2020年2月28日金曜日

PCはザルだった

ぼや川より
バレンタイン・狙い撃ちより・乱撃ち
・・・見返りは?・・・

企業に広く普及しているシスコのネットワーク機器に脆弱性
一連の脆弱性を悪用することで企業ネットワークの奥深くに侵入できる
すでにシスコは修正プログラムを配布しているが・・・

卓上電話やウェブカメラ、ネットワークスイッチなどシスコのエンタープライズ向け製品で発見された一連の欠陥を悪用すると、企業ネットワークの奥深くに侵入できる
シスコはネットワーク機器市場をほぼ独占しているためバグの影響は数百万デヴァイスにも・・・
どのソフトウェアにも欠陥はあるが組み込みデヴァイスの場合は問題が特に深刻に
スパイ行為に悪用される恐れがあるうえ修正作業が複雑

セキュリティ企業のArmisが発見した今回の脆弱性
システム管理者がネットワークの各所を分割するセグメンテーションが突破され侵入範囲が広がる
攻撃者は内部ネットワークでデータを中継するシスコ製ネットワークスイッチのうち脆弱性のあるものを標的に暗号化されていない内部情報を大量に傍受
標的とするシステムの各部を動き回ることができる
さらに攻撃者はArmisがこのほど開示した別の脆弱性を用いて複数のシスコ製デヴァイスをまとめて攻撃することも可能
例えば、すべての卓上電話やすべてのウェブカメラを一気に攻撃
これによりデヴァイスは機能を停止するか、もしくは標的とされた組織内のスパイに
Armisの研究担当ヴァイスプレジデントのベン・セリさん
「ネットワークのセグメンテーションは、IoTデヴァイスのセキュリティを確保するための重要な手段です」
「それでも、ときに脆弱性が見つかります。エンタープライズ向けデヴァイスが世界中で標的になっていることは周知の事実です。こうしたタイプの脆弱性があると、持続的標的型攻撃(APT攻撃)のグループなどにとって非常に強力なツールになります」

脆弱性が発見されたシスコ検出プロトコル(CDP)と呼ばれるプロトコルは、プライヴェートネットワーク内に配置されたシスコ製品が互いの“素性”をやり取りできるようにする
CDPはネットワークデヴァイス間で基礎的なデータリンクを確立するレイヤー2で動作する
どのデヴァイスもブロードキャストによる何らかの検出プロトコルを用いているが、そのひとつであるCDPはシスコの固有の技術
シスコ製品を区別するためにCDPを有効にするとインフラ構築におけるメリットがある
が、侵入に成功した攻撃者に使われればシスコ製品を容易に見つけられてしまう
すべてのシスコ製品がCDPを利用⇒ひとつの脆弱性を悪用するだけで一瞬で大量のデヴァイスを同時かつ自動的に標的にすることができる
しかもネットワークスイッチのような重要なデヴァイスを乗っ取り、それを踏み台にして移動することまで可能
どのレイヤー2プロトコルにも潜在的なバグは存在している
だがCDPの脆弱性は、いたることろに存在するシスコ製品に対する特に効率的な攻撃経路になる
Armisから8月末に調査結果の開示を受けたシスコは、5つの脆弱性すべてに対応するパッチをリリース
5つもある理由はシスコが製品ごとにCDPの実装方法を多少変えているから
Armisは開示プロセスを通して発見したすべての関連するバグをシスコと共同で修正している
シスコの広報担当
「わたしたちは2月5日、複数のシスコ製品について、シスコ検出プロトコルの実装における脆弱性に加え、ソフトウェアの修正情報と対応策を開示しました」
「記載された脆弱性に関する悪意ある使用は認識していません」

