DevSecOps: 古いセキュリティバグが未だに新たなトリックを仕掛けている
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性を探しています。しかし、このように将来を見据えた視点は、セキュリティ意識全体を弱めるという意外な効果をもたらす可能性があります。
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
最初に公開された DevOps.com。
サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性(そしてそれを阻止するための適切な設計ツール、技法、戦術)を探し求めています。しかし、このような将来を見据えた注力は、セキュリティ意識全体を弱め、あらゆる場所に存在する根深い危険に目をくらませるという驚くべき効果をもたらし、攻撃者はそれを喜んで悪用します。
私はよく現代のサイバーセキュリティをケブラーアーマーのスーツと比較します。一見優美に見えるケブラーの特性は、高速弾丸やあらゆる種類の現代的で強力な武器をブロックすることができます。身に着けていると、どこか無敵だと感じることさえあるかもしれません。しかし、紀元前1000年頃に最初に作られた比較的古い弓矢兵器システムは、その防御を貫通することがよくあります。おそらく岩に次いで世界で2番目に古い武器である鋭いナイフは、まるで綿のスウェットシャツを細かく切るかのように簡単にケブラーを切り裂くことができます。そして、ケブラーが人体のすべてのミリを保護できないというちょっとした問題があります。攻撃者が何らかの欠点を発見して損害を与えることができれば、攻撃者は「ソフトウェアの小さな悪用可能な領域によく似ている」でしょう。
サイバーセキュリティでは、多くの組織が同様に8年または10年前のシステムの欠陥に対して脆弱であり、現代のコンピューティング用語で言えば、ゴールドウォッチや年金を受ける資格がある程度です。しかし、このような古いシステムの欠陥は無害だと思うなら、将来、おそらく死のブルースクリーンが1、2回起こることになるでしょう。
退役軍人にとっての脆弱性
最も古く、最も使用されているJavaScriptライブラリの1つがjQueryです。jQueryは、イベント処理からDOMツリーのトラバーサルと操作、アニメーションの生成まで、あらゆることに役立つオープンソースリソースです。これはかなりの主力ツールであり、長年使用されてきました。このライブラリは現時点で十分に確立されているので、脆弱性はすべて取り除かれて完全に精査されたに違いないと人々は考えています。
悲しいことに、そうではありません。デフォルトでは、jQuery に依存するほとんどのアプリケーションは内部ライブラリの命令を使用して認証を行います。たとえば、Apache サーバーの場合、これは.htaccess ファイルをチェックすることを意味します。Apache を使用するプログラムを設計している開発者の中には、Apache サーバーの更新に.htaccess が含まれていることを確認しようと考えた人はほとんどいないでしょう。結局のところ、何年もの間セキュリティの基盤となってきたこの重要なコンポーネントを Apache が削除するのはなぜでしょうか。
奇妙に思えるかもしれませんが、これはまさにApacheがバージョン2.3.9で行ったことです。どうやら、プログラムを実行するたびに.htaccess 設定ファイルをチェックしなければならないため、処理速度が大幅に低下していたようです。これを削除すると Apache の全体的なパフォーマンスは向上しましたが、ほとんどの人が知らなかった脆弱性も生じてしまいました。開発者が自分のアプリケーションがまだ.htaccess ファイルにアクセスできるかどうかをわざわざ確認しなければ、ほとんどのリクエストは精査されずにそのまま受け入れられてしまいます。
最近、専門家がこの欠陥を発見し、これを使用すると、権限のないユーザーがシェルやほぼあらゆる種類のコードをアップロードして、安全と思われるシステム上で実行できるようになると指摘しました。これにより、10 月に CVE-2018-9206 という脆弱性アラートが作成されました。しかし、セキュリティ研究者がこの欠陥を簡単に発見したことは、このような脆弱性を探すことを唯一の目的とするプロのハッカーが、おそらくすでにその欠陥を発見しているということです。結局のところ、その余波で世間に広まり、パッチや修正が行われたにもかかわらず、ほんの数週間後に同様の影響の大きい攻撃が発生しました。 ビットコインを盗むマルウェア 毎週数百万人がダウンロードする人気のNPMライブラリで公開されました。
バトラーがやった
jQueryと同様に、Jenkinsはオープンソースの製品であり、この種のものの中で最も人気のあるものの1つです。Jenkins はわかりやすいサーバントのような名前なので、多くの業界の開発チームが Jenkins を自動化サーバーとして使用しているのは理にかなっています。Jenkins が正しく機能していれば、非常に便利なツールになります。しかし、新たに発見された欠陥と、最近発見された暗号通貨マイニング操作があります。 それは本当に巨大です 規模で見ると、ジェンキンスも悪者のために多くの仕事をしていたことが分かります。
Jenkinsの最も危険な脆弱性の1つは、Javaデシリアライゼーションと呼ばれ、 指定されているのは CVE-2017-1000353 のように。これは複雑な攻撃ですが、しばらく前から存在しています。攻撃者は 2 つのリクエストを送信する必要があります。最初のリクエストはダウンロード用の双方向チャネルを開始しますが、最初はサーバーによって拒否されます。ただし、2 番目のリクエストでは、攻撃者が望むコマンドを含むペイロードを含むアップロードチャネルを追加し、payload.jar スクリプトを使用します。2 番目のリクエストが送信されると、パッチが適用されていない Jenkins サーバーでの通信が許可されます。
パッチが適用されたサーバー上でも、エクスプロイトが存在します。たとえば、Windows 環境で Jenkins を実行する場合、デフォルトで NT AUTHORITY\ SYSTEM アカウントを使用してユーザーを認証します。SYSTEM には Windows サーバーに対するフル権限が付与されているため、これは危険です。開発者は権限アカウントを変更できますが、多くの場合は変更できません。そうしないという彼らの論理は、Jenkins がずっと前から存在しているという事実に基づいているので、人々はどんな脆弱性にもずっと前にパッチが当てられていると考えているのです。
ごく最近、ハッカーがこれらの古くなったJenkinsの脆弱性を利用して、複数のサーバーを侵害しました。目標は、脆弱な Jenkins インスタンスが見つかるたびにクリプトマイナープログラムを追加することでした。マイナーたちは、暗号通貨を絶えず探す中で、貴重なコンピューティングリソースを消費していました。これまでのところ、彼らは 見つけた 約10,800枚のモネロ暗号コイン、価値は約350万ドルです。
古いものがまた新しくなる
どちらの例でも、多くの人が安全だと考えるプラットフォーム上で、日和見主義的な攻撃者によって脆弱性が悪用されています。防御面では、セキュリティを意識した開発が行われていないため、これらのハッカーは古い手法に新しい命を吹き込んでいます。そして、古くなった脆弱性を利用して新たな成功を収めたにもかかわらず、多くの組織はこの悪循環を食い止める計画を立てていません。
何かが古いからといって、それが無害であるとは限りません。また、共通のライブラリやリソースが何年も前から存在しているからといって、それらが完全に安全であるとは限りません (たとえば、現在のOWASPトップ10の9番目のエントリは、以下を扱うことに特化しています)。 既知の脆弱性を持つコンポーネントの使用)。勤勉さによってのみ、 継続的なセキュリティトレーニング 地平線に忍び寄る危険な脅威だけでなく、すでに裏庭に潜入している脅威からも身を守ることができるでしょうか。
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
