ukycircleLog

セキュリティ,ガジェット,ポケモン etc...といった内容をテキトーに投稿するブログ※このサイトはGoogle Analyticsを利用しています

2020年買って良かったもの/微妙だったもの

タイトルにある通り,2020年も終わりなので,買って良かったもの/微妙だったものを紹介していこうと思います.1年の自分の行いを振り返り,ダメな行いは供養,良いところは今後も積極的に活用していこうというモチベーションで書いています.

 

値段は思い出したくもないので,ここには書きません.その代わり,リンクを貼っておくので,気になる方がいたら見に行ってみてください.

毎年恒例の企画です.判断基準は独断と偏見です.

 

  • 買って良かったもの
  1. Oculus Quest 2
    理由: VR で見るYouTube がサイコーだから
    ヘビーYouTube 視聴者にとってはサイコーのデバイスかもしれない.
    もう少し軽ければ,Virtual Desktop も使いやすくて良かった.


  2. アーロンチェア
    理由: 座り心地がサイコーだから
    この椅子のおかげで,長きにわたる在宅勤務の日々を過ごせたといっても過言ではない.実際,安物の椅子や椅子なしでは,腰が痛くて足が伸ばせずなど苦労した.

  3. Dell デジタルハイエンドシリーズ U4919DW 49インチワイド曲面モニター
    理由: 画面がウルトラワイドで,作業しやすくてサイコーだから
    今もまさにこのディスプレイで作業しているが,ウルトラワイドがこんなにも使い勝手が良いことに感動した.

  4. 【アドバンスモデル】デロンギ(DeLonghi) コンパクト全自動コーヒーメーカー ディナミカ ミルク泡立て手動 ホワイト ECAM35035W
    理由: 家にいるときにおいしいコーヒーが何倍も飲めてサイコーだから
    コーヒー豆もスペシャリティを揃えると,スペシャリティがおいしくて良い.
    最近は,スペシャリティしか飲んでいないが,それでも満足.

  5. シービージャパン 水筒 ブルー 420ml 直飲み ステンレス ボトル 真空 断熱 カフア コーヒー ボトル QAHWA
    理由: おいしいコーヒーがアツアツのまま職場に持ち込めてサイコーだから
    デロンギありきの購入.もうスタバやセブンでコーヒー買うことはほとんどないかも.

 

  • 買って良かったもののリストのリンク先
  1. www.oculus.com

  2. store.hermanmiller.co.jp

  3. www.dell.com

  4. barista.delonghi.co.jp

  5. qahwa.cb-j.com

 

  • 微妙だったもの
  1. HoloLens 2
    理由: まだ使いこなせてないから
    来年は有効活用したい

  2. PowerEdge R340 ベーシックモデル
    理由: まだ使えてないから
    一応物理Linux サーバーとして使用する予定

  3. SG350XG-2F10-K9-JP
    理由: まだ使えてないから
    自宅NW構築の際に使用する予定

  4. FJ15229052
    理由: まだ使えてないから
    こちらも自宅NW構築に使用する予定

  5. 12.9インチiPad Pro
    理由: ほとんど使ってないから
    技術書や論文といったpdfファイル読みつつメモするのによいかと思ったけど,思いのほか使っていない

  6. NETGEAR NAS ディスクレス 6ベイ 最大接続目安120台 10G BASE-T搭載 アンチウィルス クラウド対応 ReadyNAS 626X RN626X
    理由: まだ使えてないから
    新しい回線が引けたら,主に仮想基盤のストレージとして使用していく予定

 

微妙だったもののリストのリンク先

  1. www.microsoft.com

  2. www.dell.com

  3. www.cisco.com

  4. nttxstore.jp

  5. www.apple.com

  6. www.jp.netgear.com

 

以上

#7【英語記事和訳】PoC Exploit Released for DoS Vulnerability in OpenSSL

 

  • 概要

日付: 2020-05-05

 

OpenSSL の最近公開されたDoS 系の脆弱性を悪用するPoC が公開された.本脆弱性は,Bernd Edlinger 氏のGCCの静的コードアナライザーを用いて発見された.

悪用の仕方は簡単で,悪意のあるペイロードを本脆弱性の影響を受けるソフトウェアを使用しているサーバーに対して送信するだけである.

被害を受けるサーバーは一般的でないSSL_check_chain()関数を呼び出された場合であるが,ペイロード受け取るとシステムがクラッシュする可能性がある.

 

研究者によると,攻撃者が用意した悪意あるTLS サーバーを用意したり,中間者攻撃を実行することで,クライアントをダウンさせることも可能であることのこと.

 

  • 和訳

 

最近パッチが当てられた OpenSSL の脆弱性の PoC (proof-of-concept) 悪用が公開されました。

 

OpenSSL バージョン 1.1.1.1d, 1.1.1e, 1.1.1f は、SSl_check_chain 関数のセグメンテーションの欠陥として記述されている高レベルの脆弱性の影響を受けています。CVE-2020-1967 として追跡されているこの欠陥は、OpenSSL 1.1.1.1g のリリースで 4 月 21 日にパッチが当てられました。

 

このセキュリティホールは Bernd Edlinger 氏が最近導入された GNU Compiler Collection (GCC) の静的コードアナライザーを用いて発見したものです。

 

セキュリティ研究者のImre Rad氏は、この脆弱性のPoCエクスプロイトを、エクスプロイトプロセスの説明とともに公開しました。

 

"この脆弱性の悪用は非常に簡単で、悪意のあるペイロードを脆弱なサーバに送信するだけです。

 

被害者側はもっと複雑です - アプリケーションが脆弱なのは、影響を受けたバージョンの lib を使用して SSL_check_chain() 公開 API 関数を呼び出した場合だけです。これは本当に一般的なことではありません - あえて言うならば、大多数のTLSサーバはこの関数を呼び出していません。しかし、そのようなサーバは、この脅威の深刻度が非常に高いのです。"

 

"単純なバージョンチェックをしたのか、関数呼び出しの検証をしたのかは定かではありませんが。影響を受けるサーバはペイロードを受信するとクラッシュします - ウォッチドッグがプロセスを監視しているかどうかによっては、一時的にダウンしたり、永久にダウンしたりします。"また、認証に相互 TLS を使用しているサービスも保護されていません - 脆弱性のあるコードは TLS 1.3 のハンドシェイク処理に存在します"

 

研究者によると、この脆弱性はマンインザミドル(MitM)攻撃や、悪意のあるTLSサーバを設定して、脆弱なクライアントから接続させることでも悪用できるとのことです。

"クライアントをダウンさせた場合の影響は通常低いと考えられているので、これ以上の分析はしませんでしたが、(脆弱性のあるバージョンの lib を使用してその関数を呼び出すことを考えると)脆弱性の悪用を防ぐことができるものは何もないと思います" と Rad 氏は指摘しています。

 

研究者は、悪用される可能性があるという懸念から、PoCの悪用を公開することを躊躇していたと述べています。

 

"スクリプト小僧がやったことを責められたくはありませんが、完全な公開についての Schneier の見解を思い出し、それが今後の道であることを認めざるを得ませんでした (他の人が同様の悪用法を簡単に開発する可能性があります)」と Rad は電子メールで述べています。

 

CVE-2020-1967は、2020年にOpenSSLで最初にパッチが当てられた脆弱性だった。数ヶ月前にSecurityWeekが報じたように、2014年のHeartbleed脆弱性の開示以来、OpenSSLのセキュリティは進化してきた。

 

Heartbleedが公開されてから2016年末までの間に、OpenSSLには十数件近くの重要度の高い脆弱性が発見されていましたが、2017年には1件だけ高重度の欠陥が確認され、2018年と2019年にパッチ適用された問題はすべて低重度または中重度のものでした。

  • 原文

 

A proof-of-concept (PoC) exploit has been made public for a recently patched vulnerability in OpenSSL that can be exploited for denial-of-service (DoS) attacks.

