« 2010.03.05 金曜日
2010.03.07 日曜日 »

2010.03.06 土曜日

啓蟄
の若芽が芽吹き、ふきのとうの花が咲くころ。
世界一周記念日
1967年(昭和42年)に日本航空が世界一周西回り路線が営業を開始した
スポーツ新聞の日
1946年(昭和21年)日本初のスポーツ新聞『日刊スポーツ』が創刊された
弟の日
畑田国男の制定した、兄弟姉妹の日の一つ。

----------
Opera ZEDO-DAY may NOT work? #
Opera says bug 'probably' can't commandeer machines
"We believe that the bug primarily causes a crash, and that exploiting the vulnerability to execute code is extremely difficult, if not impossible,"
ちょっと歯切れの悪い言い方ですが、リモートコード実行の可能性は薄いと言及。しかし、調査してパッチをあてることを約束しています。
ここが発端だったのですね(またか・・):
Opera Browser "Content-Length" Header Buffer Overflow Vulnerability
でも、Sophosはこう言ってますが・・・
All browsers are (not) created equal
I had a quick look at the proof of concept exploit, which only causes browser to crash to find if the bug is easily exploitable.
はてさて~
ユーザの取り得る対策としては(XP SP3以降のユーザであれば)DEP を斬らないこと(デフォルトではON)です。

Opera "Content-Length" Processing Buffer Overflow Vulnerability 4
Unpatched Opera 10.50 and below code execution vulnerability

----------
OpenPNE #
OpenPNE におけるアクセス制限回避の脆弱性
OpenPNE には、アクセス制限回避が可能な脆弱性が存在します。
 OpenPNE 2.13.2 から 2.14.4 まで
上記製品において、携帯版を利用可能にしており、かつ IP アドレス帯域制限機能を有効にしている場合、本脆弱性の影響を受けます。

【緊急リリース】携帯版かんたんログインの不備によりなりすましがおこなわれてしまう問題について
謝辞
OpenPNE 2.14 における IP アドレス帯域制限機能回避の脆弱性について、高木浩光氏よりご報告いただきました。厚く御礼申し上げます。
*clap* *clap* *clap*

OpenPNE Security Bypass Security Issue 3
携帯サイトの「かんたんログイン」になりすましの問題

----------
ポスワードを変えても変えても・・ #
「ガンブラー」の“再攻撃”が相次ぐ、原因は管理用PCのウイルス
IPAには、ガンブラーの被害に遭った企業から相談が寄せられているという。ある企業では、ユーザーからの指摘で、Webページに悪質なスクリプトが埋め込まれていることが判明。そこでその企業では、FTPアカウントのパスワードを変更するとともに、Webサイトのデータをすべて削除。クリーンなバックアップデータをアップロードして、Webサイトを再開した。
 ところが再開から数日後、再び「Webサイトを閲覧するとウイルスが検知された」との報告が別のユーザーから寄せられた。その企業では原因を特定できず、Webサイトを再開できない状況が続いているという。
・・・・・・・・

はぁ・・
ITProもリンク間違えてるし、なんだかなぁ・・というところでしょうか?

社内ネットワーク内に一つでも感染しているノードがあれば、暗号化されていないFTPを使い続ける限り何度でも改ざんされる可能性があります。

続く
----------
.htaccess #
Gumblar(ガンブラー)による.htaccessファイルのリダイレクト先を踏んでみる
実は最初はLACがここを修整し忘れて掲載してました。修整される前の段階でニュースとして転載したのがマイコミジャーナルの記事です(^^;
なるほどっ(笑)

しかし、どこから見ても間違いなく Vimes ですね、コレ・・・

あと、最近いろいろと「ガンブラー対策ソリューション」なるものが出ていますが、そもそも感染した後警報を送られても意味がないということを(特に企業の場合)肝に銘じてください。SFTP/FTPSをどうしても使用できない場合でも、FTPによるアップロード元を抑制するだけで、格段に防護レベルは高まりますし、.ftpaccess にIPを記述するだけで終わりですので何も必要ありません(IISの場合どうなるのか?は・・・未調査)
参考:
「さくらのレンタルサーバ」 .ftpaccess機能提供のお知らせ

