2019年5月27日のtwitterセキュリティクラスタ

WordPressの脆弱性を突いた攻撃デモをしようと、一日調べてた。
結論から言うと、きちんと設計納品運用してたら、そこまでひどくはない。
RCE等にしても、基本的にはapache2の権限で止まる。ubuntuなら起動ユーザをwww-dataからrootに変えると、そのままでは起動できないから安全。

Pluginの脆弱性もあるけど、基本的にはapache2起動ユーザ権限で稼働する。
wp-config.phpは見えてしまう可能性は高い。そうするとWP利用DBのユーザとパスがばれてしまう。基本的にはしょせんはwordpressなので、基幹システムのデータは無いはずで、単にWPが侵害されるだけの可能性が高い。

しかしながら、権限昇格が無くても/etc/passwdは見えるし、ラテラルムーブメントには利用できるから、侵害されれば脅威ではある。
0-dayに気を付けていれば、そこまで気にすることではないのでは、という感じがした。が、phpmailerのような県もあるので、注意は必要。

個人的には、
– pluginのアップデートに注意せよ: coreより数多いしな。
– coreは、SecurityFixなら適用しよう: 既知の脆弱性狙うからな。
– 多少対応遅延しても、大半はWordPress環境内で収まる。:www-data権限の悪さ
– でも、内部に権限昇格の脆弱性あると、そうは言えないかもな。
です。

そこで出てくるのが仮想通貨の採掘になるんですよね。ユーザ権限で動くし、抜いた情報をブラックマーケットに売る必要もランサムウェア走らせて身代金要求する必要も無いのでとってもお手軽。 twitter.com/hogehuga/statu…

警視庁の『DigiPolice』アプリ、パーミッション色々ついてて何に使うか良く分からない。
(許可しないと起動後すぐに落ちる)

カメラは犯罪らしき人や物を撮影するのかと思えば、撮影する機会が無い。連絡帳は何かあった時に通知させる人をアドレス帳から入力させるのでこれはまぁなんとかわかる。 pic.twitter.com/A7IbYLz1R4

ストレージは何に使うのかな?
一時保存ファイル?

その他の『実行中のアプリの取得』は何に使うかさっぱり分からない。

Android AnalyzerやCerberusでも検知してくれるの?(苦笑) pic.twitter.com/wDBxx4AC1Z

で、パブリッシャーのdawn corp.という会社。
他に防災関係のアプリ出してる事業者だけど、デベロッパーの連絡先、フリーのGmail掲示してるだけで実態が不明。 pic.twitter.com/PFDktei00D

「#Authlete API チュートリアル」を公開しました。#OAuth 2.0 の Authorization Code Grant Flow に対応した認可サーバーを構築する際の、Authlete API の基本的な利用方法について説明しています。どうぞご活用ください。 authlete.com/ja/developers/… pic.twitter.com/bZEysLn6w4

中々読み応えあり> ポンペオの「Huaweiは嘘つき」発言を検証する(遠藤誉) – Y!ニュース news.yahoo.co.jp/byline/endohom…

まあただ、英国が表明するHuawei機器への懸念はある程度正当だと思う。セキュリティバイデザインができていないので、穴をクラックされる危険性が他社の機器より多いので、NCIには採用すべきで無いという指摘。

2018年11月に気象庁からの緊急警報を装ったなりすましメールが話題になりましたが、その際に使用された jma-go[.]jp のドメイン情報が更新され、ネームサーバがようやく無効化されたようです。

最終更新は ”2019/05/23 17:55:24 (JST)” となっています。 pic.twitter.com/bGcleZbgnf

mixiでレイバンスパムをばらまいちゃったらしい人が、「おそらくユニクロから漏れたメールアドレスが原因」と書いていたのだけれど、(1)ユニクロの件はパスワードリスト攻撃、(2)ユニクロサイトにログインするにはメールアドレスが必要、なので、ユニクロから新たにメールアドレスは漏洩していないはず

