメモの間違いで、「IEEE802.11 では、WPA2で“パスフレーズ”を設定する場合は最低でも20文字にする」が正解とのことです。コメント参照。
WPS、AOSSなどの自動設定を使用するのも有効(ただし勝手に使われる事故も……知らないうちに子どもがDSを接続)。

スパムメール

エラーメールに注意。偽装された送信元に大量のエラーメールを返すと、それがDoS攻撃になることも。
第三者中継を許すサーバは最近ほとんど見ないが、便利なアプライアンス(UTM)を入れたら、不正中継をするようになってしまったという事例も。チェックはすべき。

ユーザIDとパスワードの使い回し

攻撃者は、マイナーサイトで盗み取ったIDとPASSをYahoo!で試す。
覚えられないが……「信頼できる」パスワード管理ソフトを使うのも手。

正規サイトを経由した攻撃

難読化されたスクリプトの埋め込みが多発。GENO→中国サイトに飛ばされて感染。
難読化の意味……解読を困難にし、遷移先の分析を困難にする。改竄されたサイトの一覧をGoogleで取得することが難しくなる。訳の分からない文字列が大量にあったら危ないと思って良い。
GENOウィルスの感染例路は調査中だがなかなか分からない。SQLインジェクションで広まるわけではない、FTPのアカウントが盗まれているが、それがすべてでもない。FTP用の端末が感染し、PC内のHTMLにことごとく不正コード埋め込まれたり。
様々なサイトをリダイレクトして最終的にウィルスサイトにたどり着く「ナインボール」型。

誘導型攻撃

誘導の手段
- ネットサーフィン中に誘導される
- スパムメールに記載のURL
- 添付ファイルクリックで
- 悪意あるバナー広告
- 謎のSEOで検索上位に出現
利用される脆弱性
- XSS
- 脆弱なソフトウェア

組み込み製品

組み込み製品のCSRFなど。
機器の設定画面をタブブラウザの複数タブで開かない。作業が終了したらブラウザを閉じる。

脆弱性関連情報の届出状況

今週も「ウィルス対策ソフトがあればWindows Updateはしなくても良いのですよね?」って言われた。
届出情報が多すぎで担当者が死にそう。

※SQLインジェクションのサンプルが微妙かも。本来、攻撃者は 'john' を知る必要がないはずなので。XSSの説明も分かりにくいかも。検索サイトでCookieが盗まれて何が起きるのかと。

不正アクセスの届出状況

インターネット定点観測「TALOT2」: 10箇所で監視。サービスは特に動いていない状態で、ただ繋いで放置しておく。
一日あたり119箇所から372件のアクセス。
届出件数は減っている。が、被害は減っていない様子。届出を控える傾向にある?
統計では、SQLインジェクションは「侵入」に含めている。「その他」は不正プログラム埋め込み、なりすまし(他人のID・パスワードを利用)など。MMORPGの不正アクセスが増加している。

「2009年度 IPA情報セキュリティセミナー技術コース標準編」へのコメント (4件)

関連する話題: セキュリティ / IPA

マクドでDS

公開: 2009年6月28日22時50分頃

「マックでDS (www.mcdonalds.co.jp)というのが始まっているようで。

せっかくなので試してみようかなと思い、丸の内新東京ビルヂング店に行ってみたものの、店内に三歩踏み入れた時点で「この店は私には無理だ」と判断。

※某ウェンディーズもそうですが、皆さんあの状況で食事できるというのが凄いです。メチャクチャ我慢している……というようにも見えないので、そもそも平気なのでしょう。うらやましい。

仕方なく少し歩いて丸の内国際ビルヂング店に突入。テキトーに操作してジラーチをゲットしました。

なんかクーポンとか色々あるようですが、そっちはあまり見ていないので……。

「マクドでDS」へのコメント (2件)

関連する話題: ゲーム / ポケモン / たばこ / 飲食物

東京商工会議所の地図を印刷して良いのかどうか分からない

公開: 2009年6月27日1時40分頃

「2009年度 IPA情報セキュリティセミナー」というのが東京商工会議所ビルで開催されたのですが、「東京商工会議所ビルのご案内 (www.tokyo-cci.or.jp)」を見ると地図があるのです。そんなに分かりにくい場所ではないのですが、まあ、念のため地図を印刷して持って行こうか、なんて思いますよね。

ところが、こんな記述が目に入りまして。

※無断転載、無断複製を禁止します。

以上、東京商工会議所ビルのご案内より

プリンターで印刷するのも立派な複製でしょう。問い合わせて印刷の許可をもらえば良いのでしょうが、急いで出たかったりするわけで。まあ、これは明らかに私的複製ですし、私的複製の権利は著作権法で保証されていますから、何か言われても突っぱねられるだろうと判断して印刷してしまいましたが。

しかし、地図を掲げておいて複製禁止と言われるのも……来てほしいのか、来てほしくないのか、よく分からないですね。

「東京商工会議所の地図を印刷して良いのかどうか分からない」へのコメント (1件)

関連する話題: セキュリティ / IPA

前(古い): 2009年6月25日(Thursday)のえび日記
次(新しい): 2009年6月27日(Saturday)のえび日記

水無月ばけらのえび日記