まだ続く
----------
8080 by IBM #
Gumblarと類似したWebサイト改ざんを利用する攻撃 -2010年2月検知状況-
URL長っ・・・
やっぱり Java脆弱性(CVE-2008-5353)が40%と多いですね・・・あと、MS06-014 が2割も成功してるってのはどういうことなんでしょう?(苦笑)

前回[1]も書きましたが、この攻撃には特別な対策は必要なく、アプリケーションへのパッチ適用や、ベンダーから公開されている回避策を実行することで十分被害を阻止することが可能です。対策ができているか再確認してください。
現在のJREバージョンは Java 6 update 18 です。
古いJREも必要でなければ確実に削除しましょう。
参考:
CVE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認する

また、BlackHatSEOの誘導手法が、gumblarのものと酷似しているケースが報告されています。
Creating News for Blackhat SEO
同じExploit Toolkitを使用している可能性もありますね。

----------
Cisco #
Cisco Releases Multiple Security Advisories
Ciscoも毎月毎月・・・・
Cisco Security Advisory: Cisco Unified Communications Manager Denial of Service Vulnerabilities
Multiple Vulnerabilities in Cisco Digital Media Manager
Cisco Security Advisory: Cisco Digital Media Player Remote Display Unauthorized Content Injection Vulnerability

Cisco patches vulnerabilities in voice solutions

Cisco製品の場合、DoSが致命傷となるため、早めにソリューションを出す必要が高いという部分も勘案しなければなりません。

----------
Report against Zeus(TrendMicro) #
Zeusに関するTrendMicroのレポート
ZeuS: A Persistent Criminal Enterprise
全20ページですので興味のある方は目を通すといいかもしれません。

そういえば、昨日の
google-analitics・net
は、ZeuSの一部だったというレポートも出ていますね。
Adservers compromised in latest Zbot push

様々なものが、複雑に絡み合っているので「ナンダカヨクワカンナイヨ」という感じですが、基本的な対処を取っていれば怖くはありません。
ZeuSは日本国内ではあまり繁殖していない様子ですので、Zombieに堕ちないように気をつけましょう。

----------
Patch #
Think software patching is a hassle? You're not alone
hassleっていうか、annoyingというか・・
どっちかというと、「そもそもアップデートという概念が無い」人が多すぎるのが問題なのですが、啓蒙活動はなかなか難しいものがあります。

Patching redefined – Free & Automatic Updating for every single PC user
Yep, There’s a Patch for That
ソフトウェアパッチは年平均75本、4.8日ごとに導入が必要――Secunia調べ

----------
PHP 5.3 #
Second maintenance release for PHP 5.3
PHP 6.0への布石となる5.3系のアップデートが行われました。
Version 5.3.2 -- 04-March-2010
セキュリティは、5.2.13でfixされたものと同じです。

----------
エストニア、ウクライナ、オランダ #
FBI、サイバー犯罪捜査官をエストニア、ウクライナ、オランダに派遣
まぁ、この3国も多いですね。
一番多いのはアメリカなのですが、その辺はテイクダウンのためのルール確立が徐々に整いつつあるようです。
8080的には、あのフランスのISPを真っ先になんとかして欲しいのですが・・・

----------
ソーシャルエンジニアリング型マルウェア対策 #
「IE」、ソーシャルエンジニアリング型マルウェア対策でリード--米調査
ソース(PDF 18p):
WEB BROWSER SECURITY SOCIALLY-ENGINEERED MALWARE PROTECTION
テストに使用された検体(のURL)はハニーポットによって独自に収集されたもの・・ということです。
ここに要点を記しておくと、NSS Labsはパートナー企業、およびスパムトラップやハニーポットを使って得た独自のリストによってマルウェアサイトを収集した。こうして集めた1万2000のサイトのうち562サイトが、ソーシャルエンジニアリング型マルウェア、つまり「ファイルの実行につながるコンテンツタイプを持つ、悪意あるペイロードを転送するダウンロードに直接結びつくウェブページへのリンク」という定義に該当するものだった。

gumblar.x や 8080系のURLを踏んで、IE8が赤くなったのを見たことが無いのですが、誰か経験されていたら教えてください(笑)

