2016年4月28日のtwitterセキュリティクラスタ

ゴールデンウイークが消えた人もいそうなStruts2の脆弱性ですよ。

強制バージョンアップではなくデフォルト無効なDMI機能の無効化が対処なのは救いだな。さらばGWの方はお疲れ様です。/Apache Struts2 の脆弱性 (CVE-2016-3081)についてまとめてみた – piyolog d.hatena.ne.jp/Kango/20160427…

出ましたよ。/ Apache Struts 2の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2016-3081)(S2-032)に関する調査レポート softbanktech.jp/information/20…

■Apache Struts 2 DMIへの攻撃増加と、被害発生を確認しました | ラック公式ブログ | 株式会社ラック
lac.co.jp/blog/category/…

「Scutumでは2016年4月27日にすでにApache Struts2 の脆弱性(CVE-2016-3081、S2-032)への対応を完了しております。」scutum.jp/information/te…

自分の担当分だけ apache struts2 の指令を出す→早々に確認を終えて残作業に入っていたら、16時過ぎに別ルートから話が来て騒ぎ出す自称インフラ担当がいて、確認取れないと休みに入れないとか言い出して、騒ぐぐらいなら普段からwatchしておけよ!と軽くキレてみた。

Struts2がやられたようだな。的な四天王のやつ作るとしたらあとはbash、java、Flashあたりですかねー。そう考えるとStruts2はスカルミリョーネクラスですかね。

その他に気になったことはこのあたり。

『攻撃手法はOSに対する命令文を紛れ込ませて不正操作する「OSコマンドインジェクション」と判明しました』<えー / “弊社ホームページへの不正アクセスによる個人情報流出の可能性について – 株式会社フォアキャスト・コミュニケーシ…” htn.to/gb8bnKi

家電通販サイト「デンキチWeb」へ不正アクセス – セキュリティコード含むクレカ情報流出
security-next.com/069409izumino.jp/Security/sec_t…

Electron securityについて書いてみました!もうちょっとちゃんとElectronのコードを読み込んでおきたい……。
developers.mobage.jp/blog/electron-…

海外ではValidationやらSanitization等の用語の使い方が酷いことになっているので、高木浩光氏の「サニタイズ言うなキャンペーン」の効果があったのだと勝手に思っています。Validationの用法についてはこちらを参照 jvndb.jvn.jp/ja/cwe/CWE-20.…

ウェブアプリでは「ホワイトリスト」と「white list」は別ものだとブログに書いたことがありますが、「バリデーション」と「Validation」もかなり違うよ。Validationの方がずっと広い

セキュアプログラミングと言われるとセキュリティのために面倒なことをしなきゃいけないと思われて、やられないのではないか?そもそもセキュアプログラミングでやることって正しい処理を行う為に必要な事であって特別な事でもなんでもないんだし

もちろん、ミスしやすいコードではなくミスしにくいコードを書くための方法がセキュアプログラミングだという定義なら言うのはいいと思うけど、エスケープやバリデーションがセキュアプログラミングだというのはなんか違うと思う。そんなのやって当たり前の処理じゃん

御意。今や脆弱性がないことを目指すのは普通のプログラミングだし、特別なことをしなければならない要素は少ない。セキュアプログラミングは、それを超えて、脆弱性が出にくい書き方とか、脆弱性があっても影響が緩和される方法とすべきですね twitter.com/ikepyon/status…

『日テレなど放送局が漏洩 
防げない「ゼロデイ」の罠』
 
CTO兼CISO西本が日経新聞電子版に連載する「ネットの落とし穴」の最新版が公開されました。(広報)… fb.me/3j5bjXPbP

セキュリティ知識分野(SecBoK:Security Body of Knowledge)人材スキルマップ2016年版を公開しました。
jnsa.org/result/2016/sk… fb.me/2Aju32xpv

攻撃者による脆弱性選択は経済的理由が主である。AdobeとMSをターゲットにすればAppleとMozillaよりもより多くのターゲットに攻撃可能。脆弱性修正を直ぐに当てるだけでマルウェア経由の攻撃と添付ファイルクリックの被害を防げるarstechnica.com/security/2016/…

#ドイツ 最大の #原子力発電所 グンドレミンゲン #原発 のコンピュータネットワークがウイルスに感染していることが分かった。
sptnkne.ws/bgQT pic.twitter.com/DzUsl85zXR

ランサムウェアのROIは1,425%、情報武装のためのマルウェア解析を提供(キヤノンITS) dlvr.it/L9RPTv

“サイバー攻撃による中国の機密窃取「重大な問題」米通商代表部が報告書 映画・音楽の違法コピーでも巨額損失 – 産経ニュース” htn.to/fYjzJV

“米インフラ脆弱、サイバー攻撃の的 (1/4ページ) – SankeiBiz(サンケイビズ)” htn.to/9xJWxk

名前に「インボイス」という単語を含む添付ファイルによるマルウェアのばらまきを観測しました。日本語であるため開封率がこれまでより高く、実際の被害を複数の組織で確認しています。十分に警戒してください。

東京都が「中小企業サイバーセキュリティ対策相談窓口」の開設等を発表
securityblog.jp/news/20160428.…

リサーチャーChris Vickery氏は、AWS上にメキシコ有権者9340万人の記録を含む132 GB のデータベースが、2015年9月から一般公開(Public Access)で、パスワード認証はない設定となっていた。
bit.ly/1TxQNtN

United Cyber Caliphateと名乗るISIS支援ハッカーグループは、米国防総省、米国土安全保障省、国務省等に勤める43人の暗殺リストを公開。彼らはメッセージングサービスTelegramを使い暗殺リストを拡散している
bit.ly/1pIswXu

サイバー犯罪グループ「Armada Collective」に成り済ました集団が世界中の企業に対し、DDoS攻撃を仕掛けると脅迫メールを送信。企業から身代金として10万ドル以上得た。彼らが実際に攻撃を行った形跡はなかった。thehackernews.com/2016/04/ddos-e…

ブログ公開しました>【特集】急増するランサムウェアの理由は作成のハードル低下と高い見返り~→blogs.mcafee.jp/mcafeeblog/201…

情報セキュリティスペシャリスト合格者は「情報処理安全確保支援士」試験免除へ(ニュース) itpro.nikkeibp.co.jp/atcl/news/16/0… pic.twitter.com/zUUX3szvTX

[エンタープライズ]Windows Server 2003の機能を悪用する攻撃、初の確認 bit.ly/1StyiaZ

[TechTargetジャパン]情報セキュリティ対策の普及を後押しするには「事例」が鍵:なぜ中小企業の経営者は、情報セキュリティ対策を後回しにしてしまうのか? bit.ly/1StxeUE

[エンタープライズ]NTPに複数の脆弱性、更新版で修正 bit.ly/1TeMm4H

FBI、セキュリティ脆弱性をアップルに通知–米政府による開示方針制定以来初めて japan.cnet.com/news/service/3…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>