DigiLoog

2014年は基幹レベルでヤバいインシデントが多かった多かった…(´・ω:;.:…

NTPやSNMPあたりの、UDPを使っているサービスはDDoS踏み台にされる事がある為、
インシデントの注意喚起がよく出ている昨今。

だが、今年はそんな日常的セキュリティインシデントを吹っ飛ばすレベルでヤバい脆弱性が多数上がってきた。

という事で、nowsky主観で今年の脆弱性を適当に挙げてみた
※切りが無いので、MicroSoft/Adobe/Javaあたりは除く。だって毎月でるし…

発見時期	種類	概要(JPCert , JVNから引用)
1月中旬	DDoS攻撃	NTPDのmonlist機能を悪用したDDoS攻撃の可能性
2月中旬	DDoS攻撃	ApacheCommonsFileUploadのマルチパートリクエスト無限ループ問題
4月上旬	メモリ漏洩	OpenSSLのHeartBeat機能実装不備によるメモリ内容漏洩問題
6月上旬	中間者攻撃	OpenSSLのChangeCipherSpecメッセージ受信時の空鍵生成問題
9月下旬	コマンド インジェクション	Bash環境変数処理の不備によるOSコマンドインジェクションの危険性
10月中旬	中間者攻撃	SSLv3環境下でProtocolDowngradeDanceの悪用による通信内容盗聴
11月上旬	ドメイン ハイジャック	".com"ドメイン登録情報の不正書き換えによるドメイン名ハイジャック
11月下旬	DDoS攻撃	FreeBSDのTCPセッションタイマー処理不備によるDDoS危険性
12月上旬	DDoS攻撃	BIND9の再帰的名前解決によるサービス停止の危険性

この中でも特に緊急性が高かったのは、OpenSSLのHeartBeat脆弱性(Heartbleed)と、
GNU BashのOSコマンドインジェクションの脆弱性(Shellshock)あたりだと思う。

Heartbleedは、暗号化されている為に安全と言われていたSSL/TLS通信を使っているにもかかわらず、
暗号化された内容を第三者が不正閲覧出来るかもしれないという物だった。
この脆弱性がここまで有名になったのは、攻撃難易度としては結構高いとは言え、

1. 暗号化通信の基幹部分を崩す脆弱性
2. 攻撃された側は攻撃を感知出来ない
3. 応用すればサーバ情報を引き出す事も出来る

という、基幹を揺さぶって世界(のシステム管理者)を震撼させる物だった為。
普段、PCの事は取り扱わないNHKがニュースとして取り上げたレベルなのでお察し下さい

最終的にはVPN系のアプライアンス製品にも飛び火して、対応を迫られたエンジニアも多かった筈。
自分の場合、自鯖のオレオレ証明書絡みと、インターネット側のサーバとSSLセッションを張るシステムの
全部に対応する必要があって大変だった(´・ω・｀)

………

Shellshockは特にヤバかった。"ns-lab BB"にShellshockを悪用したHTTP GETが来るレベルで。
"ns-lab BB"にShellshockをやられた時には、FWとBash自体で対策済みだった為、問題無かった。

こっちは、誰でも簡単にOSコマンドインジェクションが可能という点で、サーバ管理者を震え上がらせた。
攻撃難易度は、標的を決めてtelnetコマンドを3行程打ち込んだだけで再現が出来てしまうという超お手軽性。
その為apache上でPHP・CGI・perl辺りを動かしている環境下では特に危険だった。
ちなみに、先のHeartbleedと組み合わせる事で、OSを丸裸に出来る点もヒヤヒヤ要因の一つ。

そして、GNU BashはMAC-OSから始まり、家庭用ルータ・業務用アプライアンス、さらにはメインフレームにも
デフォルトインストールされている点も被害を広げた。
Linuxをインストールした時のデフォルトシェルがbashになっている事が多いのも(ry

ちなみに、"ns-lab BB"のシェルはOSディストリ毎に変更している為、
bash/ksh/tcsh/zshとチャンポン状態だが、自作シェルスクリプト互換性の為にbashだけは全部に入れていた。
脆弱性情報出たら即アップデートかけたが、仮想サーバ含めると台数が多いので大変だった(´・ω:;.:…

………

いろんな脆弱性が出て毎月「(>'A`)>ｳﾜｧｧ!!」と頭を抱えていた2014年。
本来なら脆弱性の無い事が最高なのだが、人が作るプログラムなので100%脆弱は潜んでいるわけで…
脆弱性情報が出ないで痛い目見るよりは、明るみに出る事で修正される方が良いのは当たり前。

来年こそは、基幹レベルでヤバい脆弱性に追われない事を祈るのみ。

---