OpenSSL versions 1.1.1d, 1.1.1e and 1.1.1f are affected by a high-severity vulnerability that has been described as a segmentation fault in the SSl_check_chain function. The flaw, tracked as CVE-2020-1967, was patched on April 21 with the release of OpenSSL 1.1.1g.

The security hole was discovered by Bernd Edlinger using a recently introduced GNU Compiler Collection (GCC) static code analyzer.

Security researcher Imre Rad has published a PoC exploit for the vulnerability, along with a description of the exploitation process.

“Exploitation of this vulnerability is pretty easy, one just needs to send the malicious payload to the vulnerable server — this can be done for example by using the patched openssl s_client utility available on my GitHub page,” Rad told SecurityWeek.

He added, “The victim's side is more complex — the application is vulnerable only if using the affected version of the lib and calling the SSL_check_chain() public API function. This is not really common — I'd even dare to say the vast majority of TLS servers don't call that function. But the ones that do — the severity of this threat is indeed high for them.”

“I've seen some vendors confirming they are affected — not sure though whether they did a simple version checking or verified the function call as well. The affected server crashes upon receiving the payload — depending on whether a watchdog is supervising the process or not, it may go temporarily or permanently down,” Rad said. “Also worth to mention, services using mutual TLS for authentication are not protected either — the vulnerable code resides in the TLS 1.3 handshake processing.”

The researcher said the vulnerability can also be exploited through a man-in-the-middle (MitM) attack or by setting up a malicious TLS server and getting a vulnerable client to connect to it.

“The impact of taking a client down is usually considered lower, so I didn't analyze this any further, but I see nothing that could prevent exploitation of it (given that using the vulnerable version of the lib and calling that function),” Rad noted.

The researcher said he was hesitant to make the PoC exploit public due to concerns that it could be abused.

“I don't want to be blamed for what script kiddies do — but then I recalled Schneier's views about full disclosure and I had to admit that is the way to go forward (others could develop a similar exploit easily anyway),” Rad said via email.

CVE-2020-1967 was the first vulnerability patched in OpenSSL in 2020. As SecurityWeek reported a few months ago, OpenSSL security has evolved since the disclosure of the Heartbleed vulnerability back in 2014.

While nearly a dozen critical and high-severity vulnerabilities were found in OpenSSL between the disclosure of Heartbleed and the end of 2016, in 2017 there was only one high-severity flaw identified, and in 2018 and 2019 all the patched issues had low or medium severity.

 

  • 所感/メモ

Heartbleed以来のOpenSSL の大きな脆弱性で,DoS とはいえ注目している.PoC がでたようで,(Exploit DB にはまだ出ていなかった)容易にHeartbleed と同じく容易に悪用できてしまう.記事の内容を見ると,サーバーサイドだけでなくクライアントサイドにもクラッシュの影響を出すことができるらしい.

Heartbleed が2014年なので,かれこれ6年くらいはインパクトの大きい脆弱性はあまり出ていない認識だが,久しぶりにでたとのことなので,Heartbleed の時のようにPoC 検証して遊んでみたい.(もちろん自分の閉じた環境下で) 

 

  • 出典

 https://www.securityweek.com/poc-exploit-released-dos-vulnerability-openssl?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

#6【英語記事和訳】Malware Delivered to Sophos Firewalls via Zero-Day Vulnerability

 

  • 概要

日付: 2020-04-26

 セキュリティ企業であるSophos の製品であるXG Firewallアプライアンスにゼロデイ脆弱性が存在しており,その脆弱性マルウェアの配布に悪用されていたが,パッチがあてられたことが公表された.Sophos が公開したHotfix を適用すると,ユーザーにファイアウォールが侵害されたかどうかが通知される.

脆弱性SQLインジェクション

 

攻撃の対象となったのは,管理サービスやユーザーポータルがインターネット上に露出しているシステムであり,情報を漏えいさせる機能を持つマルウェアをダウンロードしていた.

漏えいしたデータは,ローカルデバイスの管理者,ポータルの管理者,リモートアクセス用に設定されたアカウントのユーザ名とそのパスワードハッシュ値およびファイアウォールに関する情報やアカウントの電子メールアドレス,IPアドレスの割り当て許可に関する情報などが含まれている可能性がある.

 

攻撃者の仕込んだスクリプトは,永続性を保つために再起動後も接続を確保する仕組みがされていた.攻撃に関与したマルウェアは「Asnarok」とした.攻撃に使用されたスクリプトは,最終的にはファイアウォールオペレーティングシステム用にコンパイルされたELF バイナリ形式のファイルをダウンロードする操作を実行していた.

 

Sopos はIoC や技術的な詳細を公表している.侵害されていないユーザーは何も対策を講じる必要はなく,今回の攻撃の出標的にされたファイアウォールファイアウォールのパスワードを変更する必要があるとしている.

 

  • 和訳

サイバーセキュリティ企業のソフォスは週末、同社のXG Firewallアプライアンスマルウェアを配信するために悪用されていたゼロデイ脆弱性をパッチ適用したことを顧客に通知した。

ソフォスによると、同社のXGファイアウォールを標的とした攻撃については、4月22日にデバイスの管理インターフェイスで不審なフィールド値が発見されたことを受けて判明したという。調査の結果、攻撃者がこれまで知られていなかったSQLインジェクション脆弱性を悪用して、露出した物理ファイアウォールや仮想ファイアウォールをハッキングしていたことが判明した。複数の顧客が標的となった。

同社によると、攻撃の対象となったのは、管理サービスやユーザーポータルがインターネットに露出しているシステム。攻撃者は、セキュリティホールを悪用して、ファイアウォールからデータを流出させるマルウェアをダウンロードしようとしていたようだ。

このデータには、ローカルデバイスの管理者、ポータルの管理者、リモートアクセス用に設定されたユーザーアカウントのユーザー名とパスワードのハッシュが含まれている可能性があります。このマルウェアは、ファイアウォールに関する情報、アプライアンスに保存されているアカウントの電子メールアドレス、IPアドレスの割り当て許可に関する情報にもアクセスしている可能性があります。

