【2021/09】セキュリティ情報拾い集めメモ

リンク集(参考にしているサイト)

• BleepingComputer.com
• MS Patch Tuesday Security Report(9月)
• Red Hat CVE Database

過去のアーカイブ

• 【2021/09】セキュリティ情報拾い集めメモ
• 【2021/10】セキュリティ情報拾い集めメモ

2021/09/30

• BLEEPING COMPUTERより。

  CISA releases tool to help orgs fend off insider threat risksとの事。面白そうなのでPDFを開いたが、evinceだと読めない（「If this message is not eventually replaced by the proper contents of the document, your PDF viewer may not be able to display this type of document.」と出てくる）。後でWindows上でAcrobat Reader使って読んでみて、またここに追記します。

• そういえば、昔HP社に居た時にTippingPointも少し触っていて、「仮想パッチ」という名のIPSが面白いと思っていたのだが、ゼロトラストの時代なので、あれと同じ様な仕組みをApplicationで実装して個々のサーバ／端末に入れればパッチ更新のジレンマに晒されずに済むんじゃないかなーと思ったり。でも普通にIPSのアプリ版なんてありそうだな。後で調べてみよう。

2021/09/27

• BLEEPING COMPUTERより。

  カリフォルニアのUnited Health センターがランサムウエアの被害にあったようです。Vice Societyが攻撃元のようで、Vice Societyに関してはここのサイトの「Who is Vice Society」辺りが詳しいですが、攻撃元としては新規（2021年中期ぐらいから）で現れたようですね。もう少ししたらまとめてみます。

2021/09/25

• BLEEPING COMPUTERより。

  9/22のVMWareの脆弱性ですが、既に攻撃が始まっているとのこと。vCenter使っている方々は要注意ですね。

2021/09/22

• BLEEPING COMPUTERより。

  MacOSに新たなリモートコード実行のゼロデイ脆弱性らしいです。CVEはアサインされておらず、そっと直していたとのこと。Big Sur以降の最新のバージョンのOSでは既に修正されているらしいです。

  macOSのFinderでInternetロケーションファイル(news://, ftp://, afp://)のinteloc拡張子の任意のファイルを実行できてしまうという問題から来ているらしいですね。

  元ネタはこちらのSSD Disclosureらしいので、興味が有る人は見てください。

• BLEEPING COMPUTERより。

  VMWare vCenterのデフォルトインストール状態での脆弱性がやばいらしいです。CVE-2021-22005らしい。VMSAとしてはこちらに入っています。CVSSは9.8 CriticalでCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:Hの様で、迂回方法等も載っているのでVMWare社のVMSAを確認したほうが良いです。別記事にするか悩みどころ。。。

2021/09/21

• Azureの脆弱性：CVE-2021-38647 (OMIGOD)がかなり話題になっているようです。Linuxとも絡むようなので（未調査）別記事で取り上げる予定です。

  こちら、Microsoft社のOpen Management Infrastructure framework(OMI)の脆弱性（OMIGOD: CVE-2021-38645, CVE-2021-38647, CVE-2021-38648, CVE-2021-38649で記事にしました。

2021/09/18

• ちょっと古いですが。EASM。External Attack Surface Managementの略語との事。『「外部公開されているIT資産やシステムの把握と、それらに存在する脆弱性を管理する。」ということになります。』だそうです。

2021/09/17

• BLEEPING COMPUTERより。

  Zohoが提供する「ManageEngine ADSelfService Plus」の脆弱性（Critical: CVE-2021-40539）に対して、FBI, CISA等が注意を呼びかけているようです。Zohoの顧客には Apple, Intel, Nike, PayPal, HBO　等、フォーチューン 500に入る有名企業が多くいるようですので、今後大きな話になる懸念がありますね。

• BLEEPING COMPUTERより。

  Windows Subsystem for Linux (WSL)を利用したWindows用のマルウェアが出てきているらしいです。関係するGitHubはこちら。検体その他、詳しい情報が見つかったら個別に記事にしたいと思います。

2021/09/16

• Apache HTTP Server 2.4.49がリリースされるそうです。セキュリティフィックスが含まれているそうですが、詳細は未だわかりません。詳細が判明次第記事に纏めます。

  記事にしました。「Apache HTTP Serverの脆弱性情報(High: CVE-2021-40438, Moderate: CVE-2021-33193, CVE-2021-34798, CVE-2021-36160, Low: CVE-2021-39275)と新バージョン(Apache HTTP Server 2.4.49)」

• Phishers impersonate US DOT to target contractors after Senate passed $1 trillion infrastructure bill

• Apache Tomcatの脆弱性情報(Important: CVE-2021-41079)を出しました。朝起きて（だいたい4時起き）、3時半に【oss-security】のMLに流れていたので拾って記事にしました。最初寝ぼけて「複数の脆弱性」にタイトルがなっていたので修正したけど、twitterとか（意外でしょうが手動でやってます）にはそのタイトルで流れているので失礼しました。
• BLEEPING COMPUTERより。