攻撃者がバグを悪用するには標的とするネットワークに足がかりが必要
ひとたび足がかりができれ、瞬く間に侵入範囲を拡大
シスコ製のデヴァイスに次々と侵入
システム内部の奥深くにまで到達
スイッチやルーターを制御下に置いた攻撃者は、ファイルやコミュニケーションなど、暗号化されていないネットワークデータを傍受
ユーザーとデヴァイスの認証を管理するActive Directoryにアクセスすることも可能
IoTセキュリティ企業のRed Balloonの創業者である崔昂(ツィ・アン)
「それでも中継機器ごとに突破する必要があるので、ハッカーはネットワークごとに基本的な攻撃ベクトル(侵入経路)が必要です」
「しかし、どの中継機器も同じ脆弱性を抱えていることから、ネットワーク内のすべてのスイッチ、ファイアウォール、ルーターがその影響を受ける可能性があります。大量のデヴァイスを制御下に置く必要がありますが、それさえできればネットワークを隅々まで乗っ取ったも同然です」
研究者らは過去数十年にわたりCDPの脆弱性が悪用される前にシスコが修正したり、悪用を最小限に抑えられるように脆弱性をいち早く発見したりするよう注意を呼びかけてき
2019/8マイクロソフトの研究者
ロシア政府が支援しているとされるロシアのハッカー集団が
卓上電話、プリンター、その他の職場のIoTデヴァイスを攻撃し企業ネットワークに侵入していたことを発見
した。米国土安全保障省は、企業ネットワークのインフラを保護する重要性について警告を発している。
Armisのセリさん
脆弱性を抱えたデヴァイスの多くが自動アップデート機能を備えておらず、手動でパッチを適用する必要がある
この作業はエンタープライズ向けのスイッチやルーターでは特に困難
ネットワークが停止しないよう慎重にパッチを適用する必要があるから
ほかにも企業が検討できる対応として
スイッチなどのデヴァイスでCDPを無効にする方法もある
が、これだと別の問題が生じる恐れが・・・

・・・たぶん実際に対策がなされることは・・・

複雑な設定なしにIoT機器をネットワークに接続できるUPnPと呼ばれる仕組みに潜む脆弱性
アカマイ・テクノロジーズが発表したレポートから
TEXT BY LILY HAY NEWMAN
TRANSLATION BY NAHO HARVEY
EDITED BY CHIHIRO OKA
WIRED(US)
ネットワーク通信プロトコルの脆弱性には発見から10年以上も放置されたままになっているものも
IoTの時代にあってルーターのようなデヴァイスに脆弱性があるのは周知の事実
・・・知らねえよ
業界がセキュリティをきちんとしてこなかったために有効な対策は講じられておらず
不正アクセスに利用できるドアは開いたまま
こうしたセキュリティホールは発見から数年か、下手をすれば数十年も放置?

コンテンツ・デリヴァリー・ネットワーク(CDN)で世界最大手のアカマイ・テクノロジーズ
ルーターや家庭用ゲーム機といったデヴァイスへの攻撃が行われていることを明らかに
ハッカーたちが使っていたUPnP(ユニバーサル・プラグ・アンド・プレイ)のプロトコルの脆弱性は2006年に見つかっていた
UPnPを利用すると対応した機器をネットワークに接続するだけで自動的に設定が行われる
このプロトコルは過去10年以上、脆弱性が指摘されていた
これまでは理論上のものでしかなかったが、アカマイが公表したレポートで実際にUPnPのセキュリティホールを利用した攻撃が行われた証拠が
確認された事例はデヴァイス自体を攻撃するのではなくUPnPを搭載するルーターを不正行為の足がかりとするもの
DDoS攻撃やマルウェアの配布、スパムメールの送信、フィッシング詐欺、アカウントの乗っ取り、クリック詐欺、クレジットカード情報の盗用etcが行われた
ハッカーたちは追跡がほとんど不可能になるようにトラフィックを何度も変更
攻撃ルートを隠すことのできる複雑なプロキシーチェーンをつくり上げた
アカマイはこれを多目的プロキシーボットネット(multi-purpose proxy botnets)と呼んでる

アカマイのセキュリティ情報対応チーム(SIRT)のシニアエンジニアであるチャド・シーマンさん
「まず問題のあるデヴァイスがどれくらいあるのか、また何に使われているのかを調べるところから始めました。この脆弱性は忘れ去られてしまっているように見えたからです」
「どこに問題があるかを見つけるために、いくつか基本的なプログラムを作成する必要がありました。そして実際に異常な動きをしているデヴァイスがあることがわかったのです。こうした事態は予測していなかったので、正直なところ驚きました。理論上の懸念が現実のものになっていることがわかったのです」