"ADやLDAPなどの外部認証システムに関連付けられたパスワードは影響を受けません」とソフォスは顧客に説明しています。

ソフォスは攻撃開始直後から対策を開始し、4月25日にSQLインジェクション脆弱性を修正するSFOSのHotfixをロールアウトした。このHotfixを適用すると、ユーザーには、この攻撃の一環としてファイアウォールが侵害されたかどうかも通知される。

ソフォスは日曜日の深夜に公開したブログ記事の中で、攻撃者がSQLインジェクション脆弱性を悪用して、ファイアウォールのデータベースに1行のコマンドを挿入したことを明らかにした。このコマンドにより、影響を受けたデバイスは、リモートサーバーから Install.sh という名前の Linux シェルスクリプトをダウンロードするようになりました。このスクリプトはその後、より多くの SQL コマンドを実行し、仮想ファイルシステム上により多くのファイルを落としました。

攻撃で展開された他のスクリプトは、デバイスの再起動時に永続性を確保し、バックアップチャネルを作成するように設計されていました。

"Install.sh スクリプトは、最初は、データベース内の特定のテーブルの値を変更またはゼロアウトするために、多数の Postgres SQL コマンドを実行しましたが、そのうちの 1 つは通常デバイス自体の管理 IP アドレスを表示します。"これは攻撃を隠蔽しようとしたように見えますが、裏目に出てしまいました。一部のアプライアンスでは、シェルスクリプトの活動により、攻撃者自身が注入した SQL コマンドラインファイアウォールの管理パネルのユーザーインターフェースに表示されるようになりました。アドレスの代わりに、シェルコマンドの行が表示されていました。

ソフォスは、攻撃に関与したマルウェアを「Asnarok」とし、その操作を "未知の敵対者 "に起因するとしています。

"攻撃の実行には、一連のLinuxシェルスクリプトを使用した重要なオーケストレーションがあり、最終的にはファイアウォールオペレーティングシステム用にコンパイルされたELFバイナリ実行可能なマルウェアをダウンロードしていました。

ソフォスは勧告の当初のバージョンでは、ハッカーが標的としたファイアウォールの背後にあるローカルネットワーク上の何かにアクセスしたという証拠はないと述べていましたが、この文章は後に追加の説明をすることなく削除されました。その後のブログ記事では、ファイアウォールから収集したデータが実際に流出したという証拠はないとしている。

サイバーセキュリティ企業は、侵害の指標(IoC)と攻撃に関する技術的な詳細を公表している。同社によれば、ファイアウォールが侵害されていない顧客は、何も対策を講じる必要はないという。今回の攻撃でファイアウォールが標的にされたことを知らされたユーザーは、デバイス上のパスワードを変更する必要があるという。

 

 

  • 原文

Cybersecurity company Sophos informed customers over the weekend that it has patched a zero-day vulnerability that has been exploited to deliver malware to its XG Firewall appliances.

Sophos said it learned about attacks targeting its XG firewall on April 22 after a suspicious field value was discovered in a device’s management interface. An investigation revealed that attackers have been exploiting a previously unknown SQL injection vulnerability to hack exposed physical and virtual firewalls. Multiple customers were targeted.

According to the company, the attack was aimed at systems with the administration service or the user portal exposed to the internet. The attackers were apparently trying to exploit the security hole to download malware that would allow them to exfiltrate data from the firewall.

This data can include usernames and password hashes for the local device administrators, portal admins, and user accounts set up for remote access. The malware could have also gained access to information about the firewall, email addresses of accounts stored on the appliance, and information on IP address allocation permissions.

“Passwords associated with external authentication systems such as AD or LDAP are unaffected,” Sophos told customers.

Sophos started taking measures shortly after the attack started and it rolled out a SFOS hotfix that patches the SQL injection vulnerability on April 25. Once they have applied the hotfix, users are also informed if their firewall has been compromised as part of this attack.

In a blog post published late on Sunday, Sophos revealed that the attacker exploited the SQL injection vulnerability to insert a one-line command into the firewall database. This command caused affected devices to download a Linux shell script named Install.sh from a remote server. The script then executed more SQL commands and dropped more files onto the virtual file system.

Other scripts deployed in the attack were designed to ensure persistence across device reboots and for creating a backup channel.

“The Install.sh script, initially, ran a number of Postgres SQL commands to modify or zero out the values of certain tables in the database, one of which normally displays the administrative IP address of the device itself,” Sophos researchers explained. “It appears that this was an attempt to conceal the attack, but it backfired: On some appliances, the shell script’s activity resulted in the attacker’s own injected SQL command line being displayed on the user interface of the firewall’s administrative panel. In place of what should have been an address, it showed a line of shell commands.”

Sophos has dubbed the malware involved in the attack Asnarok and attributed the operation to an “unknown adversary.”

“There was significant orchestration involved in the execution of the attack, using a chain of Linux shell scripts that eventually downloaded ELF binary executable malware compiled for a firewall operating system,” the company explained.

In the initial version of its advisory, Sophos said it had no evidence that the hackers accessed anything on the local networks behind the targeted firewalls, but that sentence was later removed without additional clarifications. The subsequent blog post does say that there is no evidence that the data collected from firewalls was actually exfiltrated.

The cybersecurity firm has published indicators of compromise (IoC) and technical details about the attack. The company says customers whose firewalls have not been compromised do not need to take any action. Users who are informed that their firewalls have been targeted in this attack will need to change their passwords on the device.

 

  • 所感/メモ

ゼロデイ脆弱性のパッチが適用されたというニュース.脆弱性を悪用されたデバイスは,マルウェアをダウンロードしてユーザアカウントやパスワードのハッシュ値といった情報を漏えいされた可能性がある.脆弱性SQL インジェクション.

SQLインジェクション脆弱性はよく耳にするが,Sophos のような大手のセキュリティ企業でも発生を防ぐことは難しく,今回のように実際に悪用されてしまうところに恐怖を感じる.しかし,無事にパッチが適用され,しかもそのパッチを適用すると攻撃されたかどうかもわかるとのことで,ユーザーとしては一安心できそうな状態になっているように思える.

IoC や技術的な詳細が公開されているようなので,後で読んでおこう. 

 

  • 出典

https://www.securityweek.com/malware-delivered-sophos-firewalls-zero-day-vulnerability?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29 

 

#5【英語記事和訳】MALWARE Bazaar

 

  • 概要

日付: 2020-04-25

 

新しい無料のマルウェア共有サービスが登場した.その名は「MALWARE Bazaar」.

これからブログで紹介するマルウェアのサンプルはすべて,MALWARE Bazaar で利用できるようにしていく.

