セキュリティ担当者を震撼させた2014年
2014年は基幹レベルでヤバいインシデントが多かった多かった…(´・ω:;.:…
NTPやSNMPあたりの、UDPを使っているサービスはDDoS踏み台にされる事がある為、
インシデントの注意喚起がよく出ている昨今。
だが、今年はそんな日常的セキュリティインシデントを吹っ飛ばすレベルでヤバい脆弱性が多数上がってきた。
という事で、nowsky主観で今年の脆弱性を適当に挙げてみた
※切りが無いので、MicroSoft/Adobe/Javaあたりは除く。だって毎月でるし…
発見時期 | 種類 | 概要(JPCert , JVNから引用) |
1月中旬 | DDoS攻撃 | NTPDのmonlist機能を悪用したDDoS攻撃の可能性 |
2月中旬 | DDoS攻撃 | ApacheCommonsFileUploadのマルチパートリクエスト無限ループ問題 |
4月上旬 | メモリ漏洩 | OpenSSLのHeartBeat機能実装不備によるメモリ内容漏洩問題 |
6月上旬 | 中間者攻撃 | OpenSSLのChangeCipherSpecメッセージ受信時の空鍵生成問題 |
9月下旬 |
コマンド インジェクション |
Bash環境変数処理の不備によるOSコマンドインジェクションの危険性 |
10月中旬 | 中間者攻撃 | SSLv3環境下でProtocolDowngradeDanceの悪用による通信内容盗聴 |
11月上旬 |
ドメイン ハイジャック |
".com"ドメイン登録情報の不正書き換えによるドメイン名ハイジャック |
11月下旬 | DDoS攻撃 | FreeBSDのTCPセッションタイマー処理不備によるDDoS危険性 |
12月上旬 | DDoS攻撃 | BIND9の再帰的名前解決によるサービス停止の危険性 |
この中でも特に緊急性が高かったのは、OpenSSLのHeartBeat脆弱性(Heartbleed)と、
GNU BashのOSコマンドインジェクションの脆弱性(Shellshock)あたりだと思う。
Heartbleedは、暗号化されている為に安全と言われていたSSL/TLS通信を使っているにもかかわらず、
暗号化された内容を第三者が不正閲覧出来るかもしれないという物だった。
この脆弱性がここまで有名になったのは、攻撃難易度としては結構高いとは言え、
- 暗号化通信の基幹部分を崩す脆弱性
- 攻撃された側は攻撃を感知出来ない
- 応用すればサーバ情報を引き出す事も出来る
という、基幹を揺さぶって世界(のシステム管理者)を震撼させる物だった為。
普段、PCの事は取り扱わないNHKがニュースとして取り上げたレベルなのでお察し下さい
最終的にはVPN系のアプライアンス製品にも飛び火して、対応を迫られたエンジニアも多かった筈。
自分の場合、自鯖のオレオレ証明書絡みと、インターネット側のサーバとSSLセッションを張るシステムの
全部に対応する必要があって大変だった(´・ω・`)
………
Shellshockは特にヤバかった。"ns-lab BB"にShellshockを悪用したHTTP GETが来るレベルで。
"ns-lab BB"にShellshockをやられた時には、FWとBash自体で対策済みだった為、問題無かった。
こっちは、誰でも簡単にOSコマンドインジェクションが可能という点で、サーバ管理者を震え上がらせた。
攻撃難易度は、標的を決めてtelnetコマンドを3行程打ち込んだだけで再現が出来てしまうという超お手軽性。
その為apache上でPHP・CGI・perl辺りを動かしている環境下では特に危険だった。
ちなみに、先のHeartbleedと組み合わせる事で、OSを丸裸に出来る点もヒヤヒヤ要因の一つ。
そして、GNU BashはMAC-OSから始まり、家庭用ルータ・業務用アプライアンス、さらにはメインフレームにも
デフォルトインストールされている点も被害を広げた。
Linuxをインストールした時のデフォルトシェルがbashになっている事が多いのも(ry
ちなみに、"ns-lab BB"のシェルはOSディストリ毎に変更している為、
bash/ksh/tcsh/zshとチャンポン状態だが、自作シェルスクリプト互換性の為にbashだけは全部に入れていた。
脆弱性情報出たら即アップデートかけたが、仮想サーバ含めると台数が多いので大変だった(´・ω:;.:…
………
いろんな脆弱性が出て毎月「(>'A`)>ウワァァ!!」と頭を抱えていた2014年。
本来なら脆弱性の無い事が最高なのだが、人が作るプログラムなので100%脆弱は潜んでいるわけで…
脆弱性情報が出ないで痛い目見るよりは、明るみに出る事で修正される方が良いのは当たり前。
来年こそは、基幹レベルでヤバい脆弱性に追われない事を祈るのみ。