----------
Morphing in SERP #
The Morphing PDF
モーフィングPDF
悪循環だが、かなり巧妙なトリックだ。悪意あるファイルでは無いPDFファイルを疑う人はいないだろう。少なくとも、それがHTMLファイルになるまでは。そして結果は危険なアンチ・ウィルス詐欺となる。

なんか、攻撃ベクトルがよくわからないのですが・・
何度も何度も開いているうちに、Flashを踏んでしまうということかな?

----------
北の将軍様のミサイルが! #
False scare email proclaiming North Korea nuclear launch against Japan
The email basically warns that North Korea has launched a missile at Japan (Okinawa) and that severe destruction has been reported. At the end of a massive list of US agencies, there is a link to a report.zip file with an executable that doesn't seem to have much virus coverage at the moment.
えーっと・・なんていえばいいのか・・
中身はZeuS系っぽいですが・・
Possible Zbot
report.exe 1/42 (2.38%) 2010.03.05 14:01:07 (UTC)
report.exe 3/42 (7.14%) 2010.03.06 01:47:51 (UTC)

----------
HTCアメリカのもっともエキサイティングな場面に参加 #
HTCの採用情報
まぁ・・エキサイティングでしょうね(苦笑)

----------
8080 #
countASN登録更新
91.121.24.13950048 AS16276 02/17 10:35:2003/06 11:30:13
91.121.108.5347584 AS16276 02/17 10:35:2003/06 11:30:13
91.121.7.2636936 AS16276 02/20 05:50:3403/06 11:30:13
62.75.218.19221139 AS8972 02/17 12:30:2703/06 11:30:13
91.204.116.7910176 AS44976 02/20 04:50:5903/06 11:30:13
78.41.156.2363302 AS6908 02/18 20:00:4303/06 08:40:13
84.200.227.1442653 AS31400 02/17 12:30:2703/06 08:40:13
87.106.247.1931581 AS8560 02/17 19:40:5003/05 23:00:14
213.251.133.1591978 AS16276 02/17 18:00:5003/05 12:00:21
91.204.116.1141635 AS44976 02/24 23:30:0703/05 11:00:27
94.23.11.3845692 AS16276 02/17 10:35:2003/03 11:30:11
62.193.210.1691336 AS28677 03/02 01:50:1303/03 05:00:11
188.40.118.683480 AS24940 02/17 10:35:2003/02 10:00:12
95.168.170.891413 AS28753 02/19 22:40:4603/02 10:00:12
77.68.44.1692696 AS15418 02/17 10:35:2003/02 06:00:12
89.149.244.21122415 AS28753 02/20 08:30:3103/02 04:40:12
213.246.39.13544 AS21409 03/02 01:30:1303/02 01:40:11
83.168.238.66284 AS35041 02/26 16:00:0503/02 01:30:13
213.160.24.49234 AS20676 02/26 11:20:0603/02 01:30:13
86.58.190.93705 AS16095 02/26 10:50:0803/02 01:00:12
62.68.162.19529 AS15467 02/26 12:10:0503/02 00:40:12
80.74.159.89141 AS21069 02/26 23:10:0603/02 00:40:12
真っ赤:24H以内登録 :5日以内登録 薄赤:24H以内更新 5日経過:[40]IPs
----------
Google Safe Browsing #
| 1267837256 | B | [goog-black-hash 1.52426 update]
| 1267837203 | M | [goog-malware-hash 1.19833 update]
| 308830 | -2086(310916) 漸減
| 1447189 |
EoF

This entry was posted on 土曜日, 3 月 6th, 2010 at 11:49 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply

*
画像に書かれた文字を入力してください

スパム対策用画像
ログインすると画像認証なしで投稿できます

ホットワード 土曜日 padding margin 金曜日 日曜日
割引クーポンまとめ情報 - クー割