DevSecOps: 古いセキュリティバグが未だに新たなトリックを仕掛けている
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性を探しています。しかし、このように将来を見据えた視点は、セキュリティ意識全体を弱めるという意外な効果をもたらす可能性があります。
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
目次
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