 

  • 和訳

 

マルウェアを取り上げた日記エントリを公開するときは、ほぼ必ずマルウェアサンプルのハッシュを共有しています。

私は、MD5ハッシュを投稿することを好みます。なぜならば、それは短いので、前述のマルウェアサンプルのVirusTotalエントリへのリンクと一緒に投稿します。VirusTotalは異なるハッシュを報告しているので、好みのハッシュを見つけることができます。そして、あなたがVTサブスクリプションを持っている場合、あなたはまた、サンプル自体をダウンロードすることができます。

新しい無料のマルウェア共有サービスが登場しました。MALWARE Bazaarです。

これから私がブログで紹介する公開されているマルウェアのサンプルはすべて、MALWARE bazaarで利用できるようにしていきたいと思います。例えば、最近の日記に書いた悪意のある文書から抽出したこのサンプルのように。

 

  • 原文

 

When we publish diary entries covering malware, we almost always share the hash of the malware sample.

I prefer posting the MD5 hash because it is short, together with a link to the VirusTotal entry for said malware sample. VirusTotal reports different hashes, so that you can find your preferred hash. And if you have a VT subscription, you can also download the sample itself.

A new, free malware sharing service is available now: MALWARE Bazaar.

I will make sure that every public malware sample that I blog about from now on, will be available on MALWARE bazaar. Like this sample, for example, that I extracted from a malicious document I wrote recent diaries about.

 

  • 所感/メモ

マルウェア共有サイトは見つけるのは一苦労で,一番有名なVirut Total は上述されているように有料のサブスクリプションを持っていなければ,マルウェアのサンプルをダウンロードすることができない.しかし,新しい無料のマルウェア共有サービスが登場したとあり,今後は上記の MALWARE Bazaar を利用して,マルウェアのサンプルを入手してマルウェア解析に取り組んでいけたらいいなぁと思った. 

 

  • 出典

https://isc.sans.edu/diary/rss/26052 

 

#4【英語記事和訳】Zero-Day Vulnerabilities in iOS Mail App Exploited in Targeted Attacks

 

  • 概要

日付: 2020-04-23

 

iOS のメールアプリケーションには,少なくとも2018年以降から標的型攻撃で悪用されていると思われる2つの重大なゼロデイ脆弱性が存在する,とZecOps 社がが公表した.

 

ZecOps社によると,2012年にリリースされたiOS 6のバージョンから本脆弱性が存在していた.
Appleは,iOS 13.4.5ベータ版で本脆弱性をパッチにて修正している.本脆弱性の影響を受けるのはiOSのデフォルトのメールアプリのみのようである.
Apple から全ユーザーにパッチを展開するまでは,脆弱性のあるアプリの代わりのアプリ(GmailOutlook など)を使用することで攻撃を防ぐことが推奨されている.

 

脆弱性はout-of-bounds 書き込みとヒープオーバーフローの問題であるとして説明されており,
iOS 12のMobileMail,iOS 13のmaild に影響を与え,標的となるユーザーに細工されたメールを送信することで悪用可能である.
脆弱性が悪用されると,メールアプリケーション内でリモートコードの実行が可能となり,メールの閲覧,変更,削除を行うことが可能である.

加えて,ZecOps の研究者によると,カーネル脆弱性と組み合わせてデバイスへのフルアクセスが可能となる可能性がある.

 

iOS 13では,ユーザーの操作を必要としない「ゼロクリック攻撃」,つまり,悪意のあるメールがアプリケーションに読み込まれるだけで攻撃が成立してしまう.
iOS 12においても,攻撃者がメールサーバを制御できれば,ゼロクリック攻撃が成立してしまう.

脆弱性は高度な攻撃者の標的型攻撃で広く悪用されており,標的は米国の企業に勤める個人,ドイツのVIP,日本の通信事業者の幹部,ヨーロッパのジャーナリスト,イスラエルサウジアラビアのMSSP,スイスの組織の幹部を認識している.

 

脆弱性を悪用した攻撃は,「やとわれハッカー」によって販売されていることも確認されている.

 

  • 和訳

iOSのMailアプリケーションは、少なくとも2018年1月以降、標的型攻撃で悪用されていると思われる2つの重大なゼロデイ脆弱性の影響を受けていると、サイバーセキュリティ自動化企業のZecOpsが水曜日に報告しました。

ZecOpsによると、この脆弱性iOS 6、2012年にリリースされたバージョンから存在していたという。同社は2月から3月にかけてAppleに調査結果を報告し、欠陥を悪用した攻撃をテック大手に通知していた。ベンダーは、iOS 13.4.5ベータ版で脆弱性をパッチで修正している。GmailOutlookなどのiOS向けの他のメールアプリは影響を受けていないようなので、Appleが全ユーザーにパッチを展開するまでは、これらのアプリを使用して攻撃を防ぐことが推奨されています。

アウトオブバウンズ書き込みとヒープオーバーフローの問題として説明されている脆弱性は、iOS 12のMobileMailアプリケーションとiOS 13のmaildに影響を与え、標的となるユーザーに特別に細工された電子メールを送信することで悪用される可能性があります。この欠陥を悪用すると、標的となるアプリケーションのコンテキスト内でリモートコードが実行され、攻撃者はメールの閲覧、変更、削除を行うことができます。

ZecOpsの研究者は、これらの欠陥を悪用した脅威の行為者は、カーネル脆弱性と組み合わせて、侵害されたデバイスへのフルアクセスを可能にした可能性があると考えています。

iOS 13では、この攻撃はユーザーの操作を必要とせず(つまり、ゼロクリック攻撃)、バックグラウンドでメールアプリを開くだけで十分に悪用が可能です。iOS 12では、標的となるユーザーが悪用のトリガーとなる悪意のあるメールをクリックする必要がありますが、攻撃者がメールサーバーを制御できれば、iOS 12でもゼロクリック攻撃が可能です。

"ZecOpsのリサーチと脅威インテリジェンスに基づき、これらの脆弱性、特にリモートヒープオーバーフローは、高度な脅威運用者による標的型攻撃で広く悪用されていると確信しています」とZecOpsはブログ記事で述べています。

サイバーセキュリティ会社によると、北米のフォーチュン 500 企業の個人、ドイツの VIP、日本の通信事業者の幹部、ヨーロッパに拠点を置くジャーナリスト、イスラエルサウジアラビアのマネージドセキュリティサービスプロバイダ (MSSP)、そしておそらくスイスの組織の幹部を狙った攻撃を認識しているとのことです。

ZecOpsの研究者は、悪用された場合、一時的にメールアプリケーションの速度が低下したり、クラッシュしたりする可能性がありますが、被害者は他の不審な動作を見ることはないと判断しています。さらに、攻撃者は悪用された後に悪意のあるメールを削除して痕跡を消すことができます。

"私たちは、これらの攻撃は、少なくとも1つの国民国家の脅威運用者または、第三者の研究者からPOC(Proof of Concept)グレードで悪用を購入し、『そのまま』または軽微な修正を加えて使用した国民国家と相関性があると考えています。"とZecOpsは述べています。"ZecOpsは、これらの攻撃を特定の脅威行為者に帰属させることは控えていますが、少なくとも1つの「雇われハッカーズ」組織が、メールアドレスを主な識別子として利用する脆弱性を利用したエクスプロイトを販売していることを認識しています。 

 

  • 原文

The Mail application in iOS is affected by two critical zero-day vulnerabilities that appear to have been exploited in targeted attacks since at least January 2018, cybersecurity automation company ZecOps reported on Wednesday.

