2010.03.06 土曜日
Posted in security on 3 月 6th, 2010 by gnome
啓蟄世界一周記念日
1967年(昭和42年)に日本航空が世界一周西回り路線が営業を開始した
日本航空が世界一周西回り路線が営業を開始したスポーツ新聞の日 1946年(昭和21年)日本初のスポーツ新聞『日刊スポーツ』が創刊された
弟の日日刊スポーツ』が創刊された畑田国男の制定した、兄弟姉妹の日の一つ。----------
Opera ZEDO-DAY may NOT work? #
Opera says bug 'probably' can't commandeer machines"We believe that the bug primarily causes a crash, and that exploiting the vulnerability to execute code is extremely difficult, if not impossible,"
ちょっと歯切れの悪い言い方ですが、リモートコード実行の可能性は薄いと言及。しかし、調査してパッチをあてることを約束しています。
ここが発端だったのですね(またか・・):
Opera Browser "Content-Length" Header Buffer Overflow Vulnerabilityでも、Sophosはこう言ってますが・・・
All browsers are (not) created equalI had a quick look at the proof of concept exploit, which only causes browser to crash to find if the bug is easily exploitable.
はてさて~
ユーザの取り得る対策としては(XP SP3以降のユーザであれば)DEP を斬らないこと(デフォルトではON)です。
Opera "Content-Length" Processing Buffer Overflow Vulnerability 4
Unpatched Opera 10.50 and below code execution vulnerability----------
OpenPNE #
OpenPNE におけるアクセス制限回避の脆弱性OpenPNE には、アクセス制限回避が可能な脆弱性が存在します。
OpenPNE 2.13.2 から 2.14.4 まで
上記製品において、携帯版を利用可能にしており、かつ IP アドレス帯域制限機能を有効にしている場合、本脆弱性の影響を受けます。
【緊急リリース】携帯版かんたんログインの不備によりなりすましがおこなわれてしまう問題について
謝辞
OpenPNE 2.14 における IP アドレス帯域制限機能回避の脆弱性について、高木浩光氏よりご報告いただきました。厚く御礼申し上げます。
*clap* *clap* *clap*
OpenPNE Security Bypass Security Issue 3
携帯サイトの「かんたんログイン」になりすましの問題----------
ポスワードを変えても変えても・・ #
「ガンブラー」の“再攻撃”が相次ぐ、原因は管理用PCのウイルス IPAには、ガンブラーの被害に遭った企業から相談が寄せられているという。ある企業では、ユーザーからの指摘で、Webページに悪質なスクリプトが埋め込まれていることが判明。そこでその企業では、FTPアカウントのパスワードを変更するとともに、Webサイトのデータをすべて削除。クリーンなバックアップデータをアップロードして、Webサイトを再開した。
ところが再開から数日後、再び「Webサイトを閲覧するとウイルスが検知された」との報告が別のユーザーから寄せられた。その企業では原因を特定できず、Webサイトを再開できない状況が続いているという。
・・・・・・・・
はぁ・・
ITProもリンク
間違えてるし、なんだかなぁ・・というところでしょうか?社内ネットワーク内に一つでも感染しているノードがあれば、暗号化されていないFTPを使い続ける限り何度でも改ざんされる可能性があります。
続く
----------
.htaccess #
Gumblar(ガンブラー)による.htaccessファイルのリダイレクト先を踏んでみる 実は最初はLACがここを修整し忘れて掲載してました。修整される前の段階でニュースとして転載したのがマイコミジャーナルの記事です(^^;
なるほどっ(笑)
しかし、どこから見ても間違いなく
Vimes ですね、コレ・・・あと、最近いろいろと「ガンブラー対策ソリューション」なるものが出ていますが、そもそも感染した後警報を送られても意味がないということを(特に企業の場合)肝に銘じてください。SFTP/FTPSをどうしても使用できない場合でも、FTPによるアップロード元を抑制するだけで、格段に防護レベルは高まりますし、.ftpaccess にIPを記述するだけで終わりですので何も必要ありません(IISの場合どうなるのか?は・・・未調査)
参考:
「さくらのレンタルサーバ」 .ftpaccess機能提供のお知らせまだ続く
----------
8080 by IBM #
Gumblarと類似したWebサイト改ざんを利用する攻撃 -2010年2月検知状況- URL長っ・・・
やっぱり Java脆弱性(
CVE-2008-5353)が40%と多いですね・・・あと、
MS06-014 が2割も成功してるってのはどういうことなんでしょう?(苦笑)前回
