DevSecOps: 古いセキュリティバグが未だに新たなトリックを仕掛けている
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性を探しています。しかし、このように将来を見据えた視点は、セキュリティ意識全体を弱めるという意外な効果をもたらす可能性があります。
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
Índice
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
