1月30日のtwitterセキュリティクラスタ

1月30日のtwitterセキュリティクラスタです。UPnPの脆弱性が気になりますね。

なんだか大事になってるUPnPとlibupnpのバッファオーバーフローの件

『UPnPデバイス用のオープンソースポータブルSDKである「libupnp」にバッファオーバーフローの脆弱性が複数存在する。さらに、libupnpを使っているデバイスはWANインタフェース経由でUPnPクエリーを受け入れてしまう可能性』 ow.ly/hfkoI

満永さんからの伝聞ですが。結構日本で売っててコンシューマが使ってそうな製品が入ってます。 libupnp_vulnerable_products docs.google.com/spreadsheet/cc…

SHOWDANでUPnPが動いてそうなホストを見ると 日本が中国に次いで2位なのか shodanhq.com/search?q=upnp+…

UPnPに脆弱性か–ネットワーク上の膨大な数の機器に影響のおそれ japan.cnet.com/news/service/3…

「Portable UPnP SDK」の場合、「単一のUDPパケットを通じて遠隔地からコードを実行できるような脆弱性を抱えているIPは2300万以上ある」という。

Daily Vuln Watch Japan : Portable UPnP SDKに不正ライブラリ使用の脆弱性。危険度:中! blog.livedoor.jp/dvw_j/archives…

危険度中なのか

「libupnpに脆弱性が見つかった」ではなくて、「脆弱性は知ってた。調査したら、脆弱性を無防備に晒しているルーターが世の中にたくさん公開されていることが分かった、ついでに具体的なベンダ・製品も特定したよ」って話っぽい。 did2memo.net/2013/01/30/upn…

UPnPの件、もともとはカスペルスキーのthreatpost threatpost.com/en_us/blogs/50… あたりだと思う。US-CERTがネタとして拾って、APかロイターが「政府が警告」ってやって拡散する流れ。Javaプラグインのときもそんな感じだった。

UPnPを巡る冒険…興味深い。疑問を持ったら調べて見ることですねー 「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた | 情報科学屋さんを目指す人のメモ did2memo.net/2013/01/30/upn…

UPnPのホワイトペーパー(community.rapid7.com/docs/DOC-2150)を読んだ。2012年6月から11月中旬までの5ヶ月半かけて、M-SEARCHリクエストでスキャンを実施して、その結果のServerヘッダおよびLocationヘッダからUPnP実装を判別している模様

.@kaito834 スキャン結果統計の上位2つ、「Intel/Portable SDK(libupnp)」、「MiniUPnP」の古いバージョンには脆弱性がある。どちらもすでに修正されているとのこと。「libupnp」についてはUS-CERTからVU#922681が公開された。

.@kaito834 「libupnp」、「MiniUPnP」の脆弱性については、ホワイトペーパーで解説されている。M-SERACHリクエストの処理ではSTヘッダに問題、SOAPリクエストの処理ではSOAPActionヘッダに問題があったようだ。

.@kaito834 付録では、過去に発見されたUPnP実装に関連した脆弱性やカンファレンス資料がまとまっており、UPnPのセキュリティ文献の一覧としても、とても参考になる。

.@kaito834 libupnpとMiniUPnPについてはfingerprintからはっきりしているが、それ以外にもUnknown SDKが2つ存在することがホワイトペーパーp.11に示唆されている。

ヤマハのルーター製品は、libupnpとは無関係です。 RT @amaya1288: @yamaha_sn libupnpの脆弱性、RT-57i,RT-58i,NVR500に影響しますか?

指紋認証でログインするBitLockerで暗号化されたHDDを解析できるの!?という件。

Bitlockerを解除だと……!!!!? いや、解除できないものとは思わないけれど、本当であれば凄い。 : Windows-7 ログインパスワード、HDDビットロッカー解除依頼 | パソコン故障・修理・サポート.COM 1topi.jp/curator/Shingi… #1tp

.@Shingi TPM内蔵PCでBitlockerを使い、USBメモリの挿入を必要としない場合、ログオンさえできればBitlockerによる保護は意味をなしません(取り外して中を見ることはできない)。Bitlockerの暗号化を破るよりは楽かと。X300はTPM内蔵ですし

@toshi_ko ああ、なるほど。Bitlockerによる暗号化のデコードではなく、おそらくログオンパスワード解析(かそれに近い手順)と。そう言われますと24時間以内に作業が完了するのも腑に落ちます。