[1]も書きましたが、この攻撃には特別な対策は必要なく、アプリケーションへのパッチ適用や、ベンダーから公開されている回避策を実行することで十分被害を阻止することが可能です。対策ができているか再確認してください。現在のJREバージョンは Java 6 update 18 です。
古いJREも必要でなければ確実に削除しましょう。
参考:
CVE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認するまた、BlackHatSEOの誘導手法が、gumblarのものと酷似しているケースが報告されています。
Creating News for Blackhat SEO同じExploit Toolkitを使用している可能性もありますね。
----------
Cisco #
Cisco Releases Multiple Security AdvisoriesCiscoも毎月毎月・・・・
Cisco Security Advisory: Cisco Unified Communications Manager Denial of Service VulnerabilitiesMultiple Vulnerabilities in Cisco Digital Media ManagerCisco Security Advisory: Cisco Digital Media Player Remote Display Unauthorized Content Injection Vulnerability
Cisco patches vulnerabilities in voice solutions Cisco製品の場合、DoSが致命傷となるため、早めにソリューションを出す必要が高いという部分も勘案しなければなりません。
----------
Report against Zeus(TrendMicro) #
Zeusに関するTrendMicroのレポート
ZeuS: A Persistent Criminal Enterprise
全20ページですので興味のある方は目を通すといいかもしれません。
そういえば、昨日の
google-analitics・net
は、ZeuSの一部だったというレポートも出ていますね。
Adservers compromised in latest Zbot push様々なものが、複雑に絡み合っているので「ナンダカヨクワカンナイヨ」という感じですが、基本的な対処を取っていれば怖くはありません。
ZeuSは日本国内ではあまり繁殖していない様子ですので、Zombieに堕ちないように気をつけましょう。----------
Patch #
Think software patching is a hassle? You're not alonehassleっていうか、annoyingというか・・
どっちかというと、「そもそもアップデートという概念が無い」人が多すぎるのが問題なのですが、啓蒙活動はなかなか難しいものがあります。
Patching redefined – Free & Automatic Updating for every single PC user 
Yep, There’s a Patch for Thatソフトウェアパッチは年平均75本、4.8日ごとに導入が必要――Secunia調べ----------
PHP 5.3 #
Second maintenance release for PHP 5.3 PHP 6.0への布石となる5.3系のアップデートが行われました。
Version 5.3.2 -- 04-March-2010セキュリティは、
5.2.13でfixされたものと同じです。----------
エストニア、ウクライナ、オランダ #
FBI、サイバー犯罪捜査官をエストニア、ウクライナ、オランダに派遣 まぁ、この3国も多いですね。
一番多いのはアメリカなのですが、その辺はテイクダウンのためのルール確立が徐々に整いつつあるようです。
8080的には、あのフランスのISPを真っ先になんとかして欲しいのですが・・・
----------
ソーシャルエンジニアリング型マルウェア対策 #
「IE」、ソーシャルエンジニアリング型マルウェア対策でリード--米調査ソース(PDF 18p):
WEB BROWSER SECURITY SOCIALLY-ENGINEERED MALWARE PROTECTIONテストに使用された検体(のURL)はハニーポットによって独自に収集されたもの・・ということです。
ここに要点を記しておくと、NSS Labsはパートナー企業、およびスパムトラップやハニーポットを使って得た独自のリストによってマルウェアサイトを収集した。こうして集めた1万2000のサイトのうち562サイトが、ソーシャルエンジニアリング型マルウェア、つまり「ファイルの実行につながるコンテンツタイプを持つ、悪意あるペイロードを転送するダウンロードに直接結びつくウェブページへのリンク」という定義に該当するものだった。
gumblar.x や 8080系のURLを踏んで、IE8が赤くなったのを見たことが無いのですが、誰か経験されていたら教えてください(笑)
----------
Morphing in SERP #
The Morphing PDFモーフィングPDF悪循環だが、かなり巧妙なトリックだ。悪意あるファイルでは無いPDFファイルを疑う人はいないだろう。少なくとも、それがHTMLファイルになるまでは。そして結果は危険なアンチ・ウィルス詐欺となる。
なんか、攻撃ベクトルがよくわからないのですが・・
何度も何度も開いているうちに、Flashを踏んでしまうということかな?
