2019年5月9日のtwitterセキュリティクラスタ

EC-CUBEのサイトが相変わらず狙われているようです。

東京新聞:ニセ決済画面で情報盗む 通販7サイト標的 1.5万件被害:社会(TOKYO Web) tokyo-np.co.jp/article/nation…

『これらのサイトの多くが、オープンソースと呼ばれる無償ソフトの一つで、通販サイト構築用の「EC-CUBE」を使っていた。開発会社は「ソフト自体ではなく、設定の不備などから生じた欠陥が狙われた」とみている。』twitter.com/piyokango/stat…

以前EC-CUBEで構築したサイトからの情報漏洩(フォーム改ざん系)事案が多発していた時に、勢いあまってEC-CUBE利用サイト100個くらいに問い合わせフォーム経由で注意喚起してしまった。
EC-CUBE脆弱性情報の公開の是非 thank-u.net/blog/eccube/in…

EC-CUBEが狙われているのは何年も前からのことで、EC-CUBEが悪いのではなく、オープンソースで使えるので適切に運用出来ない中小企業が多数利用していて国内シェアが圧倒的なのでアップデート出来ていない脆弱なサイトも山ほどあるためです。
twitter.com/autumn_good_35…

以前はこの手口で、そのあと非保持化の推進により決済代行への画面遷移パターンが増えてきたのでjsとかで入力データ抜くのから偽画面遷移作戦へと変化。 twitter.com/autumn_good_35…

最近、ECサイト改ざんによるクレジットカード流出被害が増加しており、EC-CUBEでの対策を公開しております。
対策には全国のインテグレートパートナーへのご相談や、セキュリティ専門企業による無料診断もご利用ください。
ec-cube.net/news/detail.ph… #eccube

EC-CUBE、脆弱性の改修頻度高すぎて、継続的に改修適用できなさそうなところには絶対勧めなかったわ。 tokyo-np.co.jp/article/nation…

今日のEC-CUBEセキュリティ勉強会での一番の収穫は、過去いくつものEC-CUBEの脆弱性を発見してきた @secmemoblog さんが「EC-CUBE4ってかsymfony固い」って言ってくれた事。
すんごい安心できる

あ、評価していただいて嬉しいですがこれは私のSymfony力が足りておらず力及ばずに見つけられてないだけかも知れないので…(引き続き調査はします) twitter.com/tao_s/status/1…

その他に気になったことはこのあたり。

【JC3】日本郵便を装ったSMSと同社を装った偽サイトが新たに稼働していることが確認されています。今後スミッシング被害が発生する可能性があります。メッセージを受け取ってもURLに絶対アクセスしないで下さい。詳細はこちら↓
jc3.or.jp/topics/smsphis… #フィッシング

Tokyo2020IDのパスワード。英大文字小文字数字を含む9文字以上必須で記号は任意が要件なんだけど、パスワード確認用のフォーム含めてコピペできずに手打ちしなくてはならないので、最少要件しか満たさないパスワードにする人が多そう。どういった考えでこういう設計にしたのかロジックが気になるところ

ひさしぶりにブログを書いたので気になる人はどうぞー。:ウケトルの問題は「IDやパスワードが第三者に利用される危険性」? MoneyForwardとは何が違うの?という疑問への回答 siskw.com/entry/20190508…

ここ重要>『(WordPress5.2からは)サポートされる PHP の最低バージョンが5.6.20になりました』従来はPHP 5.2.4以上だった。CentOS 6/7の標準パッケージのPHPは5.3.3/5.4.16なのでサポート対象外になる / “日本語 « 2019 « 5月 — WordPress” htn.to/4nDx1SnT2E

『海外サイトにリダイレクトされてしまうという 事象 が起こりました(中略)
特定のプラグインの脆弱性による改ざんであることがわかりました。
該当プラグインの削除および不正データの削除・パスワード変更等の復旧作業を行いました 』

お詫びとお知らせ – Nailsalon Noe
noenail.com/2019/05/08/1/ pic.twitter.com/Jk39klbKXz

『デフォルトのSSHキーペアが存在し、「IPv6」経由でデバイスがSSH接続された場合、攻撃者によりroot権限を取得されるおそれ』:【セキュリティ ニュース】「Cisco Nexus 9000シリーズ」にroot権限奪われるおそれ(1ページ目 / 全1ページ):Security NEXT security-next.com/104700

例のリーク関連でClearSkyから追加情報出てます。
航空会社も狙っているのは怖いですね…

Iranian Nation-State APT Groups – “Black Box” Leak
clearskysec.com/iranian-apt-bl… pic.twitter.com/AQ3caeZmqm

sqlmap from this moment officially supports both Python 2 and 3 pic.twitter.com/95PeXNAjJz

Red Teaming/Adversary Simulation Toolkit

A collection of open source and commercial tools that aid in red team operations. This repository will help you during red team engagement.

github.com/infosecn1nja/R… pic.twitter.com/9LDAkdD9DJ

JPCERT/CC WEEKLY REPORT 2019-05-09を公開。セキュリティ関連情報は7件。ひとくちメモは、情報処理推進機構 (IPA)が開催する「サプライチェーンのサイバーセキュリティについて語りあうシンポジウム」です。^YK jpcert.or.jp/wr/2019/wr1917…

URLの冒頭にある「https」の「s」が表す意味とは?改めて確認しておきたいネットセキュリティーの基礎をご紹介します。
mainichi.jp/articles/20190…

コンピューターウイルスやサイバー攻撃による個人情報の流出などのニュースを目にすることは少なくありません。そんな中、起こったある事件に、情報セキュリティー業界から戸惑いの声が上がっています。一体何が起きているのでしょうか?
nhk.or.jp/d-navi/sci_cul…

[ITmedia NEWS]Google I/O 2019:Google I/Oプライバシー関連まとめ──Chromeのcookie対策やシークレットモード bit.ly/2Wzah8m

[ITmedia エンタープライズ]Jenkinsの脆弱性突くマルウェアが横行、プラグインにも多数の脆弱性か――米セキュリティ機関が発表 bit.ly/2LGocZc

[ITmedia エンタープライズ]データを漏らしたのはお前だ! 世界の企業の半数以上が「深刻な被害」を経験する裏側とは――McAfee調べ bit.ly/2vK6aus

[ITmedia NEWS]「特殊詐欺の電話」AIで見破る NTTグループが実証実験 犯人が使う表現を学習 bit.ly/2LzBEhy

[ITmedia NEWS]ゆうちょPayアプリで「佐々木」姓が認識されず、アカウント登録できないと話題に bit.ly/2vMmIlJ

「々」は記号と句読点のブロックに入っているからちゃんとテストしていないと漏れそうだけど、他にそういう例はあるのかは気になる
ja.m.wikipedia.org/wiki/CJK%E3%81…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>