UPnPはネットワークに接続されたデヴァイスが別のデヴァイスを見つけて互いを認識するためのプロトコル
例えば、サーヴァーがネットワーク上のプリンターの設定を調べるといったことが可能になる
ローカルネットワークだけでなくインターネットのようにオープンなネットワークでも機能
IPアドレスのルーティングやデータフローの調整などを行う
UPnPはほかのプロトコルと連動し面倒なネットワーク設定を自動でやってくれる
また動画のストリーミング再生や家庭用ゲーム機を使う場合のようにプログラムが大量のデータをやりとりする必要がある場面でも使われている
IoTデヴァイスが認証なしに(もしくはパスワードが簡単に推測できるものだったり、総当たり攻撃で破ることができる状態で)こうしたメカニズムの多くをオープンネットワークに開放していると
ハッカーはそこからセキュリティホールのあるデヴァイスを探し攻撃を開始

アカマイのチームも同じようにしてUPnPプロキシーを使った問題を発見
ネットに接続されたデヴァイスのうち、特定のUPnP経由のクエリー(問い合わせ)に対して不適切な応答をするものが480万台
うち76万5,000台は脆弱性のあるプロトコルが開放された状態になっていた
そして6万5,000台に実際に問題のあるコマンドを仕掛けようとした痕跡が見つかった
不正アクセスがあった6万5,000台を詳しく調べたところ最終的に1万7,599個のIPアドレスが検出された
UPnPを狙った攻撃がこれまでなかったわけではない
2018/3セキュリティソフトウェア大手のシマンテック
Inception Frameworkの名で知られるサイバースパイ集団がUPnPプロキシを使った攻撃を仕掛けているとのレポートを公表
ただ、この種の攻撃は設定が複雑で難しいため、それほど一般的ではない

侵入テストを行うImmunityの最高技術責任者(CTO)デイヴ・アイテルさん
「数百台もの家庭用ルーターに罠を仕掛けることは面倒なうえに、攻撃がうまくいくか確かめることも困難です」
「わたし自身はネットでこうしたハッキングを目にしたことはありません。ただ、もし実際に行われているとすれば、かなりの効果を発揮するでしょう」
アカマイが明らかにしたような実装ミスが原因のデータ漏洩によって、ネット上の不正行為が容易なものになってしまう
不正アクセスが見つかったルーターなど脆弱性のあるデヴァイスを開発したメーカーについて
「まったく何を考えているんだと言ってやりたいですね」

一方UPnPプロキシーが単なる不正アクセスではなく、中国など一部の国が行なっているネット検閲を回避するために利用されていたとみられる証拠も
特定のサイトへのアクセスを遮断する中国のグレートファイアウォール(金盾)のようなシステムの内部からでも
このプロキシネットワークを通して普通ならブロックされてしまうサーヴァーにアクセスできるようになる
アカマイのシーマンさん
調査結果は慎重に検討したうえで発表したと
問題のあるルーターを特定することで情報にアクセスするといったセキュリティホールの“悪意のない”利用も制限されてしまう可能性があるから
アカマイはそれでもリスクを公表
この脆弱性が放置されていた期間の長さを考えれば、無視を続けるべきではないと判断した

ルーターがUPnPに起因する不正アクセスを受けても利用者は気づかない
仮に自分のデヴァイスに問題があることがわかっても製品を買い換える以外にやれることはほとんどない
いくつかのデヴァイスではUPnPを無効にするといった選択肢も
・・・設定がメンドくさくなる

過去数年にわたってUPnPの実装方法の改良が行われている
だが、アカマイのレポートは73ブランドで400近いモデルについて
何らかの脆弱性があると・・・

サイバー犯罪に対応するアメリカ コンピューター緊急事態対策チーム(US-CERT)
これらのブランドに対して注意喚起
「悪意のあるインジェクション攻撃に対して多数のデヴァイスに脆弱性があるとの報告を、アカマイから受けています。この問題は以前から知られていたものです」

プロキシーを使うのはIPアドレスを隠すため
このためUPnPプロキシーがどのように、また何の目的があって使われたかについては、不明な点も多く残っている
ただアカマイが目指すのは脆弱性のあるデヴァイスの数を減らすために問題を周知すること
シーマンさん
「最初に脆弱性が発見されたときは、いつかハッカーに悪用されるかもしれない程度の認識でした。ただこれまで、悪用されたという実例は見つかっていなかったのです」