----------
北の将軍様のミサイルが! #
False scare email proclaiming North Korea nuclear launch against JapanThe email basically warns that North Korea has launched a missile at Japan (Okinawa) and that severe destruction has been reported. At the end of a massive list of US agencies, there is a link to a report.zip file with an executable that doesn't seem to have much virus coverage at the moment.
えーっと・・なんていえばいいのか・・
中身はZeuS系っぽいですが・・
Possible Zbot
report.exe 1/42 (2.38%) 2010.03.05 14:01:07 (UTC)report.exe 3/42 (7.14%) 2010.03.06 01:47:51 (UTC)----------
HTCアメリカのもっともエキサイティングな場面に参加 #
HTCの採用情報まぁ・・エキサイティングでしょうね(苦笑)
----------
8080 #
| count | ASN | 登録 | 更新 | |
| 91.121.24.139 | 50048 |  AS16276  | 02/17 10:35:20 | 03/06 11:30:13 |
| 91.121.108.53 | 47584 | AS16276 | 02/17 10:35:20 | 03/06 11:30:13 |
| 91.121.7.26 | 36936 | AS16276 | 02/20 05:50:34 | 03/06 11:30:13 |
| 62.75.218.192 | 21139 | AS8972  | 02/17 12:30:27 | 03/06 11:30:13 |
| 91.204.116.79 | 10176 | AS44976  | 02/20 04:50:59 | 03/06 11:30:13 |
| 78.41.156.236 | 3302 | AS6908  | 02/18 20:00:43 | 03/06 08:40:13 |
| 84.200.227.144 | 2653 | AS31400 | 02/17 12:30:27 | 03/06 08:40:13 |
| 87.106.247.193 | 1581 | AS8560 | 02/17 19:40:50 | 03/05 23:00:14 |
| 213.251.133.159 | 1978 | AS16276 | 02/17 18:00:50 | 03/05 12:00:21 |
| 91.204.116.114 | 1635 | AS44976 | 02/24 23:30:07 | 03/05 11:00:27 |
| 94.23.11.38 | 45692 | AS16276 | 02/17 10:35:20 | 03/03 11:30:11 |
| 62.193.210.169 | 1336 | AS28677 | 03/02 01:50:13 | 03/03 05:00:11 |
| 188.40.118.68 | 3480 | AS24940 | 02/17 10:35:20 | 03/02 10:00:12 |
| 95.168.170.89 | 1413 | AS28753 | 02/19 22:40:46 | 03/02 10:00:12 |
| 77.68.44.169 | 2696 | AS15418  | 02/17 10:35:20 | 03/02 06:00:12 |
| 89.149.244.211 | 22415 | AS28753 | 02/20 08:30:31 | 03/02 04:40:12 |
| 213.246.39.135 | 44 | AS21409 | 03/02 01:30:13 | 03/02 01:40:11 |
| 83.168.238.66 | 284 | AS35041  | 02/26 16:00:05 | 03/02 01:30:13 |
| 213.160.24.49 | 234 | AS20676 | 02/26 11:20:06 | 03/02 01:30:13 |
| 86.58.190.93 | 705 | AS16095  | 02/26 10:50:08 | 03/02 01:00:12 |
| 62.68.162.19 | 529 | AS15467  | 02/26 12:10:05 | 03/02 00:40:12 |
| 80.74.159.89 | 141 | AS21069  | 02/26 23:10:06 | 03/02 00:40:12 |
----------
Google Safe Browsing #
| 1267837256 | B | [goog-black-hash 1.52426 update]
| 1267837203 | M | [goog-malware-hash 1.19833 update]
| 308830 | -2086(310916) 漸減
| 1447189 |
EoF
Flash Player 10.0.45.2
KILL Acrobat JavaScript
Java 6 update 19
Apple QuickTime 7.5.6
Firefox 3.6.3
Chrome 4.1.249.1045
Opera 10.51
Thunderbird 3.0.4
O
OOo 3.2
RealPlayer SP1.1.2(12.0.0.641) 
Skype 4.2.0.155
Pidgin 2.6.6
Wordpress 2.9.2
WireShark 1.2.7
2010.05.31
2010.06.30
BEFORE BURNER
焼却炉