According to ZecOps, the vulnerabilities have existed since iOS 6, a version released in 2012. The company reported its findings to Apple in February and March, and notified the tech giant of attacks exploiting the flaws. The vendor has patched the weaknesses in iOS 13.4.5 beta. Other email apps for iOS, such as Gmail and Outlook, do not seem to be impacted so using these applications is recommended for preventing attacks until Apple rolls out the patch to all users.

The vulnerabilities, described as out-of-bounds write and heap overflow issues, affect the MobileMail application on iOS 12 and maild on iOS 13, and they can be exploited by sending specially crafted emails to the targeted user. Exploitation of the flaws can result in remote code execution in the context of the targeted application, allowing the attacker to view, modify or delete emails.

ZecOps researchers believe that the threat actors who exploited these flaws also combined them with a kernel vulnerability that may have given them full access to the compromised device.

The attack does not require any user interaction on iOS 13 (i.e. zero-click attack); opening the Mail app in the background is enough to trigger the exploit. On iOS 12, the targeted user needs to click on the malicious email to trigger the exploit — zero-click attacks are possible on iOS 12 if the attacker can control the mail server.

“Based on ZecOps Research and Threat Intelligence, we surmise with high confidence that these vulnerabilities – in particular, the remote heap overflow – are widely exploited in the wild in targeted attacks by an advanced threat operator(s),” ZecOps said in a blog post.

The cybersecurity firm says it’s aware of attacks aimed at individuals at a North American Fortune 500 company, a VIP from Germany, an executive from a carrier in Japan, a journalist based in Europe, managed security service providers (MSSPs) in Israel and Saudi Arabia, and possibly an executive at a Swiss organization.

ZecOps researchers determined that exploitation can result in a temporary slowdown or a crash of the email application, but victims should not see other suspicious behavior. Moreover, the attacker can delete the malicious email after exploitation to cover their tracks.

“We believe that these attacks are correlative with at least one nation-state threat operator or a nation-state that purchased the exploit from a third-party researcher in a Proof of Concept (POC) grade and used ‘as-is’ or with minor modifications,” ZecOps said. “While ZecOps refrain from attributing these attacks to a specific threat actor, we are aware that at least one ‘hackers-for-hire’ organization is selling exploits using vulnerabilities that leverage email addresses as a main identifier.”

 

  • 所感/メモ

関連文献にあるように,少し前からiOS にはメールを受信するだけでデバイスの制御を乗っ取られるような脆弱性がある.という記事を目にしていたが,その脆弱性が改めて公になった形である.

ゼロデイで現状ユーザーにパッチがいきわたらない状態でリモートコード実行可能,という恐ろしい脆弱性であり,早急に対応する必要がある.幸いなことに,メールアプリは無料で使えるものから有料のものまで有用なものが多いので,本脆弱性を回避するためにいつもやっていることができなくなるということはないと思う.

 

POCの明確な所在は記載されていないが,POC単位で取引がされているという記述もあり,いつ誰もが攻撃を受けても不思議ではない.また,脆弱性はずっと前から存在していたらしく,ベータ版ではパッチが当たっているとしり,現在の自分のiOS のバージョンを見たら最新でも 13.4.1 なので,パッチが当たっている13.4.5 が一般ユーザーに配布されるのは当分先...になるかもしれないので,できる対策は今のうちにとっておこう.と思った.

 

主に標的型攻撃に利用されると記述されており,私は標的にされるほど大した人物ではないのだが,念のためデフォルトのメールアプリは所有のiOSバイスからは削除しておいた.(そもそもメインはGmail だし)

 

  • 出典
    securityweek.com/zero-day-vulnerabilities-ios-mail-app-exploited-targeted-attacks?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29 

 

#3【英語記事和訳】Vulnerabilities Expose Lexus, Toyota Cars to Hacker Attacks

和訳はDeepL を使うことにしました.

その方がより多くの記事に目を通せるからです. 

 

  • 概要

日付: 2020-3-30

2017年モデルのレクサスNX300に搭載されているAVN システムにリモートから攻撃を仕掛けられるような脆弱性が存在することが明らかになった.

脆弱性は,悪意のあるCANメッセージを送信することにより,車に「物理的なアクション」を行わせることができる.※技術的な詳細が公開されるのは来年の見込み

 

中国の研究者が実際にリモートコードの実行を実現した.
悪意のあるコードは,システム上にとどまり,自動的に車両をWi-Fiに接続させ,シェルを生成し,任意のCANメッセージを送信可能にさせる.
脆弱性を悪用するには,マルチメディアシステムのソフトウェアの専門知識だけでなく,特殊なツール及び攻撃時の車両への接近が必要になる.
そのため,本脆弱性が悪用される状況が発生する可能性は限られていると,トヨタ社は述べている.
脆弱性の対策は,生産ラインで実施しており,影響のある車にはソフトウェアアップデートが用意されている.

 

  • 和訳

レクサスやトヨタ車の脆弱性ハッカーに悪用され、影響を受けた車両に対する遠隔攻撃を仕掛けられる可能性があることが、中国に拠点を置くテンセント・キーン・セキュリティ・ラボの研究者によって明らかになった。

 

2017年モデルのレクサスNX300に搭載されているAVN(Audio, Visual and Navigation)システム--同システムはLSシリーズやESシリーズなど他のモデルにも採用されている--を調査したところ、同車に搭載されているBluetoothや車両診断機能にセキュリティ上の問題があることが明らかになった。

Keen Security Labによると、これらの欠陥を悪用してAVNや内部のCANネットワーク、関連する電子制御ユニット(ECU)を侵害する可能性があるという。

さらに、研究者によると、ユーザーの操作なしにワイヤレスでAVNユニットを制御し、悪意のあるCANメッセージを注入して車に "物理的なアクション "を行わせることができたという。

ただし、これらの脆弱性に関連する具体的な技術的な詳細が公開されるのは来年になってからだという。

レクサスAVNは、DCU(Display Control Unit)とMEU(Multimedia Extension Unit for maps)で構成されており、DCUのメインボードはWi-FiBluetooth、USBインターフェースなどの攻撃面を露出させている。また、DCUはCANメッセージを介して内部ECUと通信します。