何億台ものPCに今もハッキング可能なファームウェアの問題
世界中のノートPCやサーヴァーなどが、ハッキングの危機に
本体に内蔵されたウェブカメラやトラックパッド、USBハブ、ネットワークカードなどのファームウェアの一部にセキュリティチェックを受けずに書き換えられてしまうものがあることが判明
ハッキングすると通信の傍受からウェブカメラを通じたスパイ行為にいたるまでやり放題
TEXT BY ANDY GREENBERG
TRANSLATION BY KAREN YOSHIHARA/TRANNET
WIRED(US)
facebook share
USB hub Connections
JONATHAN KITCHEN/GETTY IMAGES
ノートPCやデータセンターの棚に置かれたサーヴァーは単体のコンピューターというより複数のコンピューターをつないだネットワーク
ハードドライヴからウェブカメラ、トラックパッドまで、相互に接続されたデヴァイスの大部分はサードパーティの企業から調達されてる
それぞれ専用のチップやコードが用いられている
長年にわたり云われてたにもかかわらずコンピューターに内蔵されているそれらの複数のコンピューターは無防備なまま
高度な技術をもつハッカーなら知られずにマシンに足場を確保できてしまう
2020/2/18アメリカのセキュリティ企業エクリプシウム(Eclypsium
世界中の何億台ものコンピューターに接続・内蔵されているコンポーネントとPC周辺機器に関する報告書を発表
同社の研究者は多数のネットワークカードやトラックパッド、Wi-Fiアダプター、USBハブ、ウェブカメラに
暗号の検証を経ずに“署名なし”のコードでアップデートできてしまうファームウェアが存在することを発見
つまり、これらのファームウェアは、セキュリティチェックをまったく受けずに書き換えられる
この種のファームウェアのハッキングはマルウェアを被害者側のコンピューターで実行させる
そしてハッキングしたコンポーネントを操作することで、コンピューターのネットワーク通信の傍受からウェブカメラを通じたスパイ行為にいたるまでヤりたい放題
こういったマルウェアは目立たないコンポーネントに隠れてしまう
検出したり対処したりすることは、ほぼ不可能
エクリプシウムの主任エンジニアでファームウェアに関する新たな研究を実施したリック・アルテールさん
「ウェブカメラはそれ自体がコンピューターです。タッチパッドもそうです。そういったコンポーネントを制御するソフトウェアは独自のファームウェアであり、電源を入れた際にそのファームウェアの信頼性をチェックする仕組みがありません。ただ自動的に信頼してしまうのです」
「権限のないユーザーが、実際にデヴァイス上のファームウェアを改変できてしまいます。さらに、そのファームウェアの発行元や機能はチェックされません」

2014年ドイツのセキュリティリサーチ企業であるSRLabs
USBメモリーのファームウェアに検証プロセスがないことを公表

ファームウェアのハッキングも実際に確認されてきた
流出したアメリカ中央情報局(CIA)のスパイ技術に関する資料Vault 7に
Macのファームウェアのハッキングツール情報が含まれていた
また15年にアメリカ国家安全保障局(NSA)のハッカー集団と広く考えられていEquation Group
スパイ目的で被害者のハードドライヴのファームウェアに独自のコードを埋め込んだことが、ロシアのセキュリティ企業カスペルスキーの研究者によって明らかにされた
・・・目くそ鼻くそ

エクリプシウムによると今回の研究の目的は
長年の警告にもかかわらず問題が修正されていない証拠を示すことにあると
コンピューターや周辺機器のメーカーは、大半のコンポーネントに依然としてコード署名(ファームウェアアップデートの信頼性を証明するためにプログラムにつける暗号化された署名)を導入していない
エクリプシウムのアルテールさん
「業界全体に目を向けても、市場に出回っているPCやサーヴァーのうち、完全に安全性が確保されていると言えるものはひとつもありません」
「どのノートPCにしても、署名のない何らかのコンポーネントが内蔵されていると断言できます」