  Ransomware encrypts South Africa’s entire Dept of Justice network

  南アフリカの司法省ネットワークがランサムウエアにやられたとの事。現在修正を行っているが電子サービスが司法省内外ともにダウンしてるとの事で、養育費の支払いも止まっているとのこと（関係者の方お疲れ様です＆影響を受けている方々はお気の毒です）。インシデントは9/6から始まったとのこと。緊急時プランを実行し、一部業務は手動に切り替えて行っているそうです。今のところ攻撃者の情報は公開されていないようです。

• BLEEPING COMPUTERより。

  ラトビアのMikroTik社が、Mēris DDoS botnetに利用されている自社製品を正常化させる方法を公開しているそうです。Mēris DDoS botnetに関しても何処かでまた纏めたいと思います。

• 2021/09/14（現地時間）にKali Linux 2021.3がリリースされています。

2021/09/15

• OWASP ZAP2.11.0がもうすぐリリースするそうです。この辺の脆弱性検査も何処かで記事にしたいですね。
• curlで３つ脆弱性が出ています。詳しい内容は後で（明日あたり）記事にする予定です。

  2021/09/16補足：curlの複数の脆弱性情報(Medium: CVE-2021-22945, CVE-2021-22946, CVE-2021-22947 )として記事にしました。

• BIND 9.16.21 / 9.17.18がリリースされたとのことです。今のところセキュリティFixとかの話は出ていません。
• コンピュータセキュリティシンポジウム2021 プログラム公開のご案内との事です。
• CVE Numbering Authority (CNA)がまた増えたらしい。LG Electronics、Snow Softwareが新たに加わった模様。合わせて
  こんな記事もtwitterで流れてきたので後でチェック。
• Recorded Futureより。

  CVE-2021-40444が割り当てられた「Microsoft MSHTMLの脆弱性（CVE-2021-40444）に関する注意喚起 (JPCERT CC)」ですが、今回の9月の「Patch Tuesday security updates」で対応された模様。詳細はMSのアップデートをご確認ください。

• BLEEPING COMPUTERより。

  BlackMatter ransomware hits medical technology giant Olympus

  こちらのITMedia記事にもあるけれどBlackMatterのランサムウェアがOlympusに対して攻撃（言い回しが難しいな）との事。TechCrunchの記事が詳細な情報になっている。

• BLEEPING COMPUTERより。

  Hacker-made Linux Cobalt Strike beacon used in ongoing attacks。Cobalt Strikeという「ペネトレーション・テスターがネットワーク内の攻撃者の活動を再現するために使用する正規のセキュリティ・ツール」があるのですが、攻撃者にも悪用されているようです。

  今回は、それを使用して攻撃者が侵害を行った時に、Linux用に使用できるビーコン（攻撃に成功したマシン上でコマンド実行等を出来るもの）の開発に攻撃者たちが成功した(Intezerというセキュリティ企業が発見し、Vermilion Strikeと名付けています)、という話です。現在のところ、このCobalt Strike ELFバイナリはVirusTotalなどでも検出できないようです。これはマレーシアからアップロードされており、8月以降での攻撃に使用されているようです。後ほど別途個別記事にするかもしれません。

2021/09/10

• Port Shadows via Network Alchemy:。Port Shadowの攻撃らしいです。CVE-2021-3773もアサインされていますが、主要なディストリビューションが未だ取り上げていないので、記事にはしていません。NATの実装上から起因する話のようなので根が深そうな予感がします。OpenVPNとFreeBSD実装の両方でアドバイザリが出ているので、ディストリビューターが取り上げたら個別記事にする予定です。

2021/09/08

• Linux Security Summit 2021が9/29-10/01（現地時間）で開催されます。

  イベント詳細はこちらのtwitterで確認が出来ます。

• SELinux userspace 3.3-rc1 が出ています。

  Reference Policyも2.20210908が出ています。

  SELinuxも何処かでまた纏めて個別記事にする予定です。

2021/09/01

• 過去に気づいたのを放置していましたが、LandlockがLinux Kernel 5.13から正式に入った模様。随分前にThinkITでLinux Security Summit 2017の記事で取り上げていたやつですね。時間があれば纏めたい。LandLock Newsなんてのも回ってきてたりします。LSM周りは諸々変化も有るので、それらも含めて纏めていつか（いつだ？）記事にする予定です。

セキュリティ系連載案内

• OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
• OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
• OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
• OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
• OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
• OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。

CM

こちらで小学生の勉強支援サイトをオープンしました。算数のプリント（都度、自動生成）が無料でダウンロードできます。コンテンツは未だ少ないですが、徐々に増やしていきます。

セミナー情報1

コンピュータセキュリティシンポジウム(CSS)2021併設のワークショップ、 OSSセキュリティ技術ワークショップ(OWS) 2021の企画講演セッション及び、 一般論文セッションの発表募集をさせていただきます。

今年もオンラインでの開催となり、OWSトラックの一般論文セッションの論文募集(申込締め切り: 2021年08月02日(月))と企画セッションを行いますので，ご投稿とご参加よろしくお願いいたします。

https://www.iwsec.org/ows/2021/