中国の研究者は、2つの脆弱性を利用して車載Bluetoothサービスを標的とし、root権限でDCUシステム内のリモートコード実行を実現しました。

この問題には、アウトオブバウンドのヒープメモリの読み込みとヒープバッファのオーバーフローが含まれており、どちらもペアリング前のBluetooth接続の作成プロセスに存在しています。Keen Security Labは、これらのバグのために、Bluetoothの悪用は「至近距離では絶対にタッチレスで、相互作用もない」と説明しています。

DCUシステムが以前に携帯電話とペアリングしたことがある場合、影響を受けた車のBluetooth MACアドレスは、よく知られている「Ubertooth One」デバイスを使って空中で嗅ぎ取ることができます。

DCUシステムはセキュアブートをサポートしていないため、研究者は悪意のあるファームウェアでuCOMボードを再フラッシュすることができました。そして、これを利用して、既存のCANメッセージフィルタリング機構を迂回させました。

"Bluetoothと車載診断機能に存在する知見を連鎖させることで、Bluetoothの無線接続から自動車のCANネットワークに至るまで、リモートでタッチレスな攻撃チェーンを実装することが可能になります。

悪意のあるコードは、DCUのBluetoothサービスを介して展開することができ、それは永久にシステム上に常駐します。このコードは、DCUを自動的にWi-Fiホットスポットに接続させ、インタラクティブなルートシェルを生成し、攻撃者が任意のCANメッセージをワイヤレスでCANバスに送信することを可能にします。

"さらに、診断用CANメッセージを利用することで、CANネットワーク内の一部の自動車ECUが騙されて診断機能を実行したり、予期せぬ物理的な動きで車をトリガーしたりする可能性があります」とKeen Security Labは結論づけています。

これらの脆弱性の存在を認めているトヨタは、"特定のマルチメディアユニット "を使用しているため、一部のトヨタ車にも影響があるとしている。

"Keen Labが説明した脆弱性の発見と悪用のプロセスでは、ステアリング、ブレーキ、スロットルの制御はできない "と自動車メーカーは述べている。

トヨタによれば、これらのバグを悪用するには、マルチメディアシステムのソフトウェアの専門知識だけでなく、特殊なツールや攻撃時の車両への接近が必要になるという。

"このように、キーンラボが開発した方法でこれらの脆弱性を悪用することは非常に高度であり、現実世界でこの状態が発生する可能性は限られているとトヨタは考えている "と自動車メーカーは述べている。

同社では、生産ラインでの脆弱性への対策を実施しており、影響を受けた市販車にはソフトウェアのアップデートを用意しているという。

 

  • 原文

Vulnerabilities in Lexus and Toyota cars could be exploited by hackers to launch remote attacks against affected vehicles, researchers at China-based Tencent Keen Security Lab discovered.

 

Research into the AVN (Audio, Visual and Navigation) system in the 2017 Lexus NX300 — the same system is also used in other models, including LS and ES series — has revealed security issues with the Bluetooth and vehicular diagnosis functions on the car.

According to Keen Security Lab, these flaws could be abused to compromise the AVN and internal CAN network and related electronic control units (ECUs).

Furthermore, the researchers said they were able to wirelessly take control of the AVN unit without user interaction, then inject malicious CAN messages to cause the car to perform “physical actions.”

However, the specific technical details related to these vulnerabilities will be disclosed only next year, the researchers say.

The Lexus AVN consists of the DCU (Display Control Unit) and MEU (Multimedia Extension Unit for maps), with the main board of the DCU exposing attack surfaces such as Wi-Fi, Bluetooth and USB interfaces. The DCU also communicates with the internal ECUs via CAN messages.

The Chinese researchers leveraged two vulnerabilities to target the in-vehicle Bluetooth service and achieve remote code execution in the DCU system with root privileges.

The issues include an out-of-bound heap memory read and a heap buffer overflow, both residing in the process of creating Bluetooth connections before pairing. Because of these bugs, Bluetooth exploitation is “absolutely touch-less and interaction-less at close proximity,” Keen Security Lab explains.

The Bluetooth MAC address of an affected car can be sniffed over the air using the well-known “Ubertooth One” device, if the DCU system has been paired with mobile phones before.

The DCU system does not support secure boot, which allowed the researchers to re-flash the uCOM board with malicious firmware. They then leveraged this to bypass an existing CAN message filtering mechanism.

“By chaining the findings existed in Bluetooth and on-board diagnostic functions, a remote, touch-less attack chain from Bluetooth wireless connectivity down into automotive CAN network is feasible to be implemented,” the security researchers say.

Malicious code can be deployed through the Bluetooth service on the DCU and it will permanently reside on the system. The code can make the DCU automatically connect to a Wi-Fi hotspot and spawn an interactive root shell, which then allows an attacker to wirelessly send arbitrary CAN messages to the CAN bus.

“Furthermore, by leveraging the diagnostic CAN messages, some automotive ECUs inside CAN network would be tricked into executing diagnostic functions and triggering the car with unexpected physical motions,” Keen Security Lab concludes.

Toyota, which has acknowledged the existence of these vulnerabilities, says that some Toyota vehicles are impacted as well, due to the use of “particular multimedia units.”

“The vulnerability findings and exploit process, as described by Keen Lab, do not control steering, braking, or throttle,” the car maker says.

Exploitation of these bugs, Toyota says, requires not only expertise of the multimedia system software, but also a special tool and close proximity to a vehicle during the attack.

“Thus, Toyota believes that exploiting these vulnerabilities in the manner developed by Keen Lab is extremely sophisticated, and the likelihood of this condition to occur in the real world is limited,” the vehicle maker says.

The company has implemented measures to address the vulnerabilities on the production line and says that a software update is available for the affected in-market vehicles.

 

  • 所感/メモ

レクサスの重めの脆弱性が明らかとなった.リモートでコード実行が可能で,車両の物理的な操作だったり,システムにとどまって車両を自動的にWi-Fi に接続させてリモートで 任意のメッセージを送信できたりする脆弱性であり,悪用された場合は車両を攻撃者にいつでも・自由自在に,コントロールされてしまう可能性がある.

回避策としてソフトウェアアップデートがあるのは幸いなこと.また,悪用には専門的な知識とツール,物理的な接触が必要になるためそこらの人が簡単に脆弱性を悪用できないが,高度な知識を持った人がある特定の人物を狙った悪用の仕方(いわゆる標的型攻撃)に利用される可能性は十分であるのでは,と感じた.(技術的な詳細や実オペレーションをしたわけではないので,あくまで本記事を斜め読みした感想)

 

自分は診断系の仕事はしたことないし,車両についてもCAN を聞いたことがあるくらいなので,今後少しづつ知識を深めていきたい.

 

  • 出典

 https://www.securityweek.com/vulnerabilities-expose-lexus-toyota-cars-hacker-attacks?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

 

#2【英語記事和訳】Another Critical COVID-19 Shortage: Digital Security

 

  • 概要

Date: 2020-03-24

 

COVID-19がサイバーセキュリティに影響を及ぼす.その一番の要因はリモートワークである.リモートワークは攻撃者にとっては攻撃が容易な環境で,防御者にとっては防御が困難な環境である.