研究者たちは具体的に次の5つのコンポーネントに焦点を当てている
レノボのノートPCのタッチバッドとトラックポイント
HPのノートPCに搭載されたウェブカメラ
デルのノートPCのWi-Fiアダプター
台湾のVIA Labs(威鋒電子)のUSBハブ
ブロードコムのネットワークインターフェースカード
それぞれのデヴァイスのファームウェアが検証を経ずにアップデート可能であることを実証してる
ウェブカメラとUSBハブ、ターゲットとなったコンピューターの管理者権限さえ必要なかった
予測可能な機能に加え
いくつかのデヴァイスのファームウェアは周辺のキーボードをエミュレート
ターゲットのコンピューター上でキー入力ができるように用いることも可能

ブロードコムのネットワークインターフェースカードについて
概念を実証するためにコンピューターのネットワーク通信を傍受する悪質なファームウェアを構築してみた
その結果ブロードコムのカードがクラウド環境で同じサーヴァー上の複数の仮想マシンに接続されているとき
この悪質なファームウェアによって単にひとつの仮想マシンに行き来するトラフィックだけでなく
基盤となる物理コンピューター上のベースボード管理コントローラー(BMC)への通信も傍受できた
これによりハッカーは感染させた仮想マシンから飛び出して
同じハードウェアを使用する別の仮想マシンを傍受
悪質なコマンドを送れるように

またファームウェアの書き換えによって悪質なコードがウイルス対策プログラムに検知されることを回避
コンピューターのOSそのものを再インストールしたあとでさえも生き残ったりできるようにすることも可能
ファームウェアをハッキングすることでハッカーはほぼ除去不可能なマルウェアを作成できる
アルテールさん
「攻撃対象のシステム上にある可能な限り多くのコンポーネントに感染を広げていきます。ひとつずつ除去していったとしても、またすぐにほかから感染してしまうわけです」「被害者がコントロールを取り戻すには、システム上のすべての感染を一度に除去する必要があります」
実際に15年にNSAが実行した疑われるファームウェアのハッキングでは、その種の技術が使われていた

デル
「現在、弊社はサプライヤーと協力を図ってその影響の把握に努めており、セキュリティ上必要なアップデートや対策については今後お知らせいたします」


レノボ
「(エクリプシウムの)報告書は、業界全体が抱えるストレージや演算能力が限定された大半の周辺機器に由来する周知の課題について述べています」
「レノボのデヴァイスは、技術上可能な範囲において周辺機器のファームウェアの署名検証を実施しています。レノボはサプライヤーに同様のアプローチを導入するよう積極的に推奨しており、この問題への対処をサポートするためにサプライヤーと密接に協力しています」

SRLabsのフェロー研究者ジェイコブ・レルさんと14年に、いわゆるBadUSB問題
(USBのファームウェアを書き換えてUSBデヴァイスを改変できてしまう悪用可能な脆弱性の問題)を実証したカーステン・ノールさん
ファームウェアのハッキングが研究環境以外ではまれであることに変わりはないと・・・

ファームウェアのハッキングを用いているのは政府や諜報機関の指揮下にあると考えられる高度な技術をもつハッカーのみ
一般ユーザーにとってはそれほど懸念すべき問題ではない
・・・んなワケがあるか
その政府のターゲットになるかもしれないのに

ノールさん
この問題が顕在化し、実証されてから数年を経ても、あまりにも多くのコンポーネント上のコードにおいて依然として安全策が講じられていないことは、いずれにせよコンピューター業界の怠慢の現れだ
「これまでのところは理論上の可能性として論じられているだけですが、ファームウェアに署名をつけたり、このような攻撃に対する防御策を実際に講じたりするなど、何らかの前進を図ることが重要です」
「その前進の速度は、いまのところ極めて遅いと言えます」

エクリプシウムの研究者たちは、この問題の根本にサプライチェーンの問題があると
多くのコンピューターメーカーがソフトウェアの安全性を確保せよというユーザーからの圧力を感じているはず
一方でファームウェアをロックダウン(機能やアクセスの制限を設けてセキュリティを強化すること)するようサプライヤーを説得できたメーカーはわずか

・・・なんかもう

今日は~
フクジュソウ/Adonis ramosa
今月の半ば
毎年、最初の花を見るとこで
満開
はあ~早すぎ
心配

0 件のコメント:

コメントを投稿