@Shingi 私もT420sにBitlockerをかけるに当たって、USBも併用しようか迷ったのですが、そこはBIOSとログオンパスを強固にして指紋認証で対応することで、USBは使いませんでした。あの投稿にあるくらいの力業で突破されない限り安全、とは言えますのでw

指紋認証を回避だと……!?指紋認証機器の脆弱性でも知っていたのかな。気になる>RT

Bitlockerを使う際に、TPMに復号キーを保存してUSBメモリは使わない場合、ログオンパスワードやBIOSパスワードを強固にしておかないと、データ保護はむしろ脆弱とも言える。Windowsログオンされればアウトだから

@metaphoricwords コメントを下まで読んでいくとその千葉の業者が書いてて、指紋認証を解く場合だと2ZBランダムサーバ(メモリ?)を持ち込む必要があると書いてますね。
探索領域を分割して複数サーバでブルートフォースやったように見えますね

@xamiemon @milai_wow BitLockerはAESの128か256を選べるらしいのですが、2ZBで足りるってのがちょっと不思議ですね。指紋情報から変換する際に偏りが出るとかあるんでしょうか。 technet.microsoft.com/ja-jp/library/…

ヘリと2ZiByteのサーバをヘリで空輸できるクラッカーとExploitがない限りはBitLockerがまだ安全ということがわかり,枕を高くして眠れる

BitLocker の解読? ん~と、AES 128-bit 以上の直接解読は除外して、暗号化のオプションに強く依存してるとか?

BitLocker の鍵格納オプションは、(1) TPM (2) TPM+USB (3) TPM+PIN (4) USB があるけど、このうち USB キーがない状態での解読は計算量的に現実的ではない。

oO( ハードウェア的なアプローチ、ソフトウェア的なアプローチ、双方ともに結構な防備があったと記憶してるんだが… )

BitLocker解除してくれる会社、従業員5人で空輸は機材が壊れるっていいながら7人でヘリに乗って駆けつけてくれる。

BitLockerあればエロゲとかインストールしても大丈夫だね!

ググってみるとただの板金屋さんの事務所あるだけなんだが……>指紋ベースのBitLocker叩き割り設備を有する千葉の業者 ステマだよね? ステマだよね? ぶるぶる。

Webアプリのセキュリティ検査ツールについてのikepyonさんの見解。ツールって高いから性能高いのかと思ってましたが素人にはむつかしいのですね。

Webアプリのセキュリティ検査ツールって玄人向けでシロウトにはお勧めできないんだよなぁorz

検査ツールで脆弱性見つかりませんでした!というのをチェックしてみると検査ツールで見つかるような単純なSQLインジェクションとかXSSがある場合も結構あるし・・・

で、検査ツールの設定とか見ると、正しく設定されてなくてただツール実行しただけとか・・・orz

検査ツールって癖があるので、そこらへん理解した上でないと、かけても時間の無駄とかorz メーカーは簡単に脆弱性を見つけられます!とかいうけどな

その他に気になったことはこのあたり。

新しいCVE番号、「” ‘ >」 が含まれる形式にして、脆弱なクセにセキュリティ語るやつらを一網打尽にして欲しい。

報告者名に”‘>入れたいです

Weekly Report 2013-01-30を公開しました。^YK #セキュリティ jpcert.or.jp/wr/2013/wr1304…

JPCERT/CC にも、サイバー攻撃に使用されている CMS サイトの事例が多数報告されています。CMS を使ったサイトを運用している管理者は、CMS 本体やプラグインなどを最新の状態にしておくよう心がけましょう。

攻撃中断について別エントリ書いておきました。

Operation Ababil Phase2 一時中断 – セキュリティは楽しいかね? Part 2 negi.hatenablog.com/entry/2013/01/…

マカフィー ウイルスレポート:2012年におけるサイバー脅威を総括~2012年も機密漏えいなど深刻な被害をもたらす「標的型攻撃」が流行、ソフトウェアの脆弱性修正と不審なメールへの対策が効果的~ mcaf.ee/pfls2

栃木県管轄のWebサイトにサイバー攻撃、データベース改ざん被害(ニュース) nkbp.jp/11cBsl0 #itprojp

やっとできた。
「不正アプリ供用事件の不起訴は何の立証が困難だったか」- 高木浩光@自宅の日記(2013年1月29日)
takagi-hiromitsu.jp/diary/20130129…
昨年4月の「○○ the Movie」事件、10月30日に警視庁が関係者を不正指令電磁的記録供用容疑で逮捕したものの…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>