CTFのWebで膨大なソースコード(だいだいテンプレートやclassを使ってることが多い)を与えられたときにどこから確認するか!?って判断が意外と難しいと思うんだけど、これって、対策方法を知らないからなんだよね。
まず、動的に挙動確認⇒あれ?対策されてる。確認してみよう⇒ソースコード確認。

この対策をできる箇所(コーディング方法)を知ってると、どこを見る必要があるかを瞬時に判断できる。今回のSECCONのST98さんのwriteup見て勉強になった。
確かに!まずテンプレートフォルダから見るべし!って感じ。まだまだ実力が足りん。精進あるべし!

itresearchart.securesite.jp/?p=1567 時差の関係で早起きしたので、フェークニュース対応についてちょっとしたメモを書いておきました。 itresearchart.securesite.jp/?p=1567

「通販サイトの支払いを忘れていませんか?」と裁判所職員を装う男からの電話が。どの商品か聞いても「個人情報保護法で教えられない。裁判所の決まりだ」との一点張り。身に覚えはなくても、実際に通販サイトを利用していると不安になってしまいます
でも絶対に対応せず、まずは通報を❗

【5月31日開催】
当協会の特別会員であります、セキュアIoTプラットフォーム協議会が「セキュリティシンポジウム」を開催いたします。

■─━─━─━─━─━─━─━─━─━─━─━─━─━─━─━─━─■
-SIOTP協議会セキュリティシンポジウム-… passmarket.yahoo.co.jp/event/show/det…

This is the longest #Phishing FQDN I’ve ever seen.
#bankofamerica
hxxp://bankofamerica\.co\.account\.update\.ds454f4ds2f124\.dsfw5asd2das12\.ew754sd21x\.w8a54s21zx\.w4sa512xz0\.wqsa4512zx\.8w7qa5s412\.21df21d2fd42ds12ds\.satmetrix\.syneticus\.com/

urlscan.io/result/e601ee9… pic.twitter.com/FEYX9SCU5A

5月23日発行の #交通毎日新聞 にて、F-Secureの #ハードウェアセキュリティ への取り組み および IEC認証取得に関する記事のご掲載をいただきました。(転載承認済)
koumai.co.jp/shinbun.html pic.twitter.com/q1dQfo6AX8

ウイルス罪の解釈と運用はどこが「おかしくなっている」のか ―日本ハッカー協会がセミナー開催、情報法制研究所の高木浩光氏、平野敬弁護士らが登壇【後編】 ascii.jp/elem/000/001/8… pic.twitter.com/8HsIH1U0pd

1億円超で「世界で最も危険なマルウェア6つに感染したノートPC」が競売中
bit.ly/2X6ApYx

匿名でブラウジングできる「Tor Browser」のAndroid版を使ってみた
bit.ly/30O0hef

海賊版共有サイト「パイレート・ベイ」はなぜ長年問題視されながらも生き延びているのか?
bit.ly/2X5Dx6R

露出した中で最も古いのは、2003年のドキュメント——米不動産保険大手から8億8500万件の顧客データが露出 | TechCrunch Japan buff.ly/2YN5fG1 pic.twitter.com/V6PunR2HMC

米保険会社First American、顧客8億件超の顧客情報がウェブサイト上で一時閲覧可能に japan.zdnet.com/article/351375…

NSAから流出のハッキングツール、米都市への攻撃に悪用の可能性 japan.zdnet.com/article/351375…

[ITmedia エンタープライズ]FIDO2に対応:「複雑なパスワードを作って、忘れる」無限ループを解消? 企業向けパスワードレス認証サービスが開始 bit.ly/2wo29fI

[ITmedia NEWS]新連載「この頃、セキュリティ界隈で」:変わるパスワードの常識、変わらない実態 bit.ly/2YISCMi

[ITmedia NEWS]ITりてらしぃのすゝめ:「セキュリティの基礎は無料で学べる」 ワンクリックで”リテラシー”高める無料教本 bit.ly/2YPCMzk

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>