理由の一つしてはデバイスにある.個人が使用するデバイスNetflixを見てくつろぐようなデバイスであり,パッチが適用されていない可能性がある.

二つ目の理由として,職場のアカウントと個人のアカウントが混在してしまい,ターゲットを増やしてしまう.

この二つは,防御者からすると管理できずログも記録されないという危険性がある.

COVID-19の影響でリモートワークが活性化し,その中で個人のデバイスやアカウントが使用されると企業側がいくらセキュリティに投資していてもその効果が薄れてしまう.攻撃者は企業ではなく個人を狙うような攻撃にシフトしていく可能性がある.

これは企業だけではなく,政府も同様である.

 

  • 和訳

※今回は長文であることと,わかりづらい英文だったためかなり怪しいです

以下は市の研究所のシニアリサーチャーであるJohn Scott-Railtonからの複数投稿である.

私たちは世界的な通風機,保護の準備,そして製薬の不足について知っている.しかし,仕事で家をうごくとき,防御することがより困難になり,詮索がより簡単になり安全でなくなっているだろう.

ハッカーから危険にされされている家からの仕事
国家ぐるみのハッキングを調査する研究者として,私はCOVID-19がサイバーセキュリティに何を意味するかについて考えることに挑戦し続けている.私の周りを見ることから私の推測は始まった,大幅に増加した在宅勤務,そしてハッカーにとっては容易でかつ,防御する者にとっては困難な生活にどうやってなるでしょう.

先週,フルタイムのリモートワークの無精ひげとトレーニングパンツが職場に移されたとき,ほとんどのデスクトップ機はオフィスに残された.雇用者はラップトップ機と電話の艦隊をスタッフの家に送付した.ほとんどは送付しなかった.
推測される通り,世界の事業は,個人のデバイス,個人のチャット & 携帯のアプリ,そして管理されていない,パッチが適用されていない家のwifiルータとネットワークにで固められた.これは驚くべきことであり,急速に回復している.私たちをデジタル的に再度犠牲に導くような深刻な新しい危険がまた導入されている.

より多くの入り口と少ない鍵の新しい職場
敏感な仕事は仕事のネットワークと仕事の端末上で管理されていることを確認することは管理者にとっていつも挑戦である.COVID-19の新たな現実は従業員が以下を必要としている:



  • リモートアクセスにはネットワークとリソースが必要
  • 同僚が病気休暇を取るときアクセスには新しいリソースが必要
  • 事業を管理するためには,個人のデバイスとアカウントとアプリケーションが必要

個人のデバイスで家のオフィスから主要な取引もしくは敏感な交渉に参加することは珍しいことでしょう.しばらくの間,新しい普通となるでしょう.

 

COVID-19の時間を見渡すこと
ほとんどの個人のデバイスの基準はデフォルトで危険なこと.Netflixを見てくつろぐことに過去2年間費やされた気難しいラップトップ機のようなCOVID-19の時代の新しい仕事のデスクトップはパッチが適用されないでしょう.

 

仕事と個人のアカウントの境界
仕事の会議とチャットソリューションは絶好のタイミングで混ざったカバンである.ユーザはネットワークの遅延と帯域と戦っている,そしてほかの組織と会話が必要なとき多くはWhatsAppやiMessageのようなサービス上で個人のアカウントで旋回している.
エンドtoエンドで暗号化されているチャットが動くのはおおくの価値があり,それは仕事と個人のアカウント,デバイスのさらなるぼやけに貢献している,そして個人のデバイスもしくは安全を決して考えない持ち主のアカウントがターゲットで塗られている.

 

…そしてあなたの敵は配信動画をもっている!
絶望的に危険なIoT/s**t は多くの家に入り込んでいる.新しい家の監視システムは多くは簡単でない一方,職場の脅威として防御者の意識にまれに入ってさえいる.
それは直ちに変えるべきである.次の瞬間,敏感な仕事の事業の多くはスマートデバイスの犠牲で管理されている.防御者は役立てるために試行し,国民国家とほかの脅威の関係者が実行する方法をとることを見つけるかもしれない:防御者の労働力に対する巨大な新しく集められた機会.おそらくこの状況における希望の兆しの部分からのメモはこれらのデバイスの危険性は最終的には深刻な注意を引き付けることになるだろう.そのとき,おそらくそうではない.

 

COVID-19はハッカーに翼を与える
エンドポイント,ネットワークやクラウドセキュリティへの投資は潜在的な攻撃者にとってコストを増加させる(理論的には!).しかし繊細な仕事の事業はこれらのデバイスや環境から離れ,ITスタッフやCISOらがなにが起きたか監視できないとき,その投資の影響は急速に劣化するだろう.

 

防御者は盲目になるだろう
仕事の義務を引っ張ってきた個人のデバイスとアカウントは大部分は管理されていない,かつログが記録されないだろう.木曜日の午後に,その週の14回目のZoomミーティングでのトラブルシューティングで全員を助けるためにITスタッフは忙しくなるだろう.この環境では,個人の違反が気付かれる可能性はますます低くなる.
新しいCOVID-19のリモート職場のこの予測できる結果はスキルがなく,リソースがない攻撃者がレッドブルをうったようなものだろう,突然に攻撃者は翼を得る!
極端に言えば,フィッシングやRATはしばらくの間,おそらくより多くの洗練された戦術の仕事を実行するだろう.
シリア電子群のような集団は,数年前,技術高度化の限界に達し,企業や政府を効果的にターゲットにすることを困難にしたのは間違いない,今度は個人のデバイスやアカウントに焦点があてられた.その一方で,より洗練された国民国家の運営はあらゆるインセンティブをより多くの努力で試しており,その運営にあまり注意が払われないと想定している.

 

私たちはこれとすべて一緒ではない
もし全員が同じ時期,同じ破壊的な方法でにCOVID-19のパンデミックを経験したならば,新しい職場の危険な巨大なアドホックは恐ろしくないだろう.私たちはそうではない.各国及び各コミュニティは病気の時系列にどこか違いがある.
中国のようなよく知られている洗練されたサイバー攻撃の純輸出国は,彼らの経済を再起動させることに忙しい,そして彼らの知的なコレクションの買い物リストのアイテムをはずすようにあらわすCOVID-19の興味深い機会を間違いなく見ている.ロシアのようなほかの好戦的は人々は,忙しくCOVID-19を否定しながら,国内的には地政学的なターゲットのリストを更新し,回復しようとする.
多くのおいしい賞は,直ちにほとんど組織的に脆弱である.豊富な攻撃者はデジタルポケットを選ぶのを待ちきれない.その一方で,あなたの職場の最もおいしい部分は私たちの誰も親しくない新しい方法で現在脆弱である.

 

特記事項:政府は免疫力がありますか?
いいえ.政府は標的の中でも最もおいしいです.80歳の裁判官がスウェットパンツを着て10億ドルを超える訴訟を審議している.
家の巣に隔離された国会議員は中国について同僚とブレーンストリーミングをしている.
軍隊がWhatsAppを指揮統制しようとするのは,全員を一つの観測室に収容することが災害時のレシピだからである.民間人に対して広範な新しい権限を求めているときでさえ政府は決して間違った人々の手の届く範囲にはいない.

 

  • 原文

 Following is a guest cross-post from John Scott-Railton, a Senior Researcher at The Citizen Lab. His work focuses technological threats to civil society.

 

We all know about global shortages of ventilators, protective equipment, and pharmaceuticals. But as work moves home, it will be much less secure, harder to defend, and easier to snoop on.

 

Working From Home & At Risk...From Hackers

AS a researcher investigating state-sponsored hacking I've been trying to think about what COVID-19 means for cybersecurity. My guesses begin at as I look around me, with the massive growth of work-from-home, and how it will will make life easier on hackers, and harder on defenders.

 

Last week, as workplaces emptied into the stubble-and-sweatpants of full-time-remote-work most desktops stayed at the office. Some employers sent staff home with fleets of laptops and phones. Most did not.

Predictably, the worlds's business has slid into a world of personal devices, personal chat & calling apps, and un-administered, unpatched home wifi routers and networks. This is some remarkable, quick moving resiliency. It is also introducing serious new risks that could lead us to be re-victimized digitally.

 

The New Workplace Has More Doors, Fewer Locks

It has always been a challenge for administrators to make sure that sensitive work is conducted over work networks and on work devices. The new reality of COVID-19 is that employees need:

 

  • More remote access to networks and resources
  • To access new resources as colleagues take sick leave
  • To conduct business on personal devices, accounts and apps

 

Once it would be a rarity for a major deal, or sensitive negotiation to have someone joining from a home office, on a personal device. For a while, it will be the new normal.

 

Browsing in the time of COVID-19

The baseline for most personal devices is default-insecure. The new work desktop in the era of COVID-19 is going to be an unpatched, crusty laptop that spent the past two years Netflix & chilling. We already see plenty of COVID-19 related internet opportunism, from themed phishing and ransomeware, to more esoteric attacks. Most internet-connected personal (and work!) devices will swim in this threat-and-nuisance soup for months.

Depending on demographics and income, personal devices like laptops will do double and triple duty. Kids will submit homework, roommates format CVs, do taxes, and partners borrow something that doesn't freeze on the flavor-of-the-week teleconferencing app their work is rolling out. If ever there was a petri dish...

 

Blurring work & personal accounts

Work conferencing and chatting solutions are a mixed bag in the best of times. As users struggle with network latencies bandwidth, and the need to talk to other organizations, many are pivoting to personal accounts on services like WhatsApp and iMessage.

While moving to end-to-end encrypted chats has many benefits, it can also contribute to the further blurring of work and personal accounts and devices, and paint a target on a device or an account that the owner has never thought to secure.

 

...and your adversaries have video feed!

The desperately insecure internet-of-things/s**t has slid into many homes. While the new home panopticon leaves many uneasy, it has only rerely entered the consciousness of defenders as a workplace threat. That should change right now. For the next while, masses of sensitive work business will be conducted in the vicinity of smart devices. Defenders might find it useful to try and picture the internet of things the way nation states and other threat actors do: a massive new collection opportunity against their workforce. Perhaps a memo-from-the-dept-of-silver-lining for this situation will be that the insecurity of these devices will finally attract some serious attention. Then again, probably not.

 

COVID-19 Will Give Hackers Wings

Investments in endpoint, network and cloud security raise the costs for potential attackers (in theory!). But when sensitive work business moves away from these devices and environments, the impact of that investment will be quickly degraded as IT staff and CISOs cannot monitor what happened.

 

The Defenders Will Be Blind

The personal devices and accounts pulling work duty will be largely un-administered and un-logged. On a given Thursday afternoon, IT staff is going to be busy helping everyone troubleshoot the 14th Zoom meeting of the week. In this environment, individual breaches are even less likely to be noticed.

The predictable result of the new COVID-19 remote workplace will be like a shot of Red Bull for less skilled, less well resourced threat actors. Suddenly they will get wings!

At the extreme end, phishing and RATS will, for a while, probably do some of the work of much more sophisticated tactics.

Groups like the Syrian Electronic Army that, years ago, hit ceilings of technological sophistication that made it hard for them to effectively target companies and goverments will undoubtedly give it another go, this time even more focused on personal on personal devices and accounts. Meanwhile, the more sophisticated nation state operations have every incentive try harder, for more, and assume less attention will be paid to their operations.

 

We Are Not In *All* of This Together

The hugely ad-hoc insecure new workplace would be less terrifying if everyone were experiencing the COVID-19 pandemic at the same time, and in the same disruptive way. We aren't. Each country and community is somewhere different on the timeline of the illness.

Some well known net exporters of sophisticated cyberattacks, like China, are busy trying to restart their economies, and no doubt looking at the interesting opportunities that COVID-19 presents for ticking items off their intelligence collection shopping lists. Other belligerents like Russia, while busy-denying-COVID-19-is-a-thing-domestically will almost certainly go after their usual list of geopolitical targets with renewed vigor.

Many juicy prizes are at their most organizationally vulnerable right now. Plenty of threat actors can't wait to new ways that none of us are completely familiar with.

 

Special Note: Are Governments Immune?

Nope. They are among the juiciest of targets. 80 years old judges deliberating over billion dollar cases in sweatpants. Quarantined legislators in their home dens brainstorming with colleagues about China.

Militaries trying to do command-and-control over WhatsApp because having everyone in one bunker is a recipe for disaster. Even as they seek extensive new authorities over civilian populations, goverments have never been more within the reach of all the wrong people.

 

  • 所感/メモ

COVID-19とサイバーセキュリティの関連を記した内容であり,興味があって長文だけど和訳してみた.しかし,特別攻撃の事実を観測したとか,その兆候が発見されたとかいうわけではなくこういう危険性があるので各々で注意しよう!くらいのメッセージと情報しか感じられなかった.しかし,攻撃者は世界各国に存在しており,当初COVID-19で騒がしかった中国は既に収まりつつあると耳にしている.実際,人々の不安や恐怖心をあおるような攻撃のニュースは目の当たりにしているため,COVID-19関連のサイバー攻撃にはオリンピック以上に細心の注意を払わなければならないと改めて思った.

 

個人と企業のデバイスやアカウントが混同されてしまうのは,リモートワーク では起こりうること.企業側がゼロトラストで実施されるような端末認証やきめ細やかなアカウント認証の合わせ技により,適切な認証・認可を与えるシステムが今まさに必要となっていると感じた.

 

  • iMessage
    iOSのデフォルトのインスタントメッセージサービス

  • Netflix and chill
    Netflixを見てくつろごう

 

 

  • 出典

 https://isc.sans.edu